กลุ่มผู้โจมตีรายหนึ่ง ซึ่งคาดว่ามีความเชื่อมโยงกับประเทศจีน ถูกพบว่าดำเนินการโจมตีที่มุ่งเป้าไปยังระบบโครงสร้างพื้นฐานที่สำคัญในอเมริกาเหนือมาอย่างต่อเนื่อง อย่างน้อยตั้งแต่ปีที่ผ่านมา
Cisco Talos ซึ่งติดตามกิจกรรมนี้ภายใต้ชื่อ UAT-8837 ประเมินว่ากลุ่มดังกล่าวเป็น APT ที่มีสายสัมพันธ์กับจีน โดยให้ระดับความเชื่อมั่นในระดับปานกลาง จากการพบความคล้ายกันของกลยุทธ์ที่สอดคล้องกับแคมเปญอื่น ๆ ของกลุ่มผู้โจมตีในภูมิภาคเดียวกัน
บริษัทรักษาความมั่นคงปลอดภัยไซเบอร์ชี้ว่า จากการวิเคราะห์รูปแบบเทคนิค และขั้นตอนการปฏิบัติงการ รวมถึงกิจกรรมที่เกิดขึ้นภายหลังการโจมตี แสดงว่ากลุ่มผู้โจมตีนี้มีเป้าหมายหลักในการเจาะเข้าสู่ระบบขององค์กรสำคัญที่มีมูลค่าสูงตั้งแต่ในระยะแรกเริ่ม
โดยระบุเพิ่มเติมว่า เมื่อสามารถเข้าถึงระบบได้แล้ว ไม่ว่าจะผ่านการโจมตีช่องโหว่ของเซิร์ฟเวอร์ หรือการใช้ข้อมูล credentials ที่ถูกขโมยมา กลุ่ม UAT-8837 จะเน้นการใช้เครื่องมือโอเพนซอร์สเพื่อเก็บรวบรวมข้อมูลสำคัญ อาทิ ข้อมูล credentials, การกำหนดค่าด้านความปลอดภัย ตลอดจนข้อมูลโดเมน และ Active Directory (AD) เพื่อสร้างช่องทางการเข้าถึงเหยื่อหลายเส้นทาง
กลุ่ม UAT-8837 ถูกตรวจพบว่าได้ใช้ช่องโหว่ zero-day ระดับ Critical (CVE-2025-53690, คะแนน CVSS 9.0) ของ Sitecore เพื่อเป็นช่องทางในการเข้าถึงระบในเบื้องต้น การโจมตีนี้มีลักษณะที่สอดคล้องกับแคมเปญที่ Mandiant ซึ่งเป็นบริษัทในเครือ Google เคยเปิดเผยข้อมูลไว้เมื่อเดือนกันยายน 2025 ทั้งในด้าน TTPs, เครื่องมือ และโครงสร้างพื้นฐานที่ใช้
แม้ว่าจะยังไม่เป็นที่แน่ชัดว่าการโจมตีทั้งสองกลุ่มนี้มาจากผู้โจมตีรายเดียวกันหรือไม่ แต่ก็มีข้อมูลที่บ่งชี้ว่า UAT-8837 อาจเข้าถึงช่องโหว่ zero-day เพื่อใช้ในการโจมตีทางไซเบอร์
เมื่อฝ่ายตรงข้ามสามารถยึดระบบภายในเครือข่ายเป้าหมายได้แล้ว ขั้นตอนถัดไปคือการ reconnaissance เบื้องต้น จากนั้นจะดำเนินการปิดใช้งานคุณสมบัติ RestrictedAdmin สำหรับ Remote Desktop Protocol (RDP) ซึ่งเป็นกลไกความปลอดภัยที่ถูกออกแบบมาเพื่อป้องกันการเปิดเผยข้อมูล credentials และทรัพยากรของผู้ใช้จากโฮสต์ที่ถูกโจมตี
มีการระบุว่า UAT-8837 จะเรียกใช้งาน "cmd.exe" เพื่อควบคุม และปฏิบัติการด้วยตนเองบนโฮสต์ที่ถูกโจมตี (hands-on keyboard) พร้อมทั้งดาวน์โหลดอาร์ติแฟกต์หลายรายการเพื่อรองรับกิจกรรมหลังการเจาะระบบ (post-exploitation) โดยเครื่องมือที่พบว่ามีการใช้งาน ได้แก่
- GoTokenTheft สำหรับขโมย access tokens
- EarthWorm เพื่อสร้าง reverse tunnel แบบ SOCKS เชื่อมต่อไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม
- DWAgent ใช้คงการเข้าถึงระบบจากระยะไกลอย่างถาวร และทำการ reconnaissance Active Directory
- SharpHound สำหรับเก็บรวบรวมข้อมูลจาก Active Directory
- Impacket เพื่อเรียกใช้คำสั่งด้วยสิทธิ์ที่ยกระดับ
