ตั้งแต่ต้นปีที่ผ่านมา กลุ่มแฮ็กเกอร์ ColdRiver ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ได้ใช้มัลแวร์ตัวใหม่ที่มีชื่อว่า LostKeys เพื่อขโมยไฟล์ข้อมูล โดยมีเป้าหมายเป็นรัฐบาลชาติตะวันตก, นักข่าว, ศูนย์วิจัยนโยบาย และองค์กรพัฒนาเอกชน (NGOs)
เมื่อเดือนธันวาคม 2024 ที่ผ่านมา สหราชอาณาจักรร่วมกับกลุ่มพันธมิตร Five Eyes ได้เชื่อมโยงกลุ่ม ColdRiver กับหน่วยงานความมั่นคงของรัสเซียที่ชื่อว่า FSB (Federal Security Service) ซึ่งทำหน้าที่เป็นหน่วยงานด้านข่าวกรอง และความมั่นคงภายในของประเทศ
Google Threat Intelligence Group (GTIG) พบการใช้มัลแวร์ LostKeys ครั้งแรกในเดือนมกราคมที่ผ่านมา โดยพบว่ามีการนำมาใช้กับเป้าหมายที่ถูกคัดเลือกมาเป็นพิเศษ ผ่านการโจมตีแบบ social engineering ที่เรียกว่า ClickFix ซึ่งผู้โจมตีจะหลอกให้เป้าหมายรันสคริปต์ PowerShell ที่เป็นอันตราย
การรันสคริปต์เหล่านี้จะดาวน์โหลด และเรียกใช้ PowerShell payloads เพิ่มเติมบนอุปกรณ์ของเหยื่อ และท้ายที่สุดจะจบลงด้วยมัลแวร์ขโมยข้อมูลประเภท Visual Basic Script (VBS) ที่ Google ติดตามภายใต้ชื่อ LostKeys
GTIG ระบุว่า "LOSTKEYS สามารถขโมยไฟล์ข้อมูลจากรายการนามสกุลของไฟล์ และไดเรกทอรีที่ถูกกำหนดไว้ล่วงหน้า รวมถึงสามารถส่งข้อมูลระบบ และ Process ที่กำลังทำงานอยู่ไปยังผู้โจมตีได้"
"พฤติกรรมทั่วไปของกลุ่ม COLDRIVER คือการขโมยข้อมูล credentials และนำไปใช้เพื่อขโมยข้อมูลอีเมล และรายชื่อผู้ติดต่อจากเป้าหมาย แต่ตามที่เคยบันทึกไว้ พวกเขายังสามารถติดตั้งมัลแวร์ที่เรียกว่า SPICA ไปยังเป้าหมายที่เลือกไว้ได้ หากต้องการเข้าถึงเอกสารในระบบของเป้าหมาย, LOSTKEYS ถูกออกแบบมาเพื่อให้บรรลุเป้าหมายที่คล้ายกัน และถูกนำไปใช้เฉพาะในกรณีที่มีการคัดเลือกอย่างรอบคอบแล้วเท่านั้น"
กลุ่ม ColdRiver ไม่ใช่กลุ่มเดียวที่ได้รับการสนับสนุนจากรัฐบาลที่ใช้การโจมตีแบบ ClickFix เพื่อเจาะเข้าไปในอุปกรณ์ของเป้าหมาย โดยกลุ่ม Kimsuky (เกาหลีเหนือ), MuddyWater (อิหร่าน), APT28 และ UNK_RemoteRogue (รัสเซีย) ต่างก็ใช้เทคนิคเดียวกันกับแคมเปญในลักษณะการจารกรรมข้อมูลในช่วงไม่กี่เดือนที่ผ่านมา
กลุ่มแฮ็กเกอร์ ColdRiver ที่ถูกติดตามในชื่ออื่น ๆ เช่น Star Blizzard, Callisto Group และ Seaborgium ได้ใช้เทคนิค social engineering และ open-source intelligence (OSINT) ในการศึกษาข้อมูล และล่อลวงเป้าหมายมาตั้งแต่ปี 2017
หน่วยงานความมั่นคงทางไซเบอร์ของกลุ่มพันธมิตร Five Eyes ยังได้ออกคำเตือนในเดือนธันวาคม 2023 เกี่ยวกับการโจมตีแบบ spear-phishing ของ ColdRiver ที่พุ่งเป้าไปยังหน่วยงานด้านกลาโหม, หน่วยงานรัฐบาล, องค์กร NGO และนักการเมือง หลังจากที่รัสเซียรุกรานยูเครน และการโจมตีเหล่านี้ยังได้ขยายไปสู่เป้าหมายในภาคอุตสาหกรรมการป้องกันประเทศ และสถานที่ของกระทรวงพลังงานของสหรัฐฯ อีกด้วย
ในปี 2022 Microsoft Threat Intelligence Center (MSTIC) ได้ขัดขวางปฏิบัติการ social engineering ของกลุ่ม ColdRiver อีกครั้ง โดยที่ผู้โจมตีได้ใช้บัญชี Microsoft เพื่อเก็บข้อมูลอีเมล และติดตามกิจกรรมขององค์กรต่าง ๆ รวมถึงบุคคลสำคัญในประเทศสมาชิก NATO
กระทรวงการต่างประเทศสหรัฐฯ ได้คว่ำบาตรสมาชิกกลุ่ม ColdRiver จำนวน 2 รายในเดือนธันวาคม 2023 ซึ่งหนึ่งในนั้นเป็นเจ้าหน้าที่ของหน่วย FSB โดยทั้งสองคนยังถูกกระทรวงยุติธรรมสหรัฐฯ ฟ้องร้องในข้อหาที่มีส่วนเกี่ยวข้องกับแคมเปญ global hacking ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย
ปัจจุบัน กระทรวงการต่างประเทศสหรัฐฯ เสนอเงินรางวัลสูงสุดถึง 10 ล้านดอลลาร์ สำหรับผู้ที่ให้เบาะแส และนำไปสู่การระบุตัวตนหรือจับกุมสมาชิกกลุ่ม ColdRiver รายอื่น ๆ ได้
ที่มา :bleepingcomputer
You must be logged in to post a comment.