แกะรอยแฮกเกอร์อิหร่าน: MuddyWater งัด MuddyViper แบ็คดอร์ใหม่ ถล่มหลายภาคส่วนของอิสราเอล

Published:

 

กลุ่มแฮกเกอร์ที่เชื่อว่ามีความเกี่ยวข้องกับรัฐบาลอิหร่านได้เปิดฉากโจมตีครั้งใหม่ พุ่งเป้าไปที่องค์กรสำคัญในประเทศอิสราเอลหลายแห่ง ทั้งในภาคการศึกษา วิศวกรรม รัฐบาลท้องถิ่น การผลิต เทคโนโลยี การขนส่ง และสาธารณูปโภค โดยมีการตรวจพบว่าใช้มัลแวร์แบ็คดอร์ที่ไม่เคยมีการบันทึกมาก่อนในชื่อ "MuddyViper"

การโจมตีครั้งนี้ถูกระบุโดยบริษัทรักษาความปลอดภัยไซเบอร์ ESET ว่าเป็นฝีมือของกลุ่มแฮกเกอร์ที่รู้จักกันในชื่อ MuddyWater (หรือที่รู้จักกันในชื่อ Mango Sandstorm หรือ TA450) ซึ่งมีการประเมินว่าเป็นกลุ่มที่เชื่อมโยงกับกระทรวงข่าวกรองและความมั่นคง (MOIS) ของอิหร่าน นอกจากนี้ การโจมตีดังกล่าวยังพุ่งเป้าไปที่บริษัทเทคโนโลยีแห่งหนึ่งในประเทศอียิปต์ด้วย

กลยุทธ์การโจมตีที่พัฒนาขึ้น

กลุ่ม MuddyWater เป็นที่รู้จักมาตั้งแต่ปี 2017 และมีประวัติการโจมตีที่มุ่งเน้นไปยังหน่วยงานต่าง ๆ ของอิสราเอลอย่างต่อเนื่อง กลยุทธ์หลักของการโจมตีมักจะใช้เทคนิค Spear-Phishing (การส่งอีเมลหลอกลวงแบบเจาะจงเป้าหมาย) และการใช้ประโยชน์จากช่องโหว่ที่ทราบกันดีในโครงสร้างพื้นฐาน VPN เพื่อแทรกซึมเข้าสู่เครือข่าย

ในการโจมตีล่าสุดนี้ ซึ่งเกิดขึ้นตั้งแต่เดือนพฤษภาคม 2024 กลุ่ม MuddyWater ได้เปลี่ยนไปใช้อีเมลฟิชชิ่งที่มีไฟล์ PDF แนบมา ซึ่งจะเชื่อมโยงไปยังเครื่องมือจัดการระยะไกล (Remote Desktop Tools) ที่ใช้งานได้จริง เช่น Atera, Level, PDQ และ SimpleHelp โดยมีการใช้ตัวโหลด (Loader) ชื่อ "Fooder" เพื่อถอดรหัสและรันแบ็คดอร์ MuddyViper ที่พัฒนาด้วยภาษา C/C++

MuddyViper นี้มีความสามารถสูงถึง 20 คำสั่ง ซึ่งช่วยให้แฮกเกอร์สามารถ:

  • เก็บรวบรวมข้อมูลระบบ
  • รันไฟล์และคำสั่ง Shell
  • โอนถ่ายไฟล์
  • ขโมยข้อมูลล็อกอิน Windows และข้อมูลจากเบราว์เซอร์

นอกจากนี้ ในการโจมตีครั้งนี้ยังมีการใช้เครื่องมืออื่น ๆ เช่น VAXOne (แบ็คดอร์ที่แอบอ้างเป็นบริการยอดนิยม) และเครื่องมือขโมยข้อมูลเบราว์เซอร์อย่าง CE-Notes และ Blub รวมถึงเครื่องมือขโมยข้อมูลรับรองอย่าง LP-Notes ที่หลอกให้ผู้ใช้กรอกรหัสผ่านผ่านหน้าต่าง "Windows Security" ปลอม

ESET ชี้ว่า การนำส่วนประกอบที่ไม่เคยมีการบันทึกมาก่อน เช่น Fooder และ MuddyViper มาใช้ เป็นสัญญาณที่แสดงให้เห็นถึง "ความพยายามในการเพิ่มความสามารถในการซ่อนเร้น (Stealth) ความคงทนในการเข้าถึง (Persistence) และการเก็บเกี่ยวข้อมูลรับรอง (Credential Harvesting)" ซึ่งเป็นการบ่งชี้ถึงความเชี่ยวชาญในการปฏิบัติการที่พัฒนาขึ้นของกลุ่ม MuddyWater

Charming Kitten Leaks: ข้อมูลวงในถูกเปิดโปง

การเปิดเผยเรื่อง MuddyViper เกิดขึ้นไม่กี่สัปดาห์หลังจากที่กลุ่มแฮกเกอร์อิหร่านอีกกลุ่มที่รู้จักกันในชื่อ APT35 (หรือ Charming Kitten / Fresh Feline) ต้องเผชิญกับการรั่วไหลครั้งใหญ่ของเอกสารภายในองค์กร ซึ่งข้อมูลดังกล่าวถูกเผยแพร่สู่สาธารณะโดยกลุ่มนิรนามที่ชื่อว่า KittenBusters ในเดือนกันยายนและตุลาคม 2025

เอกสารที่รั่วไหลออกมานั้นเผยให้เห็นภาพรวมของการปฏิบัติการทางไซเบอร์ของกลุ่มนี้ ซึ่งเชื่อกันว่าเชื่อมโยงกับกองกำลังพิทักษ์การปฏิวัติอิสลาม (IRGC) โดยมีการเปิดโปงว่าการปฏิบัติการนี้มี โครงสร้างการบังคับบัญชาที่เป็นระบบและมีระเบียบแบบแผนทางราชการ มีการบันทึกกิจกรรมประจำวัน การวัดผลความสำเร็จของการฟิชชิ่ง และการติดตามชั่วโมงการสอดแนมอย่างเป็นกิจจะลักษณะ

การรั่วไหลครั้งนี้ถือว่ามีความสำคัญอย่างยิ่ง เพราะนอกจากจะระบุตัวผู้นำการปฏิบัติการแล้ว ยังมีการเผยแพร่ ซอร์สโค้ดทั้งหมด ของมัลแวร์ BellaCiao ที่เคยถูกใช้โจมตีบริษัทในสหรัฐฯ ยุโรป ตะวันออกกลาง และอินเดีย ซึ่งข้อมูลเหล่านี้ได้ตอกย้ำว่ากลุ่มแฮกเกอร์เหล่านี้ไม่ใช่กลุ่มรวมตัวกันอย่างอิสระ แต่เป็น หน่วยงานข่าวกรองไซเบอร์ที่เป็นสถาบัน ของรัฐบาลอิหร่านอย่างแท้จริง

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์