Clear
Lead Graphic Papers

ข่าวสั้น

แจ้งเตือนการโจมตีแบบ APT จากกลุ่ม Calypso ขโมยข้อมูลสำคัญทั้งจากหน่วยงานระดับสูง ไทยเสี่ยงโดนด้วย

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Positive Technologies ได้เผยแพร่รายงานบทวิเคราะห์การโจมตีของกลุ่ม Calypso ซึ่งเป็นกลุ่มที่โจมตีในลักษณะ Advance Persistent Threat (APT) โดยมีเป้าหมายเพื่อขโมยข้อมูลสำคัญจากหน่วยงานระดับสูงของรัฐบาลหลายๆ ประเทศ โดยในรายงานได้ระบุว่าประเทศไทยตกเป็นเป้าหมายด้วย

จากรายงาน ทีมวิจัยคาดว่าการโจมตีของกลุ่ม Calypso น่าจะเริ่มดำเนินการมาแล้วตั้งแต่เดือนกันยายน 2559 โดยช่องทางการโจมตีในขั้นแรก (initial vector) จะเจาะระบบเว็บไซต์แล้ววางไฟล์ web shell (.aspx) ไว้ในเครื่องเซิร์ฟเวอร์ จุดประสงค์เพื่อใช้เป็นช่องทางพิเศษในการรับคำสั่ง จากนั้นจะใช้เครื่องเซิร์ฟเวอร์ดังกล่าวเป็นช่องทางเพื่อขยายต่อไปยังเครื่องอื่นๆ ในเครือข่ายต่อไป (lateral movement)

ในขั้นตอนถัดมาจะมีการติดตั้งเครื่องมือสำหรับใช้ในการรวบรวมข้อมูลหรือแพร่กระจายมัลแวร์ไปยังเครื่องอื่นๆ ในเครือข่าย ซึ่งเครื่องมือที่ใช้ส่วนใหญ่เป็นเครื่องมือที่สามารถดาวน์โหลดได้จากอินเทอร์เน็ต เช่น Sysinternals, Mimikatz, Netcat หรือเครื่องมือสำหรับโจมตีช่องโหว่อย่าง DoublePulsar และ EternalBlue เป็นต้น โดยเครื่องมือเหล่านี้จะถูกดาวน์โหลดมาเก็บไว้ในไดเรกทอรี C:\RECYCLER หรือ C:\ProgramData ทั้งนี้ จากรายงานพบว่ามีการใช้เครื่องมือเฉพาะของกลุ่ม APT อื่นมาประกอบการโจมตีด้วย แต่ยังไม่ยืนยันว่ากลุ่ม Calypso นี้มีความเชื่อมโยงกับกลุ่ม APT อื่นๆ หรือไม่

หลังจากรวบรวมข้อมูลจนพบเครื่องที่เป็นเป้าหมายจะมีการติดตั้งเครื่องมีเฉพาะเพื่อใช้ในการขโมยข้อมูลแล้วส่งกลับ โดยเครื่องมือเฉพาะของกลุ่ม Calypso จะเป็นมัลแวร์ประเภท Remote Access Trojan (RAT) หน้าที่หลักใช้เพื่อรับคำสั่งและติดต่อกับเซิร์ฟเวอร์ที่ใช้ควบคุมมัลแวร์ รายละเอียดเพิ่มเพิ่มเกี่ยวกับเครื่องมือของกลุ่ม Calypso สามารถศึกษาได้จากที่มา

เนื่องจากพบข้อมูลที่อาจเป็นไปได้ว่าหน่วยงานในไทยตกเป็นเหยื่อด้วย ผู้ดูแลระบบควรตรวจสอบข้อมูลการเชื่อมต่อเครือข่ายและข้อมูลเฉพาะของมัลแวร์ เพื่อประเมินว่าเครื่องคอมพิวเตอร์ในหน่วยงานเข้าข่ายถูกโจมตีหรือไม่ โดยในรายงานฉบับเต็มนั้นมีข้อมูล Indicator of compromise (IOC) ประกอบด้วยรายการไอพีและโดเมนที่มัลแวร์เชื่อมต่อออกไป รวมถึงค่าแฮชของไฟล์มัลแวร์และไฟล์ที่เกี่ยวข้อง โดยผู้ดูแลระบบสามารถนำข้อมูล IOC ดังกล่าวไปตรวจสอบในเครื่องคอมพิวเตอร์หรือ log ของอุปกรณ์เครือข่ายได้

วันที่: 2019-11-15 | ที่มา: Positive Technologies | Share on Facebook Share on Twitter Share on Google+

Clear