เว็บไซต์ซอฟต์แวร์ด้านการรักษาความปลอดภัยไซเบอร์ Check Point รายงานว่าพบการเคลื่อนไหวของกลุ่มแฮกเกอร์จากประเทศจีน ที่มีพฤติกรรมเข้าข่าย Cyber Espionage หรือ การจารกรรมข้อมูลไซเบอร์ หลังจากหยุดเคลื่อนไหวมานานกว่า 5 ปี โดยเป้าหมายคือโจมตี รัฐบาล และองค์กรภาครัฐ ในหลายประเทศแถบ Asia-Pacific (APAC) ไม่ว่าจะเป็น ออสเตรเลีย อินโดนีเซีย ฟิลิปปินส์ เวียดนาม เมียนมา บรูไน รวมถึงประเทศไทย ซึ่งแฮกเกอร์กลุ่มนี้มีชื่อว่า Naikon APT โดยเมื่อปี 2015 Naikon APT เคยลักลอบใช้ email ของเครื่องที่ถูก compromise ส่งไปให้ผู้บริหารระดับสูงของรัฐบาลและกองทัพ ซึ่งมีเหยื่อหลงเชื่อเปิด email ฉบับนั้น ทำให้ถูกติดตั้ง spyware ลงบนเครื่องและขโมยข้อมูลสำคัญเพื่อส่งกลับไปยัง c&c server

Lotem Finkelsteen ผู้บริหารด้าน Threat Intelligence ของ Check Point ให้ข้อมูลว่ากลุ่ม Naikon APT กลับมาเคลื่อนไหวอีกครั้ง โดยครั้งนี้มาพร้อมกับ Aria-Body ที่เป็น backdoor ตัวใหม่ แต่ยังคงมีกลุ่มเป้าหมายเดิม คือ รัฐบาล ซึ่งครั้งนี้พวกเขาแอบอ้างเป็นรัฐบาลจากต่างประเทศ ส่ง phishing email ที่แนบ RTF file ชื่อว่า The Indians Way.doc หากเหยื่อหลงเชื่อกดดาวน์โหลดจะเป็นการติดตั้ง File Loader (intel.wll) ที่มีลักษณะเป็นโปรแกรมเสริม มาติดตั้งที่เครื่อง และเมื่อถูกติดตั้ง Loader จะทำหน้าที่ติดต่อกับ c&c server เพื่อดาวน์โหลด Aria-body backdoor payload มาติดตั้งที่เครื่องอีกครั้งหนึ่งเพื่อให้เครื่องถูก compromise โดยสมบูรณ์ จากนั้นจึงเข้าควบคุมเครือข่ายภายในของเหยื่อ และทำการ screenshots ขโมยข้อมูลที่สำคัญ โดยใช้ keylogging มาช่วยและส่งกลับไปยัง c&c server

Check Point ยังให้ข้อมูลอีกว่าถึงแม้การโจมตีจะดูเป็นเรื่องง่าย แต่การติดต่อกลับไปยัง c&c server นั้นมีช่วงเวลาที่จำกัดเพียงไม่กี่ชั่วโมงต่อวัน จึงอาจต้องใช้เวลามากพอสมควร ที่จะสามารถขโมยข้อมูลสำคัญออกมาได้ หากระบบภายในมีความซับซ้อน อีกทั้งยังพบว่าการติดต่อกับ c&c server จะไม่ใช้เพียง IP address เดิมซ้ำ ๆ แต่ใช้วิธีเปลี่ยน domain ไปเรื่อย ๆ ซึ่งเป็นเทคนิคที่สามารถเฝ้าระวังได้ ดังนั้น ผู้ดูแลระบบโดยเฉพาะอย่างยิ่งในองค์กรภาครัฐ ควร Monitor ระบบเพื่อค้นหาและเฝ้าระวังความผิดปกติอยู่ตลอดเวลา หากเป็นไปได้ควรมีทีม Security Operation Center ที่สามารถเฝ้าระวังระบบแบบ 24/7 เพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้นกับข้อมูลสำคัญระดับประเทศ ซึ่งไม่อาจประเมินค่าได้

ที่มา: https://thehackernews.com/2020/05/asia-pacific-cyber-espionage.html

ภาพถ่ายโดย : Lysander Yuen on Unsplash



เนื้อหาที่เกี่ยวข้อง

1. Ragnar Locker Ransomware ใช้ VM เข้ารหัสไฟล์ เลี่ยงการตรวจจับ

2. บริษัทใหญ่นับพัน โดนแอบขุดเหรียญ Crypto โดยกลุ่ม Blue Mockingbird

3. พบช่องโหว่ Privilege Escalation ใน Docker for Windows

4. Microsoft เตือน Phishing อ้างข้อมูล COVID19 ของ Johns Hopkins Center

5. พบ Spam iMessage ระบาด โดนจับโยง “ไทยชนะ”