กลุ่มแฮกเกอร์จีน APT41 โจมตีหน่วยงานรัฐในแอฟริกา หวังล้วงข้อมูลลับ

Published:

 

กลุ่มแฮกเกอร์จีน APT41 โจมตีหน่วยงานรัฐในแอฟริกา หวังล้วงข้อมูลลับ



กลุ่มแฮกเกอร์ APT41 ที่มีแหล่งกำเนิดในประเทศจีน ซึ่งเป็นที่รู้จักในนามของกลุ่มจารกรรมทางไซเบอร์ ได้ถูกระบุว่าอยู่เบื้องหลังการโจมตีครั้งใหม่ที่มุ่งเป้าไปที่บริการด้านไอทีของรัฐบาลในภูมิภาคแอฟริกา

นักวิจัยจาก Kaspersky, Denis Kulik และ Daniil Pogorelov เปิดเผยว่า "ผู้โจมตีได้ใช้ชื่อบริการภายใน, ที่อยู่ IP และพร็อกซีเซิร์ฟเวอร์ที่ถูกฮาร์ดโค้ดไว้ในมัลแวร์ของพวกเขา" และเสริมว่า "หนึ่งในเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) เป็น SharePoint server ที่ถูกควบคุมภายในโครงสร้างพื้นฐานของเหยื่อ"

APT41 เป็นชื่อที่ถูกกำหนดให้กับกลุ่มแฮกเกอร์ของรัฐบาลจีนที่มีความสามารถสูง ซึ่งเป็นที่รู้จักจากการกำหนดเป้าหมายองค์กรต่างๆ ในหลายภาคส่วน รวมถึงผู้ให้บริการโทรคมนาคมและพลังงาน, สถาบันการศึกษา, องค์กรด้านสุขภาพ และบริษัทไอทีพลังงานในกว่า 3 โหลประเทศ

สิ่งที่ทำให้การโจมตีครั้งนี้น่าสนใจคือการมุ่งเน้นไปที่ภูมิภาคแอฟริกา ซึ่งตามที่ผู้ให้บริการความปลอดภัยทางไซเบอร์ของรัสเซีย (Kaspersky) ระบุว่า "เป็นภูมิภาคที่มีกิจกรรมน้อยที่สุด" จากกลุ่มผู้คุกคามรายนี้ อย่างไรก็ตาม ผลการวิจัยนี้สอดคล้องกับการสังเกตการณ์ก่อนหน้านี้จาก Trend Micro ที่ระบุว่าทวีปแอฟริกาตกเป็นเป้าหมายตั้งแต่ปลายปี 2022

Kaspersky เริ่มการสอบสวนหลังจากพบ "กิจกรรมที่น่าสงสัย" บนเวิร์กสเตชันหลายเครื่องที่เกี่ยวข้องกับโครงสร้างพื้นฐานด้านไอทีขององค์กรที่ไม่เปิดเผยชื่อ ซึ่งเกี่ยวข้องกับการที่ผู้โจมตีรันคำสั่งเพื่อตรวจสอบความพร้อมใช้งานของเซิร์ฟเวอร์ C2 ของตน ไม่ว่าจะโดยตรงหรือผ่านพร็อกซีเซิร์ฟเวอร์ภายในองค์กรที่ถูกบุกรุก

"ต้นตอของกิจกรรมที่น่าสงสัยกลับกลายเป็นโฮสต์ที่ไม่ได้รับการตรวจสอบซึ่งถูกบุกรุก" นักวิจัยระบุ "มีการรัน Impacket บนโฮสต์นั้นในบริบทของบัญชีบริการ หลังจากโมดูล Atexec และ WmiExec ทำงานเสร็จสิ้น ผู้โจมตีได้หยุดการดำเนินการชั่วคราว"

หลังจากนั้นไม่นาน ผู้โจมตีได้เก็บข้อมูลประจำตัวที่เกี่ยวข้องกับบัญชีที่มีสิทธิ์เพื่อยกระดับสิทธิ์และเคลื่อนที่ในแนวนอน (lateral movement) และท้ายที่สุดก็ได้ติดตั้ง Cobalt Strike สำหรับการสื่อสาร C2 โดยใช้เทคนิค DLL side-loading

DLL ที่เป็นอันตรายมีการตรวจสอบแพ็กภาษาที่ติดตั้งบนโฮสต์ และจะดำเนินการต่อเมื่อไม่พบแพ็กภาษาต่อไปนี้: ญี่ปุ่น, เกาหลี (เกาหลีใต้), จีน (จีนแผ่นดินใหญ่) และจีน (ไต้หวัน)

การโจมตีนี้ยังโดดเด่นด้วยการใช้ SharePoint server ที่ถูกแฮกเพื่อวัตถุประสงค์ C2 โดยใช้ส่งคำสั่งที่รันโดยมัลแวร์ที่เขียนด้วย C# ซึ่งถูกอัปโหลดไปยังโฮสต์ของเหยื่อ

