เผยกลยุทธ์ที่ใช้โจมตีกระทรวงกลาโหมยูเครนของกลุ่ม UNC1151

Mandiant Threat Intelligence เปิดเผยปฏิบัติการที่ชื่อว่า “Ghostwriter/UNC1151” ซึ่งเป็นส่วนหนึ่งของแคมเปญใหญ่ที่สนับสนุนการดำเนินการทางทหารของรัสเซีย และนโยบายต่อต้าน NATO แคมเปญนี้มีความเคลื่อนไหวมาตั้งแต่เดือนมีนาคม 2017 โดยมุ่งเป้าหมายหลักไปยังผู้ใช้งานในยูเครน, ลิทัวเนีย, ลัตเวีย และโปแลนด์ และแพร่กระจายข้อมูลปลอมผ่านเว็บไซต์ที่ถูกโจมตี และบัญชีอีเมลปลอม โดยคาดกันว่า UNC1151 มีความเกี่ยวข้องกับรัฐบาลเบลารุส

CRIL พบแคมเปญที่ใช้เอกสาร XLS ที่เป็นอันตรายเมื่อไม่นานมานี้ โดยจากการวิเคราะห์เพิ่มเติมแสดงให้เห็นว่าแคมเปญนี้มีความเชื่อมโยงกับแคมเปญมัลแวร์ที่มุ่งเป้าไปที่ยูเครน และกลุ่ม UNC1151 ซึ่งบ่งบอกถึงความเกี่ยวข้องกับรัฐบาลเบลารุส และเป็นส่วนหนึ่งของปฏิบัติการ GhostWriter

จากเอกสารปลอมที่พบ กลุ่มผู้ไม่หวังดีมุ่งเป้าหมายไปยังองค์กรทางทหารของยูเครน (กระทรวงกลาโหมยูเครน ฐานทัพทหาร A0000) ผ่านทาง Excel worksheets ปลอม โดยการโจมตีเริ่มต้นจากการส่งอีเมลสแปมที่มีไฟล์แนบที่ถูก compressed ไว้ ซึ่งภายในมี Excel worksheet ที่เป็นอันตราย เมื่อเปิดเอกสาร Excel จะรัน VBA Macro ที่ถูกฝังไว้ ซึ่งจะทำการ drops ไฟล์ LNK และ DLL จากนั้นเมื่อไฟล์ LNK ถูกเรียกใช้งานจะทำให้ DLL loader ทำงาน ซึ่งนำไปสู่การติดมัลแวร์ในระบบเป้าหมายในที่สุด

การเปลี่ยนแปลง TTP (Tactics, Techniques and Procedures) ใหม่ในแคมเปญนี้เกี่ยวข้องกับการเปลี่ยนแปลงจากวิธีการก่อนหน้านี้ ในแคมเปญก่อนหน้า กลุ่ม UNC1151 จะดาวน์โหลดไฟล์ JPG ที่เข้ารหัสโดยใช้ DLL loader ซึ่งไฟล์นั้นจะถูกถอดรหัสเพื่อใช้งาน final payload executable ส่วนในแคมเปญล่าสุด กลุ่ม UNC1151 จะดาวน์โหลดไฟล์ SVG ที่เข้ารหัส ซึ่งจะถูกถอดรหัสเพื่อเรียกใช้งานไฟล์ DLL payload อื่น ๆ

ในระหว่างการวิเคราะห์ นักวิจัยไม่สามารถกู้คืนไฟล์ final payload ได้ อย่างไรก็ตาม final payload อาจจะประกอบด้วย AgentTesla, Cobalt Strike beacons และ njRAT ซึ่งเคยพบในแคมเปญของกลุ่ม UNC1151 ก่อนหน้านี้

การวิเคราะห์แคมเปญ

แคมเปญก่อนหน้า (2023)

เมื่อปีที่แล้ว มีชุดของแคมเปญการโจมตีทางไซเบอร์ที่มุ่งเป้าหมายไปยังรัฐบาลยูเครน และโปแลนด์, ผู้ใช้งานในกองทัพ และผู้ใช้งานที่เป็นพลเรือน โดยใช้ไฟล์ Excel และ PowerPoint ที่เป็นอันตราย ไฟล์เหล่านี้ถูกออกแบบให้ดูเหมือนเอกสารทางการ เพื่อหลอกให้ผู้ใช้เปิดใช้งาน macro ที่รันโค้ด VBA ที่เป็นอันตราย แคมเปญเหล่านี้มีการพัฒนาโดยใช้โค้ดที่ซับซ้อนเพื่อที่จะ drop และรัน DLLs หรือ downloaders ในขั้นตอนหลังจะถูกซ่อนใน blobs ที่เข้ารหัส และต่อท้ายในไฟล์รูปภาพ “.jpg” final payload ประกอบด้วย njRAT, AgentTesla และ Cobalt Strike ซึ่งมุ่งเน้นไปที่การขโมยข้อมูล และการควบคุมระบบจากระยะไกล

แคมเปญล่าสุด (2024)

แคมเปญที่ 1

แคมเปญแรกพบในเดือนเมษายน 2024 มุ่งเป้าไปที่กองทัพยูเครน (กระทรวงกลาโหมยูเครน, ฐานทัพทหาร A0000) โดยใช้การผสมผสานระหว่างไฟล์ภาพจากโดรน และไฟล์สเปรดชีต Microsoft Excel ที่เป็นอันตราย เทคนิคนี้เกี่ยวข้องกับการใช้ไฟล์ Excel ที่ใช้ล่อลวงด้วยวิธีการ Social Engineer ผ่านทางอีเมลสแปม เพื่อหลอกล่อให้ผู้ใช้เปิดใช้งาน macro ซึ่งทำให้เกิด execution chain

เมื่อเปิดไฟล์ .xls โดยการดับเบิลคลิก จะปรากฏปุ่มที่มีข้อความว่า ‘Enable Content’ การคลิกที่ปุ่มนี้จะเป็นการเริ่มต้นการรัน VBA Macro ที่ฝังอยู่ในเอกสาร

เมื่อ VBA Macro ถูกเรียกใช้งาน จะทำการสร้างไฟล์ shortcut ชื่อ “CybereasonActiveProbe.