แฮกเกอร์ชาวรัสเซียติดตั้งมัลแวร์ HATVIBE และ CHERRYSPY ทั่วทั้งยุโรปและเอเชีย

420/67 (IT) ประจำวันอังคารที่ 26 พฤศจิกายน 2567

กลุ่มภัยคุกคามไซเบอร์ที่เชื่อมโยงกับรัสเซีย ถูกระบุว่าเป็นผู้ดำเนินการแคมเปญจารกรรมไซเบอร์ที่กำหนดเป้าหมายในภูมิภาคเอเชียกลาง เอเชียตะวันออก และยุโรป โดยมีการใช้มัลแวร์ที่ปรับแต่งเฉพาะเพื่อขโมยข้อมูลสำคัญ โดย Insikt Group ภายใต้บริษัท Recorded Future ได้ตั้งชื่อกลุ่มผู้ก่อภัยคุกคามนี้ว่า TAG-110 ซึ่งมีความเกี่ยวข้องกับกลุ่ม UAC-0063 ตามที่ CERT-UA (Computer Emergency Response Team of Ukraine) ได้ติดตามไว้ และมีความเชื่อมโยงกับกลุ่มแฮกเกอร์ APT28 หรือที่รู้จักในชื่อ Fancy Bear

การดำเนินการของ TAG-110 มีมาตั้งแต่ปี 2021 และใช้มัลแวร์ที่ชื่อว่า HATVIBE และ CHERRYSPY โดย HATVIBE ทำหน้าที่เป็นตัวโหลดเพื่อนำ CHERRYSPY ซึ่งเป็นแบ็กดอร์ที่พัฒนาด้วย Python มาใช้สำหรับขโมยข้อมูลและดำเนินการจารกรรมข้อมูล ซึ่งการใช้ HATVIBE และ CHERRYSPY ถูกตรวจพบครั้งแรกในเดือนพฤษภาคม 2023 โดยมีเป้าหมายเป็นหน่วยงานรัฐบาลในยูเครน และต่อมาในปี 2024 ก็พบว่ามัลแวร์นี้ได้แทรกซึมเข้าสู่สถาบันวิจัยทางวิทยาศาสตร์ในประเทศหนึ่งที่ไม่เปิดเผยชื่อ และ TAG-110 ได้ขยายการโจมตีไปยังประเทศต่าง ๆ รวมถึง ทาจิกิสถาน คีร์กีซสถาน คาซัคสถาน เติร์กเมนิสถาน อุซเบกิสถาน รวมถึงอาร์เมเนีย จีน ฮังการี อินเดีย กรีซ และยูเครน โดยในโซนแถบเอเชียกลาง พบเหยื่อมากถึง 62 รายใน 11 ประเทศ ซึ่งสะท้อนให้เห็นว่า ภูมิภาคนี้เป็นพื้นที่เป้าหมายสำคัญที่เกี่ยวข้องกับความพยายามในการรวบรวมข่าวกรองเพื่อสนับสนุนวัตถุประสงค์ทางภูมิรัฐศาสตร์ของรัสเซีย ซึ่งวิธีการโจมตี TAG-110 จะใช้ช่องโหว่ในแอปพลิเคชันบนเว็บที่เผยแพร่ต่อสาธารณะ เช่น Rejetto HTTP File Server รวมถึงการใช้ อีเมลฟิชชิ่ง เพื่อส่ง HATVIBE เข้าไปในระบบ หลังจากนั้น HATVIBE จะทำหน้าที่เป็นช่องทางสำหรับการติดตั้ง CHERRYSPY เพื่อรวบรวมและขโมยข้อมูลออกมา    

นอกจากการจารกรรมไซเบอร์แล้ว รัสเซียก็ยังมุ่งเพิ่มการดำเนินการก่อวินาศกรรมในโครงสร้างพื้นฐานสำคัญของยุโรป ตั้งแต่การรุกรานประเทศยูเครนเมื่อเดือนกุมภาพันธ์ 2022 โดยกำหนดเป้าหมายประเทศในยุโรป เช่น เอสโตเนีย ฟินแลนด์ ลัตเวีย ลิทัวเนีย นอร์เวย์ และโปแลนด์ เพื่อทำลายเสถียรภาพของพันธมิตร NATO และลดการสนับสนุนยูเครน ซึ่ง Recorded Future ชี้ให้เห็นว่า ความพยายามดังกล่าวเป็นส่วนหนึ่งของยุทธศาสตร์สงครามลูกผสม (Hybrid Warfare) ของรัสเซีย ซึ่งผสมผสานการโจมตีทางไซเบอร์ การก่อวินาศกรรม และการปฏิบัติการสร้างอิทธิพล เพื่อบรรลุเป้าหมายโดยไม่ลุกล้ำถึงระดับสงครามเต็มรูปแบบ เนื่องจากความสัมพันธ์ที่ตึงเครียดระหว่างรัสเซียและตะวันตกยังคงดำเนินอยู่ การโจมตีเหล่านี้คาดว่าจะเพิ่มความถี่และความรุนแรง ผู้เชี่ยวชาญแนะนำให้ประเทศเป้าหมายเพิ่มความระมัดระวังในโครงสร้างพื้นฐานสำคัญ พร้อมเสริมระบบความปลอดภัยไซเบอร์และเฝ้าระวังติดตามกิจกรรมต้องสงสัยอย่างใกล้ชิด

แหล่งข่าว https://thehackernews.com/2024/11/russian-hackers-deploy-hatvibe-and.html