Kaspersky อธิบายว่า "พวกเขาแจกจ่ายไฟล์ชื่อ agents.exe และ agentx.exe ผ่านโปรโตคอล SMB เพื่อสื่อสารกับเซิร์ฟเวอร์" "ไฟล์เหล่านี้แต่ละไฟล์เป็นโทรจัน C# ที่มีฟังก์ชันหลักในการรันคำสั่งที่ได้รับจาก web shell ชื่อ CommandHandler.aspx ซึ่งติดตั้งอยู่บน SharePoint server" วิธีนี้ผสมผสานการปรับใช่มัลแวร์แบบดั้งเดิมเข้ากับกลยุทธ์ "living-off-the-land" ซึ่งบริการที่เชื่อถือได้เช่น SharePoint ถูกเปลี่ยนให้เป็นช่องทางควบคุมลับๆ พฤติกรรมเหล่านี้สอดคล้องกับเทคนิคที่จัดอยู่ใน MITRE ATT&CK รวมถึง T1071.001 (Web Protocols) และ T1047 (WMI) ทำให้ยากต่อการตรวจจับด้วยเครื่องมือที่ใช้ลายเซ็นเพียงอย่างเดียว

นอกจากนี้ ผู้คุกคามยังถูกพบว่าดำเนินการตามหลังบนเครื่องที่ถือว่ามีคุณค่าหลังจากการสำรวจเบื้องต้น ทำได้โดยการรันคำสั่ง cmd.exe เพื่อดาวน์โหลดไฟล์ HTML Application (HTA) ที่เป็นอันตรายซึ่งมี JavaScript ฝังอยู่จากแหล่งภายนอก และรันโดยใช้ mshta.exe

ลักษณะที่แท้จริงของเพย์โหลดที่ส่งผ่าน URL ภายนอก ซึ่งเป็นโดเมนที่ปลอมแปลงเป็น GitHub ("github.githubassets.net") เพื่อหลีกเลี่ยงการตรวจจับ ยังไม่เป็นที่ทราบแน่ชัด อย่างไรก็ตาม การวิเคราะห์สคริปต์ที่เคยถูกแจกจ่ายก่อนหน้านี้แสดงให้เห็นว่ามันถูกออกแบบมาเพื่อสร้าง reverse shell ซึ่งทำให้ผู้โจมตีสามารถรันคำสั่งบนระบบที่ติดเชื้อได้

เครื่องมือที่ใช้ในการโจมตียังรวมถึง stealers และยูทิลิตี้เก็บข้อมูลประจำตัวเพื่อรวบรวมข้อมูลที่ละเอียดอ่อนและส่งข้อมูลออกผ่าน SharePoint server เครื่องมือบางส่วนที่ถูกปรับใช้โดยผู้คุกคามมีดังนี้:

  • Pillager (เวอร์ชันที่ถูกดัดแปลง) เพื่อขโมยข้อมูลประจำตัวจากเบราว์เซอร์, ฐานข้อมูล และยูทิลิตี้การดูแลระบบ เช่น MobaXterm; ซอร์สโค้ด; สกรีนช็อต; เซสชันแชทและข้อมูล; ข้อความอีเมล; เซสชัน SSH และ FTP; รายชื่อแอปที่ติดตั้ง; ผลลัพธ์ของคำสั่ง systeminfo และ tasklist; และข้อมูลบัญชีจากแอปแชทและไคลเอนต์อีเมล

  • Checkout เพื่อขโมยข้อมูลเกี่ยวกับไฟล์ที่ดาวน์โหลดและข้อมูลบัตรเครดิตที่บันทึกไว้ในเว็บเบราว์เซอร์เช่น Yandex, Opera, OperaGX, Vivaldi, Google Chrome, Brave และ Cốc Cốc

  • RawCopy เพื่อคัดลอกไฟล์ registry ดิบ

  • Mimikatz เพื่อดัมพ์ข้อมูลประจำตัวบัญชี

"ผู้โจมตีใช้เครื่องมือที่หลากหลาย ทั้งที่สร้างขึ้นเองและที่หาได้ทั่วไป" Kaspersky กล่าว "โดยเฉพาะอย่างยิ่ง พวกเขาใช้เครื่องมือทดสอบการเจาะระบบ เช่น Cobalt Strike ในขั้นตอนต่างๆ ของการโจมตี"

"ผู้โจมตีปรับตัวเข้ากับโครงสร้างพื้นฐานของเป้าหมายได้อย่างรวดเร็ว โดยอัปเดตเครื่องมือที่เป็นอันตรายเพื่อคำนึงถึงลักษณะเฉพาะ พวกเขายังสามารถใช้บริการภายในเพื่อการสื่อสาร C2 และการส่งข้อมูลออกไปได้"

การปฏิบัติการครั้งนี้ยังเน้นย้ำถึงเส้นแบ่งที่พร่าเลือนระหว่างเครื่องมือ red team และการจำลองคู่ต่อสู้ในโลกแห่งความเป็นจริง ซึ่งผู้คุกคามใช้เฟรมเวิร์กสาธารณะเช่น Impacket, Mimikatz และ Cobalt Strike ควบคู่ไปกับการฝังมัลแวร์ที่กำหนดเอง ความทับซ้อนเหล่านี้ทำให้เกิดความท้าทายสำหรับทีมตรวจจับที่มุ่งเน้นไปที่การเคลื่อนที่ในแนวนอน, การเข้าถึงข้อมูลประจำตัว และการหลีกเลี่ยงการป้องกันในสภาพแวดล้อม Windows

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์