เว็บไซต์ซอฟต์แวร์ด้านการรักษาความปลอดภัยไซเบอร์ Check Point รายงานว่าพบการเคลื่อนไหวของกลุ่มแฮกเกอร์จากประเทศจีน ที่มีพฤติกรรมเข้าข่าย Cyber Espionage หรือ การจารกรรมข้อมูลไซเบอร์ หลังจากหยุดเคลื่อนไหวมานานกว่า 5 ปี โดยเป้าหมายคือโจมตี รัฐบาล และองค์กรภาครัฐ ในหลายประเทศแถบ Asia-Pacific (APAC) ไม่ว่าจะเป็น ออสเตรเลีย อินโดนีเซีย ฟิลิปปินส์ เวียดนาม เมียนมา บรูไน รวมถึงประเทศไทย ซึ่งแฮกเกอร์กลุ่มนี้มีชื่อว่า Naikon APT โดยเมื่อปี 2015 Naikon APT เคยลักลอบใช้ email ของเครื่องที่ถูก compromise ส่งไปให้ผู้บริหารระดับสูงของรัฐบาลและกองทัพ ซึ่งมีเหยื่อหลงเชื่อเปิด email ฉบับนั้น ทำให้ถูกติดตั้ง spyware ลงบนเครื่องและขโมยข้อมูลสำคัญเพื่อส่งกลับไปยัง c&c server

Lotem Finkelsteen ผู้บริหารด้าน Threat Intelligence ของ Check Point ให้ข้อมูลว่ากลุ่ม Naikon APT กลับมาเคลื่อนไหวอีกครั้ง โดยครั้งนี้มาพร้อมกับ Aria-Body ที่เป็น backdoor ตัวใหม่ แต่ยังคงมีกลุ่มเป้าหมายเดิม คือ รัฐบาล ซึ่งครั้งนี้พวกเขาแอบอ้างเป็นรัฐบาลจากต่างประเทศ ส่ง phishing email ที่แนบ RTF file ชื่อว่า The Indians Way.doc หากเหยื่อหลงเชื่อกดดาวน์โหลดจะเป็นการติดตั้ง File Loader (intel.wll) ที่มีลักษณะเป็นโปรแกรมเสริม มาติดตั้งที่เครื่อง และเมื่อถูกติดตั้ง Loader จะทำหน้าที่ติดต่อกับ c&c server เพื่อดาวน์โหลด Aria-body backdoor payload มาติดตั้งที่เครื่องอีกครั้งหนึ่งเพื่อให้เครื่องถูก compromise โดยสมบูรณ์ จากนั้นจึงเข้าควบคุมเครือข่ายภายในของเหยื่อ และทำการ screenshots ขโมยข้อมูลที่สำคัญ โดยใช้ keylogging มาช่วยและส่งกลับไปยัง c&c server

Check Point ยังให้ข้อมูลอีกว่าถึงแม้การโจมตีจะดูเป็นเรื่องง่าย แต่การติดต่อกลับไปยัง c&c server นั้นมีช่วงเวลาที่จำกัดเพียงไม่กี่ชั่วโมงต่อวัน จึงอาจต้องใช้เวลามากพอสมควร ที่จะสามารถขโมยข้อมูลสำคัญออกมาได้ หากระบบภายในมีความซับซ้อน อีกทั้งยังพบว่าการติดต่อกับ c&c server จะไม่ใช้เพียง IP address เดิมซ้ำ ๆ แต่ใช้วิธีเปลี่ยน domain ไปเรื่อย ๆ ซึ่งเป็นเทคนิคที่สามารถเฝ้าระวังได้ ดังนั้น ผู้ดูแลระบบโดยเฉพาะอย่างยิ่งในองค์กรภาครัฐ ควร Monitor ระบบเพื่อค้นหาและเฝ้าระวังความผิดปกติอยู่ตลอดเวลา หากเป็นไปได้ควรมีทีม Security Operation Center ที่สามารถเฝ้าระวังระบบแบบ 24/7 เพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้นกับข้อมูลสำคัญระดับประเทศ ซึ่งไม่อาจประเมินค่าได้

ที่มา: https://thehackernews.com/2020/05/asia-pacific-cyber-espionage.html

ภาพถ่ายโดย : Lysander Yuen on Unsplash



เนื้อหาที่เกี่ยวข้อง

1. พบช่องโหว่ BootHole อาจกระทบต่อ Windows macOs และ Linux

2. 2 ปีที่ผ่านมา พบกว่า 15,000 ล้านบัญชี ถูกขายบน Dark Web

3. โดนทุกวงการ ล่าสุดธุรกิจกลุ่มเครื่องดื่มตกเป็นเหยื่อ Maze ransomware

4. แอปฯ Polar Fitness เผยตำแหน่งของผู้ใช้ กระทบข้อมูลทางการทหาร

5. ทำไม Ransomware แค่จ่ายแต่ไม่จบ ต้องเสียอะไรอีกบ้าง