แฮกเกอร์จีนใช้ประโยชน์จากช่องโหว่ GeoServer เพื่อโจมตีประเทศในภูมิภาคเอเชียแปซิฟิก

336/67 (IT) ประจำวันพุธที่ 25 กันยายน 2567

ภัยคุกคามจากกลุ่มแฮกเกอร์ขั้นสูง (APT) ที่ต้องสงสัยว่ามีเป็นกลุ่มจากประเทศจีน ได้โจมตีหน่วยงานของรัฐบาลในไต้หวัน รวมถึงหลายประเทศในภูมิภาคเอเชียแปซิฟิก เช่น ฟิลิปปินส์ เกาหลีใต้ เวียดนาม และประเทศไทย โดยใช้ช่องโหว่ด้านความปลอดภัยที่สำคัญในซอฟต์แวร์ GeoServer ที่เพิ่งได้รับการแก้ไขไปแล้ว ซึ่งช่องโหว่นี้มีคะแนนความเสี่ยง CVSS 9.8 ซึ่งถือว่าเป็นภัยระดับสูงมาก โดยการโจมตีครั้งนี้ถูกตรวจพบโดยบริษัทความปลอดภัยทางไซเบอร์ Trend Micro ในเดือนกรกฎาคม 2024 โดยระบุว่าผู้ก่อการโจมตีนี้คือ กลุ่ม Earth Baxia ซึ่งเน้นโจมตีหน่วยงานรัฐบาล โทรคมนาคม และพลังงาน โดยเอกสารที่ใช้เป็นเหยื่อล่อมีภาษาจีนเป็นส่วนประกอบด้วย ชี้ให้เห็นว่าประเทศจีนเองก็เป็นหนึ่งในประเทศที่ได้รับผลกระทบเช่นกัน    

การโจมตีของกลุ่ม Earth Baxia ใช้วิธีการส่งอีเมลฟิชชิ่งพร้อมไฟล์แนบที่ฝังมัลแวร์ไว้ รวมถึงการโจมตีผ่านช่องโหว่ของ GeoServer ส่งผลให้มัลแวร์ Cobalt Strike และแบ็คดอร์ EAGLEDOOR ถูกนำเข้ามาในระบบที่ถูกโจมตี ซึ่งสามารถเก็บข้อมูลและส่งต่อเพย์โหลดเพิ่มเติมได้ นักวิจัยยังพบว่า Earth Baxia มีการใช้โปรแกรมมัลแวร์ขั้นสูงที่สามารถซ่อนตัวได้อย่างแนบเนียน และมีการโจมตีที่มีความซับซ้อน โดย Earth Baxia ใช้บริการคลาวด์ของ Amazon Web Services และ Microsoft Azure เพื่อแฝงตัวเป็นโดเมนคำสั่งและควบคุม (C2) เพื่อโจมตีเป้าหมายในหลายประเทศ และมัลแวร์สามารถสื่อสารผ่านโปรโตคอล DNS, HTTP, TCP และใช้ Telegram Bot API เพื่อส่งและรับข้อมูลที่เป็นความลับ แคมเปญการโจมตีครั้งนี้ ย้ำให้เห็นถึงความซับซ้อนของแฮกเกอร์จากประเทศจีน ที่มีการปรับแต่งมัลแวร์เฉพาะและใช้เทคนิคการโจมตีที่ทันสมัยเพื่อเข้าถึงข้อมูลลับของหน่วยงานต่าง ๆ ในภูมิภาคเอเชียแปซิฟิก

แหล่งข่าว https://thehackernews.com/2024/09/chinese-hackers-exploit-geoserver-flaw.html