กลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลจีน (APT) ที่รู้จักกันในชื่อ Volt Typhoon (Bronze Silhouette) ได้ถูกเชื่อมโยงเข้ากับ Botnet ที่มีความสามารถขั้นสูงในชื่อ 'KV-botnet' ซึ่งถูกใช้ในการโจมตีเราเตอร์ SOHO ในเป้าหมายที่มีมูลค่าสูงมาตั้งแต่ปี 2022
Volt Typhoon จะกำหนดเป้าหมายการโจมตีไปยังเราเตอร์, ไฟร์วอลล์ และอุปกรณ์ VPN โดยเชื่อมต่อไปยัง proxy traffic ที่เป็นอันตราย และผสมผสานกับการรับส่งข้อมูลที่เป็นปกติเพื่อไม่ให้ถูกตรวจพบ
Microsoft และรัฐบาลสหรัฐฯ ได้ออกรายงานที่คาดการณ์ว่ากลุ่ม Hacker กำลังสร้างโครงสร้างพื้นฐานเพื่อใช้ในการโจมตีหน่วยงานด้านการสื่อสารในสหรัฐอเมริกา รวมถึงจากรายงานของ Black Lotus Labs ซึ่งเปิดเผยว่าแคมเปญ Volt Typhoon ได้กำหนดเป้าหมายการโจมตีไปยัง Netgear ProSAFE firewalls, Cisco RV320s, DrayTek Vigor routers และล่าสุดคือ Axis IP cameras สอดคล้องกับพฤติกรรมการใช้งานของบริษัทในปัจจุบันที่เน้นการทำงานจากระยะไกล
โดยเครือข่ายการถ่ายโอนข้อมูลลับของ KV-botnet ที่ถูกใช้ในการโจมตี ซึ่งกำหนดเป้าหมายไปที่ผู้ให้บริการโทรคมนาคม และอินเทอร์เน็ต, หน่วยงานรัฐบาลในดินแดนของสหรัฐอเมริกาในเกาะกวม, บริษัทพลังงานหมุนเวียนในยุโรป และองค์กรทหารของสหรัฐอเมริกา โดยมีเป้าหมายในการขโมย และรวบรวมข้อมูลต่าง ๆ
ทั้งนี้พบการโจมตีของ KV-botnet เพิ่มขึ้นอย่างมากตั้งแต่เดือนสิงหาคม 2023 และอีกครั้งในช่วงกลางเดือนพฤศจิกายน 2023 โดยพบการโจมตีล่าสุดคือวันที่ 5 ธันวาคม 2023 ซึ่งแสดงให้เห็นถึงการโจมตีอย่างต่อเนื่อง
เทคนิคการโจมตีของ KV-botnet
Black Lotus ได้อธิบายการโจมตีของ KV-botnet เป็นสองกลุ่มได้แก่ 'KV' และ 'JDY.' โดย 'KV' จะกำหนดเป้าหมายการโจมตีไปที่เอนทิตีที่มีมูลค่าสูง และมีการดำเนินการด้วยตนเอง ส่วน 'JDY.'จะเป็นการสแกนในวงกว้างโดยใช้เทคนิคที่ซับซ้อนน้อยกว่า
โดย Botnet จะกำหนดเป้าหมายไปยังอุปกรณ์ SOHO (small office, home office) ที่หมดอายุการใช้งาน และมีการป้องกันด้านความปลอดภัยที่ไม่ดีพอ ซึ่งเป็นอุปกรณ์ที่มีสถาปัตยกรรม ได้แก่ ARM, MIPS, MIPSEL, x86_64, i686, i486 และ i386
KV-botnet ได้กำหนดเป้าหมายการโจมตีไปยัง Netgear ProSAFE firewalls, Cisco RV320s, DrayTek Vigor routers และล่าสุดคือ Axis IP cameras เช่นรุ่น M1045-LW, M1065-LW และ p1367-E
ซึ่ง Volt Typhoon มีไฟล์มัลแวร์ที่ซับซ้อนหลายไฟล์ เช่น bash scripts (kv.sh) ที่สามารถหยุดการทำงานของบาง Process โดยเฉพาะ และลบเครื่องมือรักษาความปลอดภัยที่ทำงานบนอุปกรณ์ที่ถูกโจมตี รวมถึง Botnet จะตั้งค่าพอร์ตแบบสุ่มสำหรับการเชื่อมต่อกับ C2 (command and control) server เพื่อหลบเลี่ยงการตรวจจับ และปลอมตัวโดยใช้ชื่อของ Process ที่มีอยู่ในระบบ รวมถึงฝังตัวใน Memory ที่ทำให้ตรวจจับได้ยาก
โดยคำสั่งของ KV-botnet ที่ได้รับจาก C2 server จะเกี่ยวข้องกับการอัปเดตการตั้งค่าการเชื่อมต่อ การขโมยข้อมูลบนเครื่อง การดำเนินการส่งข้อมูล การสร้างการเชื่อมต่อเครือข่าย การสั่งการโฮสต์ และอื่น ๆ รวมถึงอาจมีความสามารถในการ remote shell บนอุปกรณ์ SOHO ที่ถูกโจมตีอีกด้วย
กลุ่ม APT จากจีน
Black Lotus Labs ได้เชื่อมโยง KV-botnet กับ Volt Typhoon หลังจากพบ IP addresses ที่คล้ายกัน และเวลาทำงานที่สอดคล้องกับเวลามาตรฐานของจีน
รวมถึงเทคนิคการหลีกเลี่ยงการตรวจจับขั้นสูง และการซ่อนช่องทางการสื่อสาร เช่น การทำ tunneling layer ที่คล้ายกับกลยุทธ์ของ Volt Typhoon ที่ถูกค้นพบหน้านี้ และการเลือกเป้าหมาย รวมถึงความสนใจในภูมิภาค และประเภทขององค์กรโดยเฉพาะ
นอกจากนี้จากรายงานของ Lumen ยังระบุถึงการลดลงอย่างผิดปกติของการโจมตีของ KV-botnet ซึ่งเกิดขึ้นพร้อมกับการค้นพบการโจมตีของกลุ่ม Volt Typhoon ต่อสาธารณะ โดย CISA ในเดือนพฤษภาคม 2023
Lumen ได้เผยแพร่ indicators of compromise (IOCs) ของ KV-botnet ไว้ดังนี้ :
207.246.100[.]151
66.42.124[.]155
104.156.246[.]150
192.169.6[.]241
149.28.119[.]73
45.32.88[.]250
144.202.43[.]124
108.61.203[.]19
140.82.20[.]246
159.203.72[.]166
140.82.20[.]246
108.61.132[.]157
144.202.49[.]189
174.138.56[.]21
159.203.113[.]25
216.128.179[.]235
216.128.180[.]232
155.138.146[.]162
45.156.21[.]172
45.11.92[.]176
193.36.119[.]48
ที่มา : bleepingcomputer , github
You must be logged in to post a comment.