Microsoft ออกรายงานถึงการเชื่อมโยงกลุ่มแฮกเกอร์ชาวเวียดนามกับแคมเปญมัลแวร์ Cryptomining

Microsoft ออกรายงานถึงผลการติดตามกลุ่มแฮกเกอร์ Bismuth หรืออีกชื่อคือ APT32 และ OceanLotus ที่มีการเชื่อมโยงกับรัฐบาลเวียดนามและปัจจุบันกำลังปฏิบัติการแคมเปญด้วยการติดตั้งมัลแวร์ Cryptominer ควบคู่ไปกับการปฏิบัติจารกรรมทางไซเบอร์

Microsoft กล่าวว่ากลุ่มแฮกเกอร์ Bismuth เป็นที่รู้จักมาตั้งแต่ปี 2012 ซึ่งกลยุทธ์ที่ใช้ในการปฏิบัติการแคมเปญของกลุ่มนี้มีความซับซ้อน โดยเป้าหมายของกลุ่มแฮกเกอร์มีทั้งในประเทศและต่างประเทศเวียดนาม ซึ่งมีวัตถุประสงค์เพื่อรวบรวมข้อมูลเพื่อช่วยให้รัฐบาลจัดการกับการตัดสินใจทางการเมืองเศรษฐกิจและนโยบายต่างประเทศ

อย่างไรก็ดี Microsoft ได้เพิ่งสังเกตเห็นการเปลี่ยนแปลงกลยุทธ์ของกลุ่มแฮกเกอร์ตั้งแต่เดือนกรกฎาคมถึงเดือนสิงหาคม 2020 ที่ผ่านมา โดยกลุ่มเเฮกเกอร์ได้ใช้มัลแวร์ Cryptominer ในการโจมตีที่ถูกกำหนดเป้าหมายไปยังภาคเอกชนและสถาบันของรัฐในประเทศฝรั่งเศสและเวียดนาม ทั้งนี้ Microsoft ได้มีสองทฤษฎีในการเปลื่ยนเเปลงกลยุทธ์ของกลุ่มแฮกเกอร์ดังนี้

ประการแรกคือกลุ่มแฮกเกอร์กำลังใช้มัลแวร์ Cryptominer ในการปฏิบัติการเพื่ออำพรางการโจมตีบางส่วนจากผู้ที่ตกเป็นเหยื่อและหลอกให้ผู้ที่ตกเป็นเหยื่อเชื่อว่าการโจมตีเป็นการบุกรุกแบบสุ่มที่มีลำดับความสำคัญต่ำ
ประการที่สองคือกลุ่มแฮกเกอร์กำลังทดลองกลยุทธ์และวิธีใหม่ๆ ในการสร้างรายได้จากระบบที่ทำการบุกรุก ซึ่งส่วนหนึ่งของการปฏิบัติการที่เน้นการจารกรรมทางไซเบอร์ตามปกติ

ทั้งนี้ทฤษฎีที่สองนี้ยังสอดคล้องกับแนวโน้มทั่วไปที่เห็นในการปฏิบัติการที่เน้นการจารกรรมทางไซเบอร์ตามปกติเช่นเดียวกับกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน, รัสเซีย, อิหร่านและเกาหลีเหนือ

ที่มา:

zdnet.

OceanLotus Blossoms: Mass Digital Surveillance and Attacks Targeting ASEAN, Asian Nations, the Media, Human Rights Groups, and Civil Society

แจ้งเตือนการโจมตีพุ่งเป้ากลุ่มประเทศใน ASEAN ขโมยข้อมูล, ดักฟังและแพร่กระจายมัลแวร์

บริษัทด้านความปลอดภัย Volexity ได้มีการเปิดเผยแคมเปญการโจมตีล่าสุดซึ่งเชื่อกันว่ามีผู้อยู่เบื้องหลังคือกลุ่มแฮกเกอร์เวียดนามภายใต้ชื่อรหัส APT32 หรือ OceanLotus โดยในแคมเปญนี้นั้นมีเป้าหมายโจมตีหลายประเทศในกลุ่มอาเซียน และเน้นไปที่การขโมยและเก็บข้อมูลที่มีความอ่อนไหวสูง

สำหรับประเทศที่มีการตรวจพบการโจมตีแล้วนั้นได้แก่ เวียดนาม, กัมพูชา, ลาว, ฟิลิปปินส์รวมไปถึงประเทศจีน โดยผู้โจมตีมีการเจาะระบบเว็บไซต์ราชการหลายแห่งและใช้เว็บไซต์เหล่านั้นในการแพร่กระจายมัลแวร์ไปยังระบบอื่นๆ ต่อ การโจมตีของแคมเปญการโจมตีนี้เน้นหนักไปที่การเก็บข้อมูลของผู้ใช้งาน เก็บหมายเลขไอพีของผู้เยี่ยมชมเว็บไซต์และฝังแบ็คดอร์ไว้ในระบบต่างๆ เพื่อให้เข้าถึงได้ภายหลัง

แนะนำให้ผู้ดูแลระบบตรวจสอบความผิดปกติในระบบอย่างสม่ำเสมอ รวมไปถึงการเข้าถึงที่ไม่ได้รับอนุญาต การส่งข้อมูลออกไปยังระบบภายนอกที่ต้องสงสัย ผู้อ่านสามารถดูพฤติกรรมการโจมตีของแฮกเกอร์กลุ่มนี้เพิ่มเติมได้จากลิงค์แหล่งที่มา

ที่มา : volexity