นักวิจัยจาก SecurityScorecard ระบุว่า กลุ่มผู้โจมตี Volt Typhoon ที่ได้รับการสนับสนุนจากรัฐบาลจีน ได้เริ่มสร้าง "KV-Botnet" botnet ขึ้นมาใหม่หลังจากที่ถูกหน่วยงานบังคับใช้กฎหมายเข้ามาควบคุมในเดือนมกราคม 2024
Volt Typhoon เป็นกลุ่มภัยคุกคามทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน ซึ่งมีข้อมูลว่าสามารถเข้าแทรกซึมโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ รวมถึงเครือข่ายอื่น ๆ ทั่วโลกได้ตั้งแต่เมื่อ 5 ปีที่แล้ว
เป้าหมายหลักของพวกเขาคือการโจมตีอุปกรณ์เราเตอร์ SOHO และอุปกรณ์เครือข่าย เช่น Netgear ProSAFE firewalls, Cisco RV320s, DrayTek Vigor routers และ Axis IP cameras เพื่อติดตั้งมัลแวร์ที่มีการสร้างขึ้นมาเองโดยเฉพาะ ซึ่งใช้ในการสื่อสาร และสร้างช่องทางการเชื่อมต่อพร็อกซีแบบลับ ๆ เพื่อให้สามารถแฝงตัวอยู่ในเครือข่ายเป้าหมายได้นานยิ่งขึ้น
ในเดือนมกราคม 2024 หน่วยงานสหรัฐฯ ได้ประกาศว่าสามารถขัดขวาง botnet ของกลุ่ม Volt Typhoon รวมถึงทำการลบมัลแวร์ออกจากเราเตอร์ที่ถูกโจมตี
แม้ความพยายามครั้งแรกของกลุ่ม Volt Typhoon ในการฟื้นฟู botnet ในเดือนกุมภาพันธ์จะล้มเหลว แต่รายงานการโจมตีโดยใช้ช่องโหว่ zero-day จากกลุ่มผู้โจมตีในเดือนสิงหาคม 2024 แสดงให้เห็นว่ากลุ่มนี้ยังคงมีการเคลื่อนไหวอยู่
ตามรายงานของ SecurityScorecard พบว่ากลุ่ม Volt Typhoon ได้เริ่มสร้าง botnet ขึ้นมาใหม่ โดยกำหนดเป้าหมายไปที่เราเตอร์ Cisco และ Netgear ที่มีช่องโหว่ และได้โจมตีอุปกรณ์จำนวนมากในเวลาเพียงหนึ่งเดือนกว่า
เราเตอร์เหล่านี้ถูกโจมตีโดยใช้มัลแวร์ที่ใช้ MIPS-based และ webshells ที่มีการสื่อสารผ่านพอร์ตที่ไม่ได้มาตรฐาน ทำให้การตรวจจับทำได้ยากมากขึ้น
Volt Typhoon กลับมาโจมตีอีกครั้ง
SecurityScorecard รายงานว่าตั้งแต่เดือนกันยายน 2024 เป็นต้นมา กลุ่ม Volt Typhoon ได้กลับมาโจมตีเครือข่าย และอุปกรณ์ต่าง ๆ อีกครั้ง ซึ่งส่วนใหญ่ตั้งอยู่ในเอเชีย
เครือข่าย KV-Botnet หรือที่ SecurityScorecard เรียกอีกชื่อหนึ่งว่า ‘JDYFJ Botnet’ เนื่องมาจากพบ SSL certificate ที่มีการ self-signed ในอุปกรณ์ที่ถูกโจมตี โดยพยายามโจมตีระบบของอุปกรณ์ Cisco RV320/325 และ Netgear ProSafe series เป็นหลัก
