Cavern Manticore ใช้ประโยชน์จาก SysAid RMM และเทคนิค DLL Sideloading ของ WinDirStat เพื่อติดตั้ง C2 Framework

มีการตรวจพบกลุ่มแฮ็กเกอร์กลุ่มใหม่ที่มีความเชื่อมโยงกับประเทศอิหร่าน ซึ่งอาศัยเครื่องมือด้านไอทีทั่วไปในการแอบฝังมัลแวร์ลงในเครือข่ายของอิสราเอล

นักวิจัยได้ตั้งชื่อกลุ่มนี้ว่า "Cavern Manticore" และปฏิบัติการล่าสุดของกลุ่มนี้แสดงให้เห็นว่าผู้โจมตีมีความคิดสร้างสรรค์ในการซ่อนตัวในจุดที่มองเห็นได้ชัดเจน

แทนที่จะใช้วิธีเจาะช่องโหว่ กลุ่มแฮ็กเกอร์นี้กลับเลือกอาศัยซอฟต์แวร์ที่องค์กรต่าง ๆ ให้ความไว้วางใจอยู่แล้ว หัวใจสำคัญของปฏิบัติการนี้คือเทคนิคการเปลี่ยนซอฟต์แวร์ที่มีประโยชน์ให้กลายเป็นเครื่องมือสำหรับจัดส่งโปรแกรมสอดแนมเข้าสู่ระบบ

ผู้โจมตีได้นำ SysAid ซึ่งเป็นแพลตฟอร์มสำหรับตรวจสอบ และจัดการระบบจากระยะไกล มาใช้ในทางที่ผิดเพื่อปล่อยอัปเดตซอฟต์แวร์ปลอม การอัปเดตดังกล่าวจะแอบฝังไฟล์ที่ดูเหมือนจะเป็นไฟล์ปกติ ซึ่งแท้จริงแล้วทำหน้าที่โหลดโค้ดอันตรายที่ซ่อนอยู่ โดยวิธีการนี้เป็นที่รู้จักกันในชื่อ "DLL sideloading"

นักวิจัยจาก Check Point ตรวจพบปฏิบัติการดังกล่าว หลังจากเจาะลึกดูกิจกรรมที่ผิดปกติซึ่งเชื่อมโยงกับ IT Service Providers ในประเทศอิสราเอล กลุ่มแฮ็กเกอร์ไม่ได้หยุดอยู่แค่บริษัทเดียว แต่ได้ใช้ผู้ให้บริการไอทีรายแรกที่เจาะระบบได้เป็นทางผ่านไปยังองค์กรแห่งที่สอง ก่อนที่จะเข้าถึงเป้าหมายที่แท้จริงในที่สุด

Check Point ระบุในรายงานที่เผยแพร่ร่วมกับ Cyber Security News (CSN) ว่า มัลแวร์ตัวนี้มีชื่อว่า "Cavern" ซึ่งทำงานในรูปแบบ Modular framework นั่นหมายความว่าส่วนประกอบต่าง ๆ ของมัลแวร์สามารถสลับสับเปลี่ยนเข้าออกได้ ขึ้นอยู่กับว่าผู้โจมตีต้องการจะทำอะไร

โมดูลบางส่วนมีหน้าที่จัดการการสื่อสารพื้นฐาน ในขณะที่บางส่วนถูกสร้างขึ้นมาเพื่อขโมยไฟล์, ล้วงข้อมูลในฐานข้อมูล หรือสแกนเครือข่าย การออกแบบในลักษณะนี้ช่วยให้กลุ่มแฮ็กเกอร์สามารถปรับแต่งรูปแบบการโจมตีในแต่ละครั้งได้ โดยไม่จำเป็นต้องสร้างมัลแวร์ขึ้นมาใหม่ทั้งหมด

สิ่งที่ทำให้มัลแวร์ Cavern ยากต่อการตรวจจับคือ การนำโค้ดชุดเดียวกันมา Compile ด้วยวิธีที่แตกต่างกันถึง 3 รูปแบบ โดยแต่ละเวอร์ชันจำเป็นต้องใช้ชุดเครื่องมือวิเคราะห์ที่แตกต่างกันออกไป ซึ่งเป็นเทคนิคที่ตั้งใจถ่วงเวลาทีมรักษาความปลอดภัยที่พยายามจะแกะรอยการทำงานของมัลแวร์ตัวนี้

