SentinelOne และ QGroup บริษัทด้านความปลาดภัยทางไซเบอร์เปิดเผยรายงานการพบกลุ่ม Hacker ชาวจีน ได้โจมตีไปยังผู้ให้บริการโทรคมนาคมในตะวันออกกลางในช่วงต้นปี 2023 ในชื่อแคมเปญ Operation Soft Cell โดยกลุ่มดังกล่าวถูกพบว่ามีเป้าหมายการโจมตีไปยังผู้ให้บริการโทรคมนาคมมาตั้งแต่ปี 2012
กลุ่ม Gallium
โดยหนึ่งในแคมเปญ Soft Cell ที่ Microsoft กำลังติดตามในชื่อ Gallium ซึ่ง Gallium ได้มุ่งเป้าการโจมตีไปยังอุปกรณ์ที่เข้าถึงได้โดยตรงจากอินเตอร์เน็ตที่ยังไม่ได้อัปเดตแพตซ์ด้านความปลอดภัย โดยจะใช้เครื่องมืออย่าง Mimikatz เวอร์ชันที่มีการปรับปรุงชื่อว่า mim221 ซึ่งสร้างขึ้นมาโดยเฉพาะ และมีความสามารถที่หลากหลายในการแพร่กระจายไปในเครือข่ายของเป้าหมาย รวมถึง backdoor ที่มีชื่อว่า PingPull ที่มีความสามารถในการหลีกเลี่ยงการตรวจจับ
โดยการโจมตีจะมุ่งเป้าไปที่หน่วยงานรัฐในเอเชียตะวันออกเฉียงใต้ ยุโรป แอฟริกา และตะวันออกกลาง รวมไปถึงยังพบว่าการโจมตีของ Gallium มีความคล้ายคลึงกับกลุ่ม Hacker อื่นๆ เช่น APT10 (Bronze Riverside, Potassium, Stone Panda), APT27 ( Bronze Union, Emissary Panda,Lucky Mouse), และ APT41 (Barium, Bronze Atlas,Wicked Panda)
การโจมตีครั้งล่าสุด
ทาง SentinelOne และ QGroup ได้ทำการวิเคราะห์การโจมตีพบว่า การโจมตีในครั้งนี้เริ่มต้นด้วยการโจมตีไปยัง Microsoft Exchange Server ที่มีช่องโหว่ และสามารถเข้าถึงได้โดยตรงจากอินเตอร์เน็ต เพื่อเรียกใช้งาน web shell ในการรับคำสั่ง จากนั้นเมื่อเข้าสู่ระบบของเป้าหมายได้แล้ว ก็จะทำการโจมตีต่อไปยังภายในเครือข่าย ขโมยข้อมูล และส่งข้อมูลกลับไปยังผู้โจมตี แต่จากการตรวจสอบการโจมตีครั้งล่าสุดพบว่าไม่ประสบความสำเร็จในการโจมตี เนื่องจากถูกตรวจพบ และถูกกำจัดออกจากระบบก่อนที่จะมีการแพร่กระจายต่อไป
ทั้งนี้นอกจาก Gallium แล้ว ยังพบว่ามีกลุ่ม Hacker อื่น ๆ ที่มุ่งเป้าการโจมตีไปยังผู้ให้บริการโทรคมนาคมในตะวันออกกลางเช่นเดียวกัน เช่น กลุ่ม BackdoorDiplomacy และ WIP26
ที่มา : thehackernews
You must be logged in to post a comment.