- GoExec เครื่องมือที่พัฒนาด้วยภาษา Golang สำหรับรันคำสั่งบน endpoints อื่น ๆ ภายในเครือข่ายของเหยื่อ
- Rubeus ชุดเครื่องมือภาษา C# สำหรับการโต้ตอบ และการใช้ประโยชน์จาก Kerberos
- Certipy เครื่องมือสำหรับการค้นหา และการใช้ประโยชน์จาก Active Directory
นักวิจัย Asheer Malhotra, Vitor Ventura และ Brandon White ได้เปิดเผยว่า UAT-8837 อาจใช้ชุดคำสั่งหลายชุดในระหว่างการโจมตี เพื่อรวบรวมข้อมูลที่มีความสำคัญ เช่น ข้อมูล credentials จากองค์กรที่ตกเป็นเป้าหมาย
“มีรายงานว่า UAT-8837 ได้ลักลอบส่งออกไฟล์ DLL ซึ่งเป็นไลบรารีที่ใช้ร่วมกันของผลิตภัณฑ์องค์กรเหยื่อรายหนึ่งออกไป สิ่งนี้แสดงให้เห็นถึงความเป็นไปได้ที่ไลบรารีเหล่านี้อาจถูกฝังโค้ด trojanized ในอนาคต สถานการณ์ดังกล่าวไม่เพียงแต่เปิดช่องให้เกิดการโจมตีแบบ supply chain attack เท่านั้น แต่ยังช่วยให้ผู้โจมตีสามารถทำรีเวิร์สเอนจิเนียริงเพื่อค้นหาช่องโหว่ในผลิตภัณฑ์ของเหยื่อได้อีกด้วย”
การเปิดเผยข้อมูลนี้เกิดขึ้นเพียงหนึ่งสัปดาห์หลังจากที่ Talos ระบุว่า ผู้โจมตีอีกรายที่มีความเชื่อมโยงกับจีน ซึ่งใช้ชื่อว่า UAT-7290 มีส่วนเกี่ยวข้องกับการโจมตีที่มุ่งเป้าไปยังหน่วยงานในเอเชียใต้ และยุโรปตะวันออกเฉียงใต้ โดยใช้ตระกูลมัลแวร์ เช่น RushDrop, DriveSwitch และ SilentRaid
ในช่วงหลายปีที่ผ่านมา ความวิตกกังวลเกี่ยวกับกลุ่มผู้โจมตีจากจีนที่มุ่งเป้าโจมตีโครงสร้างพื้นฐานที่สำคัญ ได้ทำให้รัฐบาลประเทศตะวันตกต้องออกประกาศเตือนอย่างต่อเนื่อง เมื่อต้นสัปดาห์ที่ผ่านมา หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์ และข่าวกรองจากออสเตรเลีย, เยอรมนี, เนเธอร์แลนด์, นิวซีแลนด์, สหราชอาณาจักร และสหรัฐอเมริกา ได้ร่วมกันเตือนถึงภัยคุกคามที่เพิ่มสูงขึ้นต่อสภาพแวดล้อมของระบบเทคโนโลยี OT
แนวทางที่เผยแพร่ออกมานี้ได้กำหนดกรอบสำหรับการออกแบบ การป้องกัน และการบริหารจัดการการเชื่อมต่อของระบบ OT โดยเน้นให้องค์กรลดการเปิดเผยความเสี่ยง รวมศูนย์ และทำให้การเชื่อมต่อเครือข่ายเป็นมาตรฐานเดียว ใช้โปรโตคอลที่ปลอดภัย เสริมความแข็งแกร่งให้ขอบเขตของระบบ OT ตรวจสอบ และบันทึกการเชื่อมต่อทั้งหมดอย่างสม่ำเสมอ และหลีกเลี่ยงการใช้งานทรัพยากรที่ล้าสมัยซึ่งอาจเพิ่มโอกาสเกิดเหตุด้านความมั่นคงปลอดภัย
การเชื่อมต่อของระบบเทคโนโลยี OT ที่เปิดเผย และไม่มีความปลอดภัยถือเป็นเป้าหมายสำคัญของทั้งผู้โจมตีที่แสวงหาโอกาส และกลุ่มผู้โจมตีที่มีศักยภาพสูง โดยเฉพาะอย่างยิ่งกลุ่มที่ได้รับการสนับสนุนจากรัฐบาล ซึ่งมุ่งโจมตีเครือข่ายโครงสร้างพื้นฐานแห่งชาติที่สำคัญอย่างต่อเนื่อง อย่างไรก็ตาม ภัยคุกคามไม่ได้จำกัดอยู่แค่กลุ่มที่ได้รับการสนับสนุนจากรัฐบาลเท่านั้น เนื่องจากเหตุการณ์ล่าสุดยังแสดงให้เห็นว่า โครงสร้างพื้นฐาน OT ที่ไม่มีการป้องกันอาจตกเป็นเป้าหมายของการโจมตีโดยกลุ่มแฮ็กทิวิสต์ได้เช่นกัน
ที่มา: thehackernews
You must be logged in to post a comment.