เมื่อประกอบเข้ากับหลักฐานที่เชื่อมโยงไปยังกลุ่มแฮ็กเกอร์ชาวอิหร่านอย่าง MuddyWater และ Lyceum ข้อมูลเหล่านี้ล้วนบ่งชี้ว่านี่คือฝีมือของผู้โจมตีที่มีความอดทนสูง และมีทรัพยากรอยู่ในมือ

Cavern Manticore ใช้ประโยชน์จาก SysAid RMM และเทคนิค DLL Sideloading ของ WinDirStat

กระบวนการติดมัลแวร์เริ่มต้นขึ้นเมื่อกลุ่มแฮ็กเกอร์ Cavern Manticore ฉวยโอกาสจากฟีเจอร์อัปเดตซอฟต์แวร์ภายในระบบ SysAid เพื่อลักลอบส่งชุดไฟล์ที่แนบมากับ WinDirStat ซึ่งเป็นเครื่องมือตรวจสอบการใช้งานพื้นที่ดิสก์ที่เป็นโปรแกรมที่ถูกต้องตามปกติ

เมื่อโปรแกรม WinDirStat ของแท้ถูกเรียกใช้งาน ตัวโปรแกรมจะทำการโหลดไฟล์ระบบ Windows เวอร์ชันปลอมที่ชื่อว่า uxtheme.dll ขึ้นมาโดยไม่รู้ตัว ซึ่งแท้จริงแล้วไฟล์ดังกล่าวก็คือ Backdoor ของมัลแวร์ Cavern ที่แฝงตัวมานั่นเอง

เมื่อ Backdoor เริ่มทำงาน มันจะเรียกใช้งานไฟล์อีกตัวหนึ่งเพื่อจัดการเส้นทาง Network traffic พร้อมกับเข้ารหัสการสื่อสารทั้งหมดเพื่อหลบเลี่ยงการถูกตรวจจับ

จากนั้น มัลแวร์จะดาวน์โหลดโมดูลเสริมอื่นๆ เข้ามาตามการสั่งการ ซึ่งเปรียบเสมือนการส่งมอบเครื่องมือให้แฮ็กเกอร์สามารถเข้าไปเปิดดูไฟล์, ล้วงข้อมูลในฐานข้อมูล, ค้นหารายชื่อในระบบ หรือเจาะระบบให้ลึกลงไปในเครือข่ายองค์กรได้มากขึ้น

โมดูลแต่ละตัวจะทำงานอยู่ในพื้นที่หน่วยความจำ Isolated space และจะถูกลบทิ้งออกจากหน่วยความจำทันทีเมื่อเสร็จสิ้นภารกิจ ส่งผลให้ทีมสืบสวนตามแกะรอย และรวบรวมหลักฐานในภายหลังได้ยากยิ่งขึ้น นอกจากนี้ ตัวมัลแวร์ยังสามารถทำลายหลักฐานของตัวเองได้ โดยมันจะตามลบไฟล์ส่วนใหญ่ในโฟลเดอร์ที่มันใช้ทำงานทิ้งไป เหลือไว้เฉพาะไฟล์ที่จำเป็นต่อการคงอยู่ของตัวเองให้ทำงานต่อไปได้เท่านั้น

พฤติกรรมการลบร่องรอยเหล่านี้คือเทคนิค Anti-forensics ที่ผู้โจมตีจงใจออกแบบมาเพื่อสร้างอุปสรรคให้กับทีมตรวจสอบ ที่พยายามจะปะติดปะต่อเหตุการณ์หลังจากที่ระบบถูกเจาะไปแล้ว

เป้าหมายของ Cavern Manticore

กลุ่ม Cavern Manticore ดูเหมือนจะมุ่งเป้าไปที่องค์กรต่าง ๆ ในประเทศอิสราเอล โดยเฉพาะอย่างยิ่งหน่วยงานภาครัฐ และกลุ่มผู้ให้บริการ IT Services

