392/67 (IT) ประจำวันพุธที่ 6 พฤศจิกายน 2567
Check Point Research (CPR) เปิดเผยว่าในปีที่ผ่านมา กลุ่มภัยคุกคาม APT36 ของปากีสถาน ได้พัฒนามัลแวร์ ElizaRAT เวอร์ชันใหม่ พร้อมเทคนิคหลบเลี่ยงการตรวจจับที่ซับซ้อนขึ้น รวมถึงการเพิ่มฟังก์ชันขโมยข้อมูล ApoloStealer เพื่อใช้สำหรับการโจมตีหน่วยงานรัฐบาล หน่วยงานทางทหาร และภารกิจทางการทูตของประเทศอินเดีย ซึ่งการโจมตีของกลุ่ม APT36 ทำให้การตรวจจับของฝ่ายป้องกันทำได้ยากลำบาก โดยเฉพาะจากการที่กลุ่มนี้ใช้แพลตฟอร์มที่ถูกกฎหมายในการสื่อสาร เช่น Google Drive และ Slack ซึ่งทำให้การติดตามทราฟฟิกเครือข่ายเป็นไปได้ยากยิ่งขึ้น
นายเซอร์เก ชิเควิช ผู้จัดการฝ่ายข่าวกรองภัยคุกคามจาก Check Point กล่าวว่า ElizaRAT เวอร์ชันใหม่ สามารถปรับแต่งให้เหมาะสมกับเป้าหมายแต่ละราย ทำให้การตรวจจับทำได้ยาก โดยเฉพาะเมื่อมัลแวร์นี้จะถูกติดตั้งทีละขั้น เพื่อให้มั่นใจว่าผู้ป้องกันจะพบเพียงบางส่วนของชุดมัลแวร์ทั้งหมดเท่านั้น การปรับปรุงล่าสุดของ ElizaRAT มีการใช้งานช่องทางการสื่อสาร C2 ผ่าน Google Drive โดยส่งมัลแวร์เข้าสู่ระบบเป้าหมายผ่านไฟล์ CPL ที่แนบมาในอีเมลฟิชชิ่ง ซึ่งเมื่อไฟล์ถูกเปิด มัลแวร์จะดำเนินการต่าง ๆ รวมถึงการสร้างโฟลเดอร์สำหรับทำงานของมัลแวร์ กำหนดความคงอยู่ในระบบ และลงทะเบียนอุปกรณ์ของเหยื่อกับเซิร์ฟเวอร์ควบคุม ซึ่งสามารถทำให้ผู้โจมตีเข้าถึงข้อมูลและควบคุมอุปกรณ์ของเหยื่อจากระยะไกลได้
กลุ่ม APT36 มีชื่อที่เรียกแตกต่างกัน เช่น Transparent Tribe หรือ Mythic Leopard ได้รับการจัดกลุ่มเป็นหนึ่งในกลุ่มคุกคามที่เน้นการโจมตีหน่วยงานรัฐบาลอินเดียมาตั้งแต่ปี 2013 โดยมุ่งเน้นการรวบรวมข่าวกรองอย่างต่อเนื่อง ซึ่งล่าสุด CPR พบว่ากลุ่มนี้เริ่มใช้ตัวขโมย USB ตัวใหม่ที่เรียกว่า ConnectX ที่ใช้เพื่อตรวจสอบไฟล์บน USB และไดรฟ์ภายนอกอื่นๆ ที่อาจเชื่อมต่อกับอุปกรณ์ที่ถูกบุกรุกทำให้เกิดความเสี่ยงในการหลุดของข้อมูลสำคัญ และในรายงานจาก CPR ระบุว่า APT36 ยังคงใช้แคมเปญการโจมตี 3 รูปแบบ ได้แก่ การใช้ Slack เป็นโครงสร้างพื้นฐาน C2 การใช้ดรอปเปอร์เพื่อเจาะระบบ และการใช้ Google Drive เป็นช่องทางสื่อสาร C2 โดยนายชิเควิชระบุว่าการใช้บริการคลาวด์ที่แพร่หลายเช่นนี้ แสดงถึงความตั้งใจที่จะซ่อนตัวในระบบเครือข่ายได้อย่างแยบยล พร้อมกับขยายชุดเครื่องมือในการโจมตีให้มีความยืดหยุ่นและครอบคลุมมากยิ่งขึ้น
แหล่งข่าว https://www.darkreading.com/cyberattacks-data-breaches/apt36-refines-tools-attacks-indian-targets