นักวิจัยจาก STRIKE Team ของ SecurityScorecard เปิดเผยว่าในช่วงเวลาเพียง 37 วันกลุ่ม Volt Typhoon ได้โจมตีอุปกรณ์ Cisco RV320/325 ที่เชื่อมต่อกับอินเทอร์เน็ตไปแล้วประมาณ 30% อย่างไรก็ตาม ยังไม่ทราบว่าอุปกรณ์เหล่านี้ถูกโจมตีได้อย่างไร
นักวิจัยระบุกับ BleepingComputer ว่า “ยังไม่ทราบแน่ชัดว่ามีช่องโหว่ใดบ้างที่ถูกใช้ในการโจมตี อย่างไรก็ตามเนื่องจากอุปกรณ์ดังกล่าวใกล้จะหมดอายุการใช้งานแล้ว จึงไม่สามารถทำการอัปเดตได้อีก”
นักวิจัยยังระบุเพิ่มเติมกับ BleepingComputer ว่า พวกเขายังไม่มีข้อมูลแน่ชัดเกี่ยวกับมัลแวร์ที่ถูกใช้ในปฏิบัติการของ botnet ที่ถูกฟื้นคืนกลับมา แต่พวกเขาสังเกตว่าอุปกรณ์บางตัวที่เคยติดมัลแวร์ก่อนได้กลับมาออนไลน์อีกครั้ง
การทำงานของ KV-Botnet ดูเหมือนจะเป็นการปกปิดพฤติกรรมที่เป็นอันตราย โดยมีการส่งข้อมูลผ่านโครงสร้างพื้นฐานขององค์กรที่ถูกโจมตี
เซิร์ฟเวอร์ C2 ของ botnet นี้อยู่บน Digital Ocean, Quadranet และ Vultr เพื่อต้องการให้เครือข่ายของเซิร์ฟเวอร์ C2 มีความหลากหลาย และยืดหยุ่นมากยิ่งขึ้น
สิ่งที่น่าสนใจคือกลุ่ม Volt Typhoon ใช้อุปกรณ์ VPN ที่ถูกโจมตีในประเทศในหมู่เกาะแปซิฟิกของนิวแคลิโดเนียเป็นเส้นทางการรับส่งข้อมูลระหว่างเอเชียแปซิฟิก และอเมริกา โดยทำหน้าที่เป็นศูนย์กลางการซ่อนตัวอย่างแนบเนียน
เมื่อกล่าวถึงการเลือกใช้ตำแหน่งนี้ SecurityScorecard ระบุกับ BleepingComputer ว่า น่าจะเป็นการตัดสินใจโดยอิงจากปัจจัยด้านภูมิศาสตร์ของกลุ่มผู้โจมตี
พฤติกรรมที่พบนี้แสดงให้เห็นว่ากลุ่ม Volt Typhoon ได้กลับมาปฏิบัติการโจมตีอีกครั้ง และแม้ขนาดของ botnet จะยังไม่ใหญ่เท่ากับครั้งก่อน ๆ แต่กลุ่มแฮ็กเกอร์จากจีนกลุ่มนี้ยังคงมีความมุ่งมั่นที่จะปฏิบัติการต่อไป
เพื่อป้องกันภัยคุกคามนี้ ควรเปลี่ยนอุปกรณ์เราเตอร์รุ่นเก่าที่ไม่ได้รับการสนับสนุนแพตซ์ด้านความปลอดภัยเป็นอุปกรณ์รุ่นใหม่ โดยควรติดตั้งไว้หลังไฟร์วอลล์ และปิดการเข้าถึง admin panels จากอินเทอร์เน็ต รวมไปถึงควรเปลี่ยนข้อมูล credentials ของ admin ที่มีการตั้งค่าแบบ default ด้วย
หากใช้เราเตอร์ SOHO รุ่นใหม่ ควรติดตั้งเฟิร์มแวร์เวอร์ชันล่าสุดเมื่อมีการอัปเดตเพื่อแก้ไขช่องโหว่
ที่มา : bleepingcomputer
You must be logged in to post a comment.