การมุ่งเป้าไปที่กลุ่มผู้ให้บริการด้านไอทีนั้นไม่ใช่ความบังเอิญ เนื่องจากบริษัทเหล่านี้มักได้รับความไว้วางใจ และมีสิทธิ์ในการเข้าถึงระบบ Trusted access ของธุรกิจอื่น ๆ ที่เป็นลูกค้า จึงทำให้พวกเขาเปรียบเสมือนทางผ่านชั้นดีที่ผู้โจมตีใช้เป็นช่องทางเพื่อขยายการโจมตีไปยังเป้าหมายหลักที่มีการป้องกันแน่นหนากว่าได้ง่ายขึ้น

ทีมสืบสวนได้แกะรอยโครงสร้างพื้นฐานจนพบว่า โดเมนที่ใช้ถูกจดทะเบียนผ่านผู้ให้บริการ Hosting ในอิหร่าน ซึ่งยิ่งเพิ่มน้ำหนักให้กับการประเมินที่ว่า ปฏิบัติการนี้เป็นความเคลื่อนไหวที่มีรัฐบาลให้การสนับสนุน นอกจากนี้การพบเทคนิคที่ทับซ้อนกับกลุ่มแฮ็กเกอร์อย่าง MuddyWater และ Lyceum ซึ่งต่างก็มีความเชื่อมโยงกับหน่วยข่าวกรองของอิหร่าน ยิ่งเป็นการตอกย้ำข้อสันนิษฐานดังกล่าวให้ชัดเจนยิ่งขึ้น

องค์กรต่าง ๆ ควรเฝ้าระวังการใช้งานเครื่องมือ Remote management tools อย่างใกล้ชิด เนื่องจากในปัจจุบัน ผู้โจมตีมักหันมาซ่อนตัวอยู่ภายในช่องทางของผู้ดูแลระบบที่ได้รับความไว้วางใจ แทนที่จะเจาะระบบเข้ามาทางช่องโหว่ที่เห็นได้ชัด

ทีมรักษาความปลอดภัยได้รับคำแนะนำให้เร่งตรวจสอบ Logs และกิจกรรมของไฟล์ที่เกี่ยวข้องกับ uxtheme.dll เนื่องจากชื่อไฟล์ดังกล่าวเป็นเป้าหมายที่มักถูกนำมาใช้ในทางที่ผิดเพื่อทำ Sideloading การจำกัดระยะเวลาการ Remote sessions การเพิ่มความเข้มงวดในการเข้าถึงซอฟต์แวร์ RMM และการหมั่นสังเกตตำแหน่งการวางไฟล์ DLL ที่ผิดปกติ จะช่วยให้สามารถตรวจจับความเคลื่อนไหวเหล่านี้ได้ตั้งแต่เนิ่น ๆ

และเนื่องจากมัลแวร์ตัวนี้มีพฤติกรรมที่เปลี่ยนแปลงไปตามการคอมไพล์ในแต่ละเวอร์ชัน ผู้ดูแลระบบจึงควรหันมาให้ความสำคัญกับการวิเคราะห์รูปแบบพฤติกรรม และเบาะแสจากโครงสร้างพื้นฐาน มากกว่าการพึ่งพา IoCs แบบ Fixed indicators

กรณีนี้ถือเป็นเครื่องเตือนใจว่า ซอฟต์แวร์ที่องค์กรให้ความไว้วางใจอาจกลายเป็นอาวุธได้หากผู้โจมตีรู้จักพลิกแพลง วิธีการทำงานที่เป็นระบบของ Cavern Manticore นับตั้งแต่การเจาะระบบแบบ Supply chain hopping ไปจนถึงการใช้เทคนิคการหลบเลี่ยงการตรวจจับที่ปรับแต่งมาโดยเฉพาะ ล้วนแสดงให้เห็นถึงความอดทน และใจเย็นในระดับที่องค์กรต่าง ๆ ไม่อาจละเลยได้อีกต่อไป

Indicators of Compromise (IoCs):

ที่มา : Cybersecuritynews