เตือนภัย! กลุ่มแฮกเกอร์จีน "Mustang Panda" พุ่งเป้าโจมตีไทย ใช้เวิร์ม USB "SnakeDisk" แฝงตัวปล่อยมัลแวร์ "Yokai"
มีรายงานว่ากลุ่มผู้ไม่หวังดีที่มีความเชื่อมโยงกับรัฐบาลจีน หรือที่รู้จักกันในชื่อ Mustang Panda ได้ใช้มัลแวร์ backdoor เวอร์ชันอัปเดตที่ชื่อว่า TONESHELL และเวิร์ม USB ตัวใหม่ที่ไม่เคยถูกค้นพบมาก่อนในชื่อ SnakeDisk เพื่อโจมตีเป้าหมายในประเทศไทยโดยเฉพาะ
นักวิจัยจาก IBM X-Force ซึ่งติดตามกลุ่มแฮกเกอร์นี้ในชื่อ Hive0154 ได้เปิดเผยในบทวิเคราะห์เมื่อสัปดาห์ที่แล้วว่า "เวิร์มตัวนี้จะทำงานเฉพาะบนอุปกรณ์ที่มี IP address อยู่ในประเทศไทยเท่านั้น และจะทำการปล่อย backdoor ที่ชื่อว่า Yokai ออกมา"
กลุ่ม Mustang Panda (หรือที่รู้จักในชื่ออื่นๆ เช่น BASIN, Bronze President, Earth Preta) เป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล และเชื่อว่าเริ่มปฏิบัติการมาตั้งแต่ปี 2012 โดยมีชื่อเสียงในการใช้มัลแวร์ TONESHELL ซึ่งถูกเปิดเผยครั้งแรกโดย Trend Micro ในปี 2022 เพื่อโจมตีหลายประเทศในเอเชียแปซิฟิก หน้าที่หลักของ TONESHELL คือการดาวน์โหลดมัลแวร์ขั้นต่อไปมาติดตั้งบนเครื่องที่ติดเชื้อ โดยมักใช้เทคนิค DLL side-loading ในการทำงาน
โดยทั่วไปแล้ว รูปแบบการโจมตีมักจะเริ่มจากการส่งอีเมลหลอกลวงแบบเจาะจงเป้าหมาย (spear-phishing) เพื่อปล่อยมัลแวร์อย่าง PUBLOAD หรือ TONESHELL
การพัฒนาเครื่องมือโจมตีที่ซับซ้อนขึ้น
TONESHELL เวอร์ชันใหม่ที่ IBM X-Force ตั้งชื่อว่า TONESHELL8 และ TONESHELL9 นั้น มีความสามารถในการสื่อสารกับเซิร์ฟเวอร์ควบคุมผ่านพร็อกซีเซิร์ฟเวอร์ (proxy servers) ที่ตั้งค่าไว้ในเครื่อง เพื่อพรางตัวให้กลมกลืนกับการรับส่งข้อมูลปกติของเครือข่ายองค์กร ที่น่าสนใจคือ มันยังมีการใส่โค้ดขยะ (junk code) ที่คัดลอกมาจากเว็บไซต์ ChatGPT ของ OpenAI เข้าไปในฟังก์ชันของมัลแวร์ เพื่อหลบเลี่ยงการตรวจจับและทำให้การวิเคราะห์ทำได้ยากขึ้น
นอกจากนี้ยังมีการค้นพบเวิร์ม USB ตัวใหม่ที่ชื่อว่า SnakeDisk ซึ่งทำงานโดยใช้เทคนิค DLL side-loading เช่นกัน และมีความคล้ายคลึงกับ TONEDISK ซึ่งเป็นเวิร์ม USB อีกตัวในตระกูลเดียวกัน หน้าที่หลักของมันคือการตรวจจับไดรฟ์ USB ที่เชื่อมต่อกับคอมพิวเตอร์เพื่อใช้เป็นช่องทางในการแพร่กระจาย
วิธีการของ SnakeDisk คือ มันจะย้ายไฟล์ทั้งหมดที่มีอยู่ใน USB ไปเก็บไว้ในโฟลเดอร์ย่อยที่สร้างขึ้นใหม่ แล้วสร้างไฟล์ประสงค์ร้าย (malicious payload) ขึ้นมาแทนโดยตั้งชื่อให้เหมือนกับชื่อของ USB ไดรฟ์นั้นๆ หรือใช้ชื่อว่า USB.exe เพื่อหลอกให้ผู้ใช้คลิก เมื่อมัลแวร์ทำงาน ไฟล์ต่างๆ จะถูกคัดลอกกลับมาไว้ที่เดิม
Yokai: Backdoor ที่พุ่งเป้าประเทศไทย
จุดเด่นของมัลแวร์ตัวนี้คือการจำกัดขอบเขตทางภูมิศาสตร์ (geofenced) ให้ทำงานเฉพาะบนเครื่องคอมพิวเตอร์ที่มี public IP address อยู่ในประเทศไทยเท่านั้น SnakeDisk ยังทำหน้าที่เป็นตัวกลางในการปล่อย Yokai ซึ่งเป็น backdoor ที่จะสร้าง reverse shell เพื่อให้ผู้โจมตีสามารถสั่งการเครื่องจากระยะไกลได้ Yokai มีความคล้ายคลึงกับมัลแวร์ backdoor ตระกูลอื่นๆ ของกลุ่มนี้ เช่น PUBLOAD/PUBSHELL และ TONESHELL
การใช้ SnakeDisk และ Yokai บ่งชี้ว่าอาจมีกลุ่มย่อยภายใน Mustang Panda ที่มุ่งเน้นการโจมตีประเทศไทยโดยเฉพาะ พร้อมทั้งแสดงให้เห็นถึงการพัฒนาและปรับปรุงคลังอาวุธไซเบอร์ของกลุ่มแฮกเกอร์นี้อย่างต่อเนื่อง
IBM สรุปว่า "กลุ่ม Hive0154 (Mustang Panda) ยังคงเป็นผู้ไม่หวังดีที่มีขีดความสามารถสูง มีกลุ่มย่อยที่ปฏิบัติการอยู่หลายกลุ่ม และมีการพัฒนาเครื่องมืออย่างต่อเนื่อง กลุ่มนี้ดูเหมือนจะรักษาระบบนิเวศมัลแวร์ขนาดใหญ่ที่มีความซับซ้อนและทับซ้อนกันทั้งในด้านโค้ด เทคนิค และเป้าหมายการโจมตี"
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก