Clear
Lead Graphic Papers

ระวังภัย พบการโจมตีแบบ APT โดยกลุ่ม OceanLotus เน้นขโมยข้อมูลจากหน่วยงานระดับสูง ประเทศไทยตกเป็นเป้าด้วย

วันที่ประกาศ: 10 พฤษภาคม 2562
ปรับปรุงล่าสุด: 10 พฤษภาคม 2562
เรื่อง: ระวังภัย พบการโจมตีแบบ APT โดยกลุ่ม OceanLotus เน้นขโมยข้อมูลจากหน่วยงานระดับสูง ประเทศไทยตกเป็นเป้าด้วย

ประเภทภัยคุกคาม: Intrusions, Information leak

Share on Facebook Share on Twitter Share on Google+

ข้อมูลทั่วไป

เมื่อวันที่ 9 พฤษภาคม 2562 นักวิจัยด้านความมั่นคงปลอดภัยจาก RedDrip Team ได้เผยแพร่รายงานบทวิเคราะห์การโจมตีโดยกลุ่มที่ถูกเรียกว่า OceanLotus ซึ่งเป็นกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนจากรัฐบาลของบางประเทศ โดยก่อนหน้านี้กลุ่มดังกล่าวเคยก่อเหตุปฏิบัติการโจมตีแบบ Advance Persistent Threat (APT) เพื่อขโมยข้อมูลสำคัญโดยเฉพาะข้อมูลด้านข่าวกรองจากหน่วยงานระดับสูงในประเทศจีนและประเทศในแถบเอเชียตะวันออกเฉียงใต้มาแล้ว ในรายงานได้กล่าวถึงข้อมูลรายละเอียดและเทคนิคที่กลุ่ม OceanLotus ใช้ในการโจมตีหน่วยงานสำคัญในประเทศเวียดนาม กัมพูชา และไทย เมื่อช่วงต้นปี 2562 [1]

รูปแบบช่องทางการโจมตี ส่วนใหญ่ผู้โจมตีจะใช้การส่งอีเมลแนบไฟล์มัลแวร์ โดยนักวิจัยได้วิเคราะห์เนื้อหาในไฟล์แนบและช่องทางการติดต่อเพื่อจัดแบ่งว่าเป็นการโจมตีหน่วยงานในประเทศใดบ้าง อ้างอิงจากรายงาน มีไฟล์มัลแวร์อย่างน้อย 2 ไฟล์ที่มุ่งเป้าโจมตีหน่วยงานในประเทศไทย โดยทั้ง 2 ไฟล์เป็นเอกสาร Microsoft Word ที่มีสคริปต์ macro สำหรับดาวน์โหลดและติดตั้งมัลแวร์ ไฟล์แรกมีชื่อไฟล์อ้างถึงการจัดประชุมอาเซียนที่ประเทศไทยเป็นเจ้าภาพ (Form_Provisional Agenda of the ASEAN Senior Officials Preparatory Meeting.doc ค่า MD5 = 4c30e792218d5526f6499d235448bdd9) ส่วนอีกไฟล์ (Program Retreat.doc ค่า MD5 = d8a5a375da7798be781cf3ea689ae7ab) นั้นยังไม่สามารถระบุได้แน่ชัดว่ามีเป้าหมายเพื่อโจมตีหน่วยงานประเภทใด ตัวอย่างสิ่งที่ปรากฎเมื่อเปิดไฟล์ดังกล่าวแสดงในรูปที่ 1

รูปที่ 1 ตัวอย่างสิ่งที่ปรากฎเมื่อเปิดไฟล์ Microsoft Word ที่ถูกใช้โจมตี

ในส่วนของการโจมตีที่พบในประเทศอื่น ประเทศกัมพูชา หน่วยงานที่จัดงานสัมมนาด้านเยาวชนถูกโจมตีผ่านอีเมลฟิชชิ่งแนบไฟล์ Microsoft Word ส่วนในประเทศเวียดนาม หน่วยงานที่ถูกโจมตีมีทั้งบริษัทขนส่งขนาดใหญ่ ธนาคารกลางของประเทศเวียดนาม และบริษัทเอกชนที่รับจ้างพัฒนาซอฟต์แวร์และติดตั้งระบบให้กับหน่วยงานภาครัฐ ช่องทางการโจมตีเป็นอีเมลฟิชชิ่งแนบไฟล์มัลแวร์ โดยตัวอย่างลักษณะไฟล์แนบที่พบ เช่น

  • ไฟล์บีบอัดประเภท .zip หรือ .rar ที่มีไฟล์มัลแวร์ .exe อยู่ข้างใน
  • ไฟล์ Microsoft Word ที่หลอกว่าเป็นเอกสารสมัครงานหรือประชาสัมพันธ์โฆษณา
  • ไฟล์บีบอัดประเภท .rar ที่โจมตีผ่านช่องโหว่ path traversal ของโปรแกรม WinRAR เพื่อติดตั้งไฟล์มัลแวร์ลงในเครื่อง [2]
  • ไฟล์โปรแกรม macOS ที่หลอกว่าเป็นตัวติดตั้งเบราว์เซอร์ Firefox หรืออัปเดตของ Google และ Flash Player

