มีการพบว่ากลุ่ม APT ที่ใช้ภาษาจีน กำลังมุ่งเป้าการโจมตีไปยังหน่วยงานด้านโครงสร้างพื้นฐานเว็บในไต้หวัน โดยใช้เครื่องมือ Open-Source ที่ถูกปรับแต่งเพื่อสร้างการแฝงตัวระยะยาวในสภาพแวดล้อมของเหยื่อที่มีมูลค่าสูง
ปฏิบัติการนี้ถูกพบโดย Cisco Talos โดยถูกระบุว่าเป็นปฏิบัติการของกลุ่ม UAT-7237 ซึ่งเชื่อว่ามีการเคลื่อนไหวมาตั้งแต่ปี 2022 และถูกประเมินว่าเป็นกลุ่มย่อยของ UAT-5918 ซึ่งเป็นที่รู้จักจากการโจมตีหน่วยงานโครงสร้างพื้นฐานที่สำคัญในไต้หวันตั้งแต่ปี 2023
Talos ระบุว่า “UAT-7237 ได้ดำเนินการเจาะระบบล่าสุดที่มุ่งเป้าไปยังหน่วยงานโครงสร้างพื้นฐานเว็บในไต้หวัน โดยอาศัยการใช้เครื่องมือ Open-Source ที่ปรับแต่งในระดับหนึ่ง เพื่อหลีกเลี่ยงการตรวจจับ และดำเนินปฏิบัติการที่เป็นอันตรายในองค์กรที่ถูกบุกรุก”
การโจมตีมีลักษณะสำคัญคือการใช้ shellcode loader แบบเฉพาะกิจชื่อ SoundBill ที่ถูกออกแบบมาเพื่อถอดรหัส และรันเพย์โหลดรอง เช่น Cobalt Strike
แม้ว่าจะมีความคล้ายคลึงทางเทคนิคการโจมตีกับกลุ่ม UAT-5918 แต่รูปแบบการทำงานของ UAT-7237 มีความแตกต่างที่ชัดเจน เช่น การใช้ Cobalt Strike เป็น backdoor หลัก, การเลือกติดตั้ง web shell เฉพาะเจาะจงหลังการเจาะระบบสำเร็จ และรวมถึงการใช้ Remote Desktop Protocol (RDP) โดยตรง และ SoftEther VPN clients เพื่อการเข้าถึงระบบ
Attack chains เริ่มจากการใช้ช่องโหว่ที่เป็นที่รู้จักในเซิร์ฟเวอร์ที่ยังไม่ได้อัปเดต และเปิดเผยสู่สาธารณะ จากนั้นผู้โจมตีจะทำการสำรวจ และเก็บข้อมูล fingerprinting เพื่อตัดสินใจว่าเป้าหมายควรถูกโจมตีต่อหรือไม่
นักวิจัย Asheer Malhotra, Brandon White และ Vitor Ventura ระบุว่า “ในขณะที่ UAT-5918 จะรีบติดตั้ง web shell เพื่อสร้างช่องทาง backdoor ทันที UAT-7237 มีความแตกต่างชัดเจน โดยเลือกใช้ SoftEther VPN client (คล้ายกับ Flax Typhoon) เพื่อคงการเข้าถึงไว้ และเข้าถึงระบบต่อมาผ่าน RDP ในภายหลัง”
หลังจากยึดระบบได้สำเร็จ ผู้โจมตีจะโจมตีต่อไปยังระบบอื่นภายในองค์กรเพื่อขยายการควบคุม และดำเนินปฏิบัติการอื่น ๆ เพิ่มเติม รวมถึงการปรับใช้ SoundBill ซึ่งเป็น shellcode loader ที่พัฒนาจาก VTHello เพื่อเปิดใช้งาน Cobalt Strike
นอกจากนี้ ยังมีการติดตั้ง JuicyPotato สำหรับการยกระดับสิทธิ์ ซึ่งเป็นที่นิยมในกลุ่มแฮ็กเกอร์จีน และ Mimikatz สำหรับดึงข้อมูล Credentials บนระบบที่ถูกโจมตี สิ่งที่น่าสนใจคือ ในบางการโจมตีภายหลัง SoundBill รุ่นอัปเดตได้ถูกนำมาใช้โดยฝัง Mimikatz instance ไว้ภายในเพื่อทำหน้าที่เดียวกัน
นอกจากการใช้ FScan เพื่อระบุ port ที่เปิดอยู่จาก IP subnets แล้ว ยังพบว่า UAT-7237 พยายามแก้ไข Windows Registry เพื่อปิดการทำงานของ User Account Control (UAC) และเปิดการเก็บรหัสผ่านแบบ cleartext
Talos ระบุว่า “UAT-7237 กำหนดให้ตัวย่อภาษาจีน เป็นภาษาหลักในการแสดงผลในไฟล์ Config ของ [SoftEther] VPN client ซึ่งแสดงให้เห็นว่าผู้ปฏิบัติการมีความชำนาญในภาษานี้”
การเปิดเผยนี้เกิดขึ้นหลังจากที่ Intezer ระบุว่า ได้พบ backdoor แบบใหม่ที่รู้จักกันในชื่อ FireWood ซึ่งเชื่อมโยงกับกลุ่มผู้โจมตีจากจีนชื่อว่า Gelsemium แม้ว่าจะมีความน่าเชื่อถือต่ำก็ตาม
FireWood ถูกพบครั้งแรกโดย ESET ในเดือนพฤศจิกายน 2024 โดยระบุความสามารถในการใช้ rootkit module ของ kernel driver ชื่อ usbdev.ko เพื่อซ่อน process และสามารถรันคำสั่งต่าง ๆ ที่ส่งมาจากเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมได้
Nicole Fishbein นักวิจัยจาก Intezer ระบุว่า “ฟังก์ชันหลักของ backdoor ยังคงเหมือนเดิม แต่พบการเปลี่ยนแปลงบางส่วนในด้านการใช้งาน และการกำหนดค่าของ backdoor” “ยังไม่ชัดเจนว่า module kernel ได้รับการอัปเดตด้วยหรือไม่ เนื่องจากไม่สามารถเก็บรวบรวมไฟล์นั้นได้”
ที่มา : thehackernews
You must be logged in to post a comment.