กลุ่มแฮกเกอร์จีน UAT-7237 โจมตีเว็บเซิร์ฟเวอร์ไต้หวัน ใช้เครื่องมือโอเพนซอร์สดัดแปลงเพื่อฝังตัวระยะยาว

Published:

 

    กลุ่มผู้ไม่หวังดีขั้นสูง (Advanced Persistent Threat - APT) ที่ใช้ภาษาจีนเป็นหลัก ถูกตรวจพบว่ากำลังพุ่งเป้าโจมตีโครงสร้างพื้นฐานทางเว็บในไต้หวัน โดยใช้เครื่องมือโอเพนซอร์สที่นำมาดัดแปลงเป็นพิเศษ เพื่อเป้าหมายในการสร้างช่องทางเข้าถึงระบบของเหยื่อในระยะยาว

    Cisco Talos บริษัทด้านความปลอดภัยไซเบอร์ ได้ระบุว่ากิจกรรมนี้เป็นของกลุ่มที่ใช้รหัสว่า UAT-7237 ซึ่งเชื่อว่าเริ่มปฏิบัติการมาอย่างน้อยตั้งแต่ปี 2022 และประเมินว่าเป็นกลุ่มย่อยของ UAT-5918 ซึ่งเป็นที่รู้จักจากการโจมตีโครงสร้างพื้นฐานที่สำคัญของไต้หวันมาตั้งแต่ปี 2023

    Talos ระบุว่า "UAT-7237 ได้ทำการบุกรุกโครงสร้างพื้นฐานทางเว็บในไต้หวัน โดยอาศัยเครื่องมือโอเพนซอร์สที่ถูกดัดแปลงมาในระดับหนึ่ง ซึ่งน่าจะเป็นไปเพื่อหลบเลี่ยงการตรวจจับและดำเนินกิจกรรมที่เป็นอันตรายภายในองค์กรของเหยื่อ"

เทคนิคการโจมตีที่แตกต่าง

    การโจมตีของกลุ่มนี้มีจุดเด่นคือการใช้เชลล์โค้ดโหลดเดอร์ (Shellcode Loader) ที่สร้างขึ้นเองชื่อว่า SoundBill ซึ่งออกแบบมาเพื่อถอดรหัสและรันเพย์โหลดขั้นต่อไป เช่น เครื่องมือเจาะระบบชื่อดังอย่าง Cobalt Strike

    แม้ว่าจะมีกลยุทธ์บางส่วนที่คล้ายคลึงกับกลุ่มแม่ (UAT-5918) แต่เทคนิคของ UAT-7237 ก็มีความแตกต่างที่น่าสนใจหลายประการ เช่น:

  • ใช้ Cobalt Strike เป็นประตูหลัง (Backdoor) หลัก

  • มีการติดตั้ง Web Shell อย่างจำกัดหลังเจาะระบบได้แล้ว

  • ใช้การเข้าถึงผ่าน Remote Desktop Protocol (RDP) โดยตรง และใช้ไคลเอนต์ SoftEther VPN เพื่อคงสิทธิ์การเข้าถึงไว้

ลำดับขั้นการโจมตี

  1. เจาะระบบเริ่มต้น: แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่ความปลอดภัยที่รู้จักกันดี โจมตีเซิร์ฟเวอร์ที่ไม่ได้อัปเดตแพตช์และเปิดเชื่อมต่อกับอินเทอร์เน็ต

  2. ลาดตระเวน: ทำการสำรวจและเก็บข้อมูลเพื่อประเมินว่าเป้าหมายมีความน่าสนใจพอที่จะโจมตีในขั้นต่อไปหรือไม่

  3. สร้างช่องทางเข้าถึงระยะยาว: จุดนี้คือความแตกต่างที่สำคัญ UAT-7237 จะติดตั้ง SoftEther VPN เพื่อฝังตัวและสร้างช่องทางเข้าถึงระบบไว้อย่างถาวร (คล้ายกับกลุ่ม Flax Typhoon) จากนั้นจึงค่อยเข้าถึงระบบผ่าน RDP ในภายหลัง ซึ่งต่างจากกลุ่ม UAT-5918 ที่มักจะติดตั้ง Web Shell ทันที

  4. ขยายผล: เมื่อยึดเครื่องแรกได้แล้ว แฮกเกอร์จะเคลื่อนที่ไปยังระบบอื่นๆ ภายในองค์กรเพื่อขยายขอบเขตการควบคุม และใช้ SoundBill เพื่อรัน Cobalt Strike 

เครื่องมือหลังการเจาะระบบ

หลังจากเข้าควบคุมระบบได้แล้ว กลุ่ม UAT-7237 ยังใช้เครื่องมืออื่นๆ อีกหลายชนิด เช่น:

  • JuicyPotato: เครื่องมือสำหรับยกระดับสิทธิ์ (Privilege Escalation) ซึ่งเป็นที่นิยมในกลุ่มแฮกเกอร์จีน

  • Mimikatz: เครื่องมือสำหรับดึงข้อมูลประจำตัว (Credentials) เช่น ชื่อผู้ใช้และรหัสผ่าน

  • FScan: ใช้สำหรับสแกนหาพอร์ตที่เปิดอยู่ภายในเครือข่าย

    ในการโจมตีครั้งล่าสุด พบว่ามีการใช้ SoundBill เวอร์ชันอัปเดต ที่ฝัง Mimikatz ไว้ข้างใน เพื่อให้ทำงานได้สะดวกขึ้นในขั้นตอนเดียว นอกจากนี้ยังพบความพยายามแก้ไข Windows Registry เพื่อปิดการทำงานของ User Account Control (UAC) และเปิดให้ระบบจัดเก็บรหัสผ่านแบบข้อความธรรมดา (Cleartext Passwords) ซึ่งทำให้ขโมยรหัสผ่านได้ง่ายขึ้น

หลักฐานชี้ตัว

    Talos ตั้งข้อสังเกตว่า "UAT-7237 ได้ตั้งค่าภาษาที่ต้องการในไฟล์กำหนดค่าของไคลเอนต์ SoftEther VPN เป็นภาษาจีนตัวย่อ ซึ่งบ่งชี้ว่าผู้ปฏิบัติการมีความเชี่ยวชาญในภาษานี้"

การเปิดเผยนี้เกิดขึ้นพร้อมกับที่บริษัท Intezer ค้นพบแบ็คดอร์ FireWood เวอร์ชันใหม่ ซึ่งมีความเชื่อมโยง (แม้จะยังไม่ชัดเจนนัก) กับกลุ่มแฮกเกอร์ที่สนับสนุนจีนอีกกลุ่มหนึ่งที่ชื่อว่า Gelsemium ซึ่งแสดงให้เห็นถึงภัยคุกคามทางไซเบอร์ที่เกิดขึ้นอย่างต่อเนื่องในภูมิภาคนี้

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์