รายละเอียดทางเทคนิคอื่นๆ เช่น วิธีการที่ผู้โจมตีใช้ดาวน์โหลดมัลแวร์มาติดตั้งในเครื่องของเหยื่อ หรือผลการวิเคราะห์โค้ดที่ใช้โจมตี ผู้ที่สนใจสามารถศึกษาเพิ่มเติมได้จากรายงานต้นฉบับ

ผลกระทบ

เครื่องคอมพิวเตอร์ที่ติดมัลแวร์จะถูกขโมยข้อมูลและส่งออกไปยังเซิร์ฟเวอร์ของผู้โจมตี เนื่องจากกลุ่มเป้าหมายของการโจมตีนี้คือหน่วยงานระดับสูงหรือหน่วยงานที่เกี่ยวข้องกับรัฐบาล จึงมีความเสี่ยงที่ข้อมูลสำคัญของประเทศอาจรั่วไหลได้

ระบบที่ได้รับผลกระทบ

เนื่องจากในรายงานต้นฉบับไม่ได้เปิดเผยข้อมูลรายชื่อหรือจำนวนหน่วยงานที่ได้รับผลกระทบ ปัจจุบันไทยเซิร์ตอยู่ระหว่างการประสานงานเพื่อแจ้งเตือนและตรวจสอบข้อมูลดังกล่าว ทั้งนี้ หากอ้างอิงจากข้อมูลการโจมตีที่พบในประเทศอื่น หน่วยงานที่ตกเป็นเป้าหมายการโจมตีอาจไม่จำเป็นต้องเป็นหน่วยงานภาครัฐเสมอไป

ข้อแนะนำในการป้องกันและแก้ไข

จากรายงาน ผู้โจมตีอาศัยช่องโหว่ของ WinRAR (ซึ่งมีแพตช์แล้ว) และความสามารถในการรันสคริปต์ macro ของ Microsoft Word รวมถึงหลอกให้ผู้ใช้ติดตั้งโปรแกรมบน Mac ซึ่งส่วนใหญ่แล้วการโจมตีที่พบนี้ไม่ได้มีการใช้ช่องโหว่ 0-day (ช่องโหว่ที่ยังไม่มีแพตช์) แต่อาศัยการหลอกล่อให้ผู้ใช้กดอนุญาตหรือกดข้ามผ่านกระบวนการตรวจสอบความมั่นคงปลอดภัยของระบบเอง ตัวอย่างเช่นการหลอกให้ผู้ใช้เปิด macro ใน Microsoft Word เพื่อให้สคริปต์ของมัลแวร์ถูกเรียกขึ้นมาทำงาน (ปกติจะถูกปิดไว้เป็นค่าเริ่มต้น) ตัวอย่างข้อความหลอกลวงแสดงในรูปที่ 2

รูปที่ 2 ตัวอย่างข้อความหลอกลวงให้เปิดใช้งาน macro ใน Microsoft Word

การป้องกันควรทำร่วมกันทั้งในด้านเทคนิคและการสร้างความตระหนักให้กับผู้ใช้ โดยในด้านเทคนิค ผู้ดูแลระบบควรตั้งค่าจำกัดสิทธิ์การใช้งาน macro ใน Microsoft Office หากไม่จำเป็น [3] และกำหนดให้ใช้งานได้เฉพาะโปรแกรมที่ได้รับอนุญาต รวมถึงอัปเดตซอฟต์แวร์และระบบปฏิบัติการอย่างสม่ำเสมอ ส่วนการสร้างความตระหนักให้กับผู้ใช้ ควรจัดอบรมให้ความรู้ในการตรวจสอบอีเมลฟิชชิ่ง การพิจารณาก่อนติดตั้งโปรแกรมจากแหล่งภายนอก และการพิจารณาก่อนอนุญาตให้ใช้งาน macro ใน Microsoft Office

การตรวจสอบและแก้ไข ในรายงานด้านฉบับมีข้อมูล Indicator of compromise (IOC) เพื่อใช้ตรวจสอบว่าเครื่องคอมพิวเตอร์ในระบบนั้นถูกโจมตีแล้วหรือไม่ โดยข้อมูล IOC ประกอบด้วยรายชื่อโดเมนที่มัลแวร์เชื่อมต่อออกไป ค่าแฮชของไฟล์มัลแวร์และไฟล์ที่เกี่ยวข้อง และคำสั่งที่มัลแวร์ใช้ในการทำงาน ผู้ดูแลระบบสามารถนำข้อมูล IOC ดังกล่าวไปตรวจสอบในเครื่องคอมพิวเตอร์หรือ log ของอุปกรณ์เครือข่ายได้

อ้างอิง

  1. https://ti.qianxin.com/blog/articles/oceanlotus-attacks-to-indochinese-peninsula-evolution-of-targets-techniques-and-procedure/
  2. https://www.thaicert.or.th/alerts/user/2019/al2019us002.html
  3. https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/macro-malware
Clear