Kaspersky พบทูลเซ็ตใหม่อำพรางตัวได้นาน เพื่อจารกรรมข้อมูลภาคอุตสาหกรรม

0
189
Kaspersky

มาแล้ว! มัลแวร์จารกรรมข้อมูลภาคอุตสาหกรรม แคสเปอร์สกี้ (Kaspersky) พบทูลเซ็ตใหม่ “MontysThree” อำพรางตัว (Steganography) ได้นาน…

Kaspersky พบทูลเซ็ตใหม่อำพรางตัวได้นาน เพื่อจารกรรมข้อมูลภาคอุตสาหกรรม

เมื่อไม่นานมานี้ นักวิจัยของแคสเปอร์สกี้ได้ค้นพบชุดของการโจมตีที่มีเป้าหมายเป็นภาคอุตสาหกรรมย้อนหลังไปถึงปี 2018 ซึ่งหาได้ยากมากในโลกของภัยคุกคามต่อเนื่องขั้นสูง (APT) ที่ผู้ก่อภัยคุกคามมักเน้นโจมตีหน่วยงานการทูตและผู้มีบทบาททางการเมืองระดับสูง

ชุดเครื่องมือที่ใช้ซึ่งเดิมชื่อ MT3 ตั้งโดยผู้เขียนมัลแวร์ ได้รับการขนานนามใหม่จากแคสเปอร์สกี้ว่า MontysThree” ใช้เทคนิคต่างๆ เพื่อหลบเลี่ยงการตรวจจับ รวมถึงการโฮสต์การสื่อสารกับเซิร์ฟเวอร์ควบคุมบนบริการคลาวด์สาธารณะ และการซ่อนโมดูลที่เป็นอันตรายหลักโดยใช้วิธีอำพรางข้อมูล (Steganography)

หน่วยงานของรัฐบาล หน่วยงานการทูต และผู้ให้บริการโทรคมนาคมมักจะเป็นเป้าหมายของกลุ่ม APT เนื่องจากบุคลากรและสถาบันเหล่านี้มักมีข้อมูลที่เป็นความลับและมีความอ่อนไหวทางการเมืองเป็นจำนวนมาก ที่พบยากกว่าคือการเป้าหมายแคมเปญจารกรรมที่เป็นหน่วยงานภาคอุตสาหกรรม

แต่เช่นเดียวกับการโจมตีวงการอื่นๆ คือสามารถส่งผลร้ายแรงต่อธุรกิจได้ ด้วยเหตุนี้เมื่อสังเกตเห็นกิจกรรมของ MontysThree นักวิจัยของแคสเปอร์สกี้จึงบันทึกกิจกรรมร้ายได้อย่างรวดเร็ว โดยในการดำเนินการจารกรรม MontysThree ใช้โปรแกรมมัลแวร์ซึ่งประกอบด้วยโมดูลสี่โมดูล

ตัวโหลดแรกแพร่กระจายโดยใช้ไฟล์ RAR SFX (ไฟล์อาร์ไคฟ์ที่แยกออกมาเอง) ซึ่งมีรายชื่อผู้ติดต่อของพนักงาน เอกสารทางเทคนิค และผลวิเคราะห์ทางการแพทย์ เพื่อหลอกให้พนักงานดาวน์โหลดไฟล์

ซึ่งเป็นเทคนิคสเปียร์ฟิชชิงทั่วไป ตัวโหลดมีหน้าที่หลักในการทำให้ไม่สามารถตรวจพบมัลแวร์ในระบบได้ ในการทำเช่นนี้จะใช้เทคนิคที่เรียกว่าการอำพรางข้อมูล (Steganography)

Kaspersky

ผู้ก่อภัยคุกคามใช้การอำพรางข้อมูลเพื่อซ่อนการแลกเปลี่ยนข้อมูล ในกรณีของ MontysThree เพย์โหลดที่เป็นอันตรายหลักจะปลอมเป็นไฟล์บิตแมป (เป็นรูปแบบสำหรับจัดเก็บภาพดิจิทัล) หากป้อนคำสั่งที่ถูกต้อง ตัวโหลดจะใช้อัลกอริทึมที่สร้างขึ้นเองเพื่อถอดรหัสเนื้อหาจากอาร์เรย์พิกเซล และเรียกใช้เพย์โหลดที่เป็นอันตราย

เพย์โหลดตัวหลักที่เป็นอันตรายจะใช้เทคนิคการเข้ารหัสหลายอย่างเพื่อหลบเลี่ยงการตรวจจับ ได้แก่ การใช้อัลกอริทึม RSA เพื่อเข้ารหัสการสื่อสารกับเซิร์ฟเวอร์ควบคุม และถอดรหัส งาน หลักที่ได้รับมอบหมายจากมัลแวร์ ซึ่งรวมถึงการค้นหาเอกสารที่มีนามสกุลเฉพาะ

และในไดเรกทอรีของบริษัท MontysThree ถูกออกแบบมาเพื่อพุ่งเป้าหมายไปที่เอกสาร Microsoft และ Adobe Acrobat โดยเฉพาะ นอกจากนี้ยังสามารถจับภาพหน้าจอและ ลายนิ้วมือ (เช่น รวบรวมข้อมูลเกี่ยวกับการตั้งค่าเครือข่าย ชื่อโฮสต์ ฯลฯ) เพื่อดูว่าน่าสนใจหรือไม่

ข้อมูลที่รวบรวมได้ และการสื่อสารกับเซิร์ฟเวอร์ควบคุมจะถูกโฮสต์บนบริการคลาวด์สาธารณะ เช่น Google, Microsoft และ Dropbox ทำให้ตรวจทราฟฟิกการสื่อสารได้ยากว่าเป็นอันตรายหรือไม่ และเนื่องจากไม่มีโปรแกรมป้องกันไวรัสที่บล็อกบริการเหล่านี้ จึงทำให้เซิร์ฟเวอร์ควบคุมสามารถดำเนินการคำสั่งได้โดยไม่ถูกขัดจังหวะ

MontysThree ยