147/68 (IT) ประจำวันอังคารที่ 22 เมษายน 2568
นักวิจัยด้านความปลอดภัยจากบริษัท Zscaler เปิดเผยว่า กลุ่ม Mustang Panda ซึ่งเป็นกลุ่มภัยคุกคามขั้นสูง (APT) ที่มีความเชื่อมโยงกับรัฐบาลจีน (หรือที่รู้จักในชื่อ Bronze President, Stately Taurus, TA416) ได้เพิ่มเครื่องมือโจมตีใหม่จำนวน 4 รายการในคลังอาวุธของตน ได้แก่ เครื่องมือบันทึกการกดแป้นพิมพ์ (keylogger) 2 รายการ เครื่องมือขยายการโจมตีในเครือข่าย (lateral movement tool) และไดรเวอร์หลบเลี่ยงระบบตรวจจับมัลแวร์ (EDR evasion driver) นอกจากนี้ยังอัปเกรดแบ็กดอร์ที่ใช้เป็นช่องทางเข้าแฮกหลักของกลุ่ม “Toneshell” ให้ทันสมัยขึ้น
ชุดเครื่องมือใหม่ที่ถูกค้นพบประกอบด้วย keylogger 2 รายการ ได้แก่ PAKLOG และ CorKLOG โดย PAKLOG ทำหน้าที่ดักจับข้อมูลการพิมพ์และการคัดลอกข้อมูล (clipboard data) ส่วน CorKLOG เน้นการสร้างความคงทนในการทำงานและเข้ารหัสข้อมูลที่ถูกดักจับ ทั้งสองเครื่องมือบันทึกข้อมูลลงในไฟล์ภายในเครื่อง แต่ไม่มีฟังก์ชันการส่งข้อมูลออกโดยอัตโนมัติไปหาเครื่องควบคุมของผู้โจมตี (C2) ทำให้เชื่อว่าผู้โจมตีอาจใช้เครื่องมืออื่น หรือการเข้าถึงเครื่องโดยตรง เพื่อดึงข้อมูลที่ได้ออกไป อีกหนึ่งเครื่องมือคือ StarProxy ซึ่งเป็นเครื่องมือพร็อกซีแบบใหม่ที่ใช้เทคนิค FakeTLS เพื่อให้การติดต่อกับเซิร์ฟเวอร์ควบคุมของผู้โจมตีแนบเนียนคล้ายการเข้ารหัส TLS ปกติ และใช้กระจายการโจมตีในเครือข่ายหลังจากที่แทรกซึมเข้าไปในระบบได้แล้ว และอีกหนึ่งเครื่องมือที่น่ากังวลคือ SplatCloak ซึ่งเป็นไดรเวอร์ระดับ kernel ที่ออกแบบมาเพื่อปิดการทำงานบางส่วนของ Windows Defender และ Kaspersky โดยการยับยั้ง callback ที่ใช้ตรวจสอบพฤติกรรมต้องสงสัยในระบบ ทำให้มัลแวร์อื่นสามารถทำงานได้โดยไม่ถูกตรวจจับ เครื่องมือนี้จะถูกติดตั้งผ่านยูทิลิตี้ชื่อว่า “SplatDropper” ซึ่งจะลบตัวเองทันทีหลังจากใช้งานจบ นอกจากนี้ กลุ่มยังได้พัฒนา ToneShell ซึ่งเป็น backdoor ที่ใช้กันอย่างแพร่หลาย โดยเวอร์ชันใหม่นี้มีการปรับปรุงวิธีการระบุเครื่องที่ติดเชื้อและการสื่อสารกับเครื่องควบคุม C2 และยังมี StarProxy ซึ่งทำหน้าที่เป็น proxy สำหรับแพร่กระจายการโจมตีในเครือข่าย โดยใช้โฮสต์ที่ถูกบุกรุกแล้วเชื่อมต่อไปยังเครื่องอื่น ๆ ในเครือข่าย ซึ่งการอัปเดตครั้งใหม่นี้สะท้อนถึงความพยายามที่ต่อเนื่องของ Mustang Panda ในการเพิ่มประสิทธิภาพของการโจมตีเพื่อเจาะระบบให้แนบเนียนและยากต่อการตรวจจับมากยิ่งขึ้น และเป็นสิ่งที่ผู้ดูแลระบบเครือข่ายต้องตระหนักและเฝ้าระวังอย่างใกล้ชิด
แหล่งข่าว https://www.darkreading.com/cloud-security/chinese-apt-mustang-panda-4-attack-tools
