แกะรอย ShadowSilk: แฮกเกอร์ใช้ Telegram Bot โจมตี 35 องค์กรในเอเชียกลางและ APAC มุ่งขโมยข้อมูล

 

เผยกลุ่มแฮกเกอร์ "ShadowSilk" กำลังปฏิบัติการโจมตีครั้งใหม่ โดยมีเป้าหมายหลักเป็นหน่วยงานรัฐบาลในภูมิภาคเอเชียกลางและเอเชียแปซิฟิก (APAC) โดยใช้ Telegram Bot เป็นเครื่องมือสำคัญในการควบคุมและสั่งการเพื่อหลบเลี่ยงการตรวจจับ

Group-IB บริษัทด้านความปลอดภัยทางไซเบอร์ชั้นนำ ได้เปิดเผยรายงานการค้นพบคลัสเตอร์ภัยคุกคามใหม่ในชื่อ ShadowSilk ซึ่งอยู่เบื้องหลังการโจมตีองค์กรอย่างน้อย 35 แห่ง โดยส่วนใหญ่เป็นหน่วยงานภาครัฐในประเทศอุซเบกิสถาน, คีร์กีซสถาน, เมียนมาร์, ทาจิกิสถาน, ปากีสถาน และเติร์กเมนิสถาน นอกจากนี้ยังมีเป้าหมายในภาคพลังงาน, การผลิต, ค้าปลีก และการขนส่งอีกด้วย โดยมีวัตถุประสงค์หลักคือการลักลอบขโมยข้อมูลสำคัญออกไป

จากการวิเคราะห์พบว่า กลุ่ม ShadowSilk มีความเชื่อมโยงกับกลุ่มแฮกเกอร์ที่เคยปฏิบัติการมาก่อนหน้านี้อย่าง YoroTrooper, SturgeonPhisher และ Silent Lynx เนื่องจากมีการใช้ชุดเครื่องมือและโครงสร้างพื้นฐานบางส่วนร่วมกัน

ทีมงานสองสัญชาติ: รัสเซียพัฒนา จีนปฏิบัติการ

จุดที่น่าสนใจที่สุดของกลุ่ม ShadowSilk คือการทำงานร่วมกันของทีมงานสองภาษา Nikita Rostovcev และ Sergei Turner นักวิจัยจาก Group-IB กล่าวว่า "ปฏิบัติการนี้ดำเนินการโดยทีมงานสองภาษา ประกอบด้วยนักพัฒนาที่พูดภาษารัสเซียซึ่งเชื่อมโยงกับโค้ดดั้งเดิมของ YoroTrooper และผู้ปฏิบัติการภาคสนามที่พูดภาษาจีนซึ่งเป็นหัวหอกในการเจาะระบบ ทำให้เกิดเป็นภัยคุกคามที่คล่องตัวและครอบคลุมหลายภูมิภาค"

ก่อนหน้านี้ YoroTrooper ถูกเปิดเผยสู่สาธารณะครั้งแรกโดย Cisco Talos ในเดือนมีนาคม 2023 โดยมีประวัติการโจมตีหน่วยงานรัฐและองค์กรระหว่างประเทศในยุโรปมาตั้งแต่ปี 2022

เทคนิคการโจมตีที่หลากหลายและซับซ้อน

ShadowSilk เริ่มต้นการโจมตีด้วยการส่งอีเมลหลอกลวงแบบเจาะจง (Spear-phishing) ที่แนบไฟล์บีบอัดป้องกันด้วยรหัสผ่าน เมื่อเหยื่อเปิดไฟล์ มัลแวร์ที่สร้างขึ้นเอง (Custom Loader) จะถูกติดตั้งลงในเครื่อง และจะใช้ Telegram Bot เป็นช่องทางในการสื่อสารกับเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) เพื่อรับคำสั่งเพิ่มเติมและส่งข้อมูลที่ขโมยมา วิธีนี้ช่วยอำพรางการโจมตีให้ดูเหมือนการใช้งานแอปพลิเคชันสนทนาทั่วไป ทำให้ยากต่อการตรวจจับ

นอกจากนี้ กลุ่มแฮกเกอร์ยังใช้ประโยชน์จากช่องโหว่ที่รู้จักกันดีของซอฟต์แวร์ยอดนิยม เช่น Drupal (CVE-2018-7600) และปลั๊กอิน WP-Automatic ของ WordPress (CVE-2024-27956) ควบคู่ไปกับชุดเครื่องมือทดสอบการเจาะระบบระดับมืออาชีพอย่าง Metasploit และ Cobalt Strike

เมื่อเจาะเข้าระบบได้แล้ว แฮกเกอร์จะติดตั้ง Web Shells (เช่น ANTSWORD, Godzilla), เครื่องมือขโมยข้อมูล และโทรจันควบคุมระยะไกล (RAT) ที่เขียนด้วยภาษา Python ซึ่งสามารถรับคำสั่งผ่าน Telegram เพื่อดักจับภาพหน้าจอ, ภาพจากเว็บแคม และรวบรวมไฟล์เอกสารสำคัญต่างๆ ก่อนจะบีบอัดและส่งกลับไปยังเซิร์ฟเวอร์ของตน

หลักฐานชี้ตัวผู้ปฏิบัติการชาวจีน

Group-IB ประเมินว่านักพัฒนาของกลุ่ม YoroTrooper น่าจะเป็นผู้ที่พูดภาษารัสเซียและรับผิดชอบด้านการพัฒนามัลแวร์ แต่หลักฐานสำคัญที่พบคือภาพหน้าจอจากคอมพิวเตอร์ของหนึ่งในผู้โจมตี ซึ่งเผยให้เห็นผังคีย์บอร์ดภาษาจีน, การใช้เครื่องมือแปลภาษาอัตโนมัติจากเว็บไซต์รัฐบาลคีร์กีซสถานเป็นภาษาจีน และโปรแกรมสแกนช่องโหว่ที่เป็นภาษาจีน สิ่งเหล่านี้ล้วนบ่งชี้อย่างชัดเจนว่ามีผู้ปฏิบัติการที่พูดภาษาจีนเข้ามาเกี่ยวข้องในปฏิบัติการด้วย

Group-IB ทิ้งท้ายว่า "พฤติกรรมล่าสุดชี้ให้เห็นว่ากลุ่มนี้ยังคงเคลื่อนไหวอย่างต่อเนื่อง โดยมีการค้นพบเหยื่อรายใหม่ล่าสุดในเดือนกรกฎาคมที่ผ่านมา" ซึ่งเป็นการตอกย้ำถึงความสำคัญของการเฝ้าระวังโครงสร้างพื้นฐานของกลุ่ม ShadowSilk เพื่อป้องกันความเสียหายและการรั่วไหลของข้อมูลในระยะยาว

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก