กลุ่มแฮ็กเกอร์ชื่อว่า APT41 ซึ่งคาดว่าเป็นกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐจีน ถูกพบว่ามีการใช้ GC2 (Google Command and Control) ซึ่งเป็นเครื่องมือของ Red Team ในการโจมตีเพื่อขโมยข้อมูลจากสื่อไต้หวัน และบริษัทจัดหางานของอิตาลี
APT41 หรือที่รู้จักกันในชื่อ HOODOO เป็นกลุ่มแฮ็กเกอร์ที่คาดว่าได้รับการสนับสนุนจากรัฐจีน ซึ่งมุ่งเป้าไปที่อุตสาหกรรมที่หลากหลายในสหรัฐอเมริกา เอเชีย และยุโรป โดย Mandiant ได้ติดตามแฮ็กเกอร์กลุ่มนี้ตั้งแต่ปี 2014 ระบุว่า พฤติกรรมของแฮ็กเกอร์กลุ่มนี้คาบเกี่ยวกับกลุ่มแฮ็กเกอร์จีนอื่น ๆ ที่รู้จักกันดี เช่น BARIUM และ Winnti
ในรายงาน Threat Vision ประจำเดือนเมษายน 2023 ของ Google ที่เผยแพร่เมื่อวันศุกร์ที่ผ่านมาระบุว่า นักวิจัยด้านความปลอดภัยของ Threat Analysis Group (TAG) เปิดเผยว่า APT41 กําลังใช้เครื่องมือ GC2 ของ Red Team ในการโจมตี
GC2 หรือที่เรียกว่า Google Command and Control เป็น open-source ที่เขียนด้วยภาษา Go ที่มีการออกแบบมาสําหรับ Red Team โดยโปรแกรมนี้ได้รับการพัฒนาเพื่อให้ command and control ไม่ต้องทำการตั้งค่าใด ๆ เช่น custom domain, VPS, CDN นอกจากนี้โปรแกรมจะเชื่อมต่อได้กับโดเมนของ Google เท่านั้น (*.google.com) ซึ่งทำให้การตรวจจับยากขึ้น
Project นี้ ประกอบด้วย agent ที่ใช้งานบนอุปกรณ์ที่ถูกบุกรุก ซึ่งจะเชื่อมต่อกลับไปยัง URL ของ Google Sheets เพื่อรับคำสั่งที่จะดำเนินการ โดยคําสั่งเหล่านี้ช่วยให้ agent ที่ใช้งานสามารถดาวน์โหลด และติดตั้ง payload เพิ่มเติมจาก Google Drive หรือส่งข้อมูลที่ถูกขโมยไปยังบริการจัดเก็บข้อมูลบนคลาวด์ได้
**
GC2 ถูกนำมาใช้ในการโจมตี
ตามรายงานของ Google TAG ซึ่งสามารถขัดขวางการโจมตีแบบฟิชชิ่งของ APT41 กับบริษัทสื่อของไต้หวัน ที่ผู้โจมตีพยายามเผยแพร่ GC2 agent ผ่านทางอีเมลฟิชชิ่ง
รายงาน Threat Vision ของ Google ระบุว่า ในเดือนตุลาคมปี 2022 ทีมวิเคราะห์ภัยคุกคามของ Google (TAG) ได้ขัดขวางแคมเปญของ HOODOO ผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีน ซึ่งมุ่งเป้าการโจมตีไปที่องค์กรสื่อในไต้หวัน โดยการส่งอีเมลฟิชชิ่งพร้อมลิงก์ไปยังไฟล์ที่ใส่รหัสผ่านที่อยู่ใน Google Drive
โดย Payload มีการทำงานร่วมกันแบบ open source กับ tool ของ Red Team ที่เรียกว่า Google command and control (GC2) ซึ่ง Google ระบุว่า APT41 ยังใช้ GC2 ในการโจมตีเว็บไซต์ค้นหางานของอิตาลีในเดือนกรกฎาคม 2022 โดย Google ระบุเพิ่มเติมว่าผู้โจมตีพยายามที่จะปรับใช้เพย์โหลดเพิ่มเติมบนอุปกรณ์ และนำข้อมูลที่รั่วไหลไปยัง Google Drive ตามภาพประกอบ Attack Workflow ดังนี้
แม้ว่าจะยังไม่ทราบว่ามีมัลแวร์ตัวใดบ้างที่ถูกใช้ในการโจมตีเหล่านี้ แต่เป็นที่ทราบกันดีว่า APT41 จะทำการติดตั้งมัลแวร์ที่หลากหลายบนระบบที่ถูกโจมตี โดยรายงานจาก Mandiant ในปี 2019 ระบุว่าผู้โจมตีใช้ rootkits, bootkits, custom malware, backdoors, Point of Sale malware และ ransomware ในเหตุการณ์การโจมตีต่าง ๆ ที่เกิดขึ้น
เป็นที่ทราบกันดีว่าผู้โจมตีใช้มัลแวร์ Winnti และ China Chopper web shell ซึ่งเป็นเครื่องมือที่ใช้กันทั่วไปโดยแฮ็กเกอร์ในประเทศจีน และ Cobalt Strike สําหรับการแฝงตัวบนเครือข่ายของเหยื่อ
ในปี 2020 กระทรวงยุติธรรมได้ดําเนินคดีกับพลเมืองจีน ที่เชื่อว่าเป็นส่วนหนึ่งของกลุ่ม APT41 ในการดำเนินการโจมตีแบบ supply chain attacks [CCleaner, ShadowPad, ShadowHammer], ซึ่งเป็นการโจรกรรมข้อมูล และการละเมิดข้อมูลต่อองค์กรในประเทศต่าง ๆ ทั่วโลก
การเปลี่ยนมาใช้ tools ที่ถูกกฎหมาย
การใช้ GC2 ของ APT41 เป็นอีกสัญญาณหนึ่งที่บ่งบอกถึงแนวโน้มที่ผู้โจมตีจะเปลี่ยนไปใช้เครื่องมือของ Red Team ที่ถูกต้องตามกฎหมาย และแพลตฟอร์ม RMM ในการโจมตี แม้ว่าจะมีการใช้ Cobalt Strike ในการโจมตีอย่างแพร่หลายมาเป็นเวลาหลายปี แต่ด้วยความพยายามอย่างมากในการตรวจจับการโจมตี ทำให้ปัจจุบันสามารถตรวจจับการใช้งานของ Cobalt Strike ได้ง่ายขึ้น
ด้วยเหตุนี้ผู้โจมตีจึงเริ่มเปลี่ยนไปใช้ tools อื่น ๆ ของ Red Team เช่น Brute Ratel และ Sliver เพื่อหลบเลี่ยงการตรวจจับระหว่างการโจมตี โดยเมื่อไม่นานมานี้ กลุ่มผู้โจมตี ransomware ได้เริ่มใช้เครื่องมือ Remote Monitoring and Management (RMM) เพื่อควบคุมระบบที่ถูกโจมตี และเพื่อดําเนินการคําสั่งสคริปต์ และไบนารี
ที่มา : bleepingcomputer
You must be logged in to post a comment.