กลุ่ม APT (Advanced Persistent Threat) ที่ชื่อว่า ScarCruft ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ได้เริ่มปฏิบัติการโจมตีด้วยมัลแวร์รูปแบบใหม่ที่มีความซับซ้อน โดยมุ่งเป้าไปที่ผู้ใช้งานในเกาหลีใต้ผ่านการแจ้งเตือนปลอมเกี่ยวกับการอัปเดตรหัสไปรษณีย์
การโจมตีครั้งล่าสุดนี้สะท้อนให้เห็นถึงวิวัฒนาการครั้งสำคัญในขีดความสามารถด้านการปฏิบัติการของกลุ่ม และนับเป็นครั้งแรกที่ตรวจพบการใช้ Ransomware ควบคู่ไปกับเครื่องมือจารกรรมข้อมูลแบบดั้งเดิมของพวกเขา
แคมเปญดังกล่าวยังแสดงให้เห็นถึงการนำภาษา programming สมัยใหม่ และโครงสร้างพื้นฐานสำหรับ Command-and-Control ที่มีความแปลกใหม่มาปรับใช้ เพื่อช่วยหลบเลี่ยงการตรวจจับได้อย่างมีประสิทธิภาพยิ่งขึ้น
ขั้นตอนการโจมตี คือ เริ่มจากไฟล์ LNK ที่เป็นอันตราย ซึ่งถูกฝังอยู่ในไฟล์ RAR โดยถูกปลอมแปลงให้ดูเหมือนเป็นการแจ้งเตือนจากบริการของทางไปรษณีย์ที่ถูกต้อง
เมื่อผู้ใช้เปิดไฟล์ LNK ดังกล่าว มันจะเรียกใช้ตัว Loader ที่เขียนด้วยภาษา AutoIt ซึ่งจะทำหน้าที่เรียกใช้งาน Payloads หลายตัวจากเซิร์ฟเวอร์ภายนอก ทำให้เกิดกระบวนการโจมตีแบบหลายขั้นตอนที่ออกแบบมาเพื่อหลบเลี่ยงมาตรการความปลอดภัยแบบดั้งเดิม
แคมเปญการโจมตีนี้เชื่อว่าเป็นฝีมือของ ChinopuNK ซึ่งเป็นกลุ่มย่อยที่มีความเชี่ยวชาญเป็นพิเศษภายใต้กลุ่ม ScarCruft โดยจะมุ่งเน้นการแพร่กระจายมัลแวร์หลากหลายประเภทผ่านแพลตฟอร์มการส่งข้อความแบบเรียลไทม์
นักวิจัยจาก S2W ได้ตรวจพบตัวอย่างมัลแวร์ที่แตกต่างกันมากถึง 9 รายการในแคมเปญนี้ โดยหลายรายการแสดงให้เห็นถึงความก้าวหน้าทางเทคโนโลยีที่สำคัญของกลุ่มผู้โจมตีอีกด้วย
หนึ่งในความเคลื่อนไหวที่โดดเด่นที่สุดคือ NubSpy ซึ่งเป็น Backdoor ที่ใช้บริการ PubNub สำหรับการสื่อสารกับ Command-and-Control และ CHILLYCHINO เป็น Backdoor ที่พัฒนาขึ้นด้วยภาษา Rust โดยดัดแปลงมาจากเวอร์ชันก่อนหน้าที่ใช้ PowerShell
นอกจากนี้ แคมเปญการโจมตีครั้งนี้ยังได้เปิดตัว VCD Ransomware ที่จะทำการเข้ารหัสไฟล์ของเหยื่อให้มีนามสกุลเป็น .VCD นับเป็นการโจมตีด้วย Ransomware ครั้งแรกของกลุ่ม ScarCruft ที่ถูกตรวจพบ และบันทึกไว้
นวัตกรรมทางเทคนิค และการหลบเลี่ยงการตรวจจับ
การนำภาษา Rust มาใช้ในการพัฒนา Backdoor ถือเป็นการปรับกลยุทธ์เชิงเทคนิคที่สำคัญ เพื่อเพิ่มความสามารถในการหลบเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัยให้สูงขึ้น
มัลแวร์ CHILLYCHINO แสดงให้เห็นถึงความมุ่งมั่นของกลุ่ม ScarCruft ในการปรับปรุงชุดเครื่องมือของตนให้ทันสมัย โดยการย้ายฟังก์ชันการทำงานเดิมจาก PowerShell มาเป็นภาษาแบบ compiled ที่มีประสิทธิภาพสูงกว่า และมีอัตราการถูกตรวจจับโดย Antivirus ลดลง
มัลแวร์ตัวนี้ยังใช้บริการ PubNub ที่เป็นแพลตฟอร์มส่งข้อความแบบเรียลไทม์ที่ถูกต้องตามกฎหมาย มาเป็นช่องทาง Command-and-Control ซึ่งช่วยให้ผู้ควบคุมสามารถผสมผสาน traffic ที่เป็นอันตรายเข้ากับการสื่อสารปกติบนเครือข่าย ทำให้การตรวจจับทำได้ยากขึ้น
ความซับซ้อนทางเทคนิคของแคมเปญนี้ ประกอบกับการนำความสามารถของ ransomware มาใช้งาน แสดงให้เห็นว่ากลุ่ม ScarCruft อาจจะกำลังขยายขอบเขตการโจมตีจากการจารกรรมข้อมูลแบบดั้งเดิม ไปสู่การโจมตีที่มุ่งหวังผลประโยชน์ทางการเงิน ซึ่งถือเป็นวิวัฒนาการที่น่ากังวลอย่างยิ่งในกลยุทธ์การทำสงครามไซเบอร์ของเกาหลีเหนือ
ที่มา : cybersecuritynews
You must be logged in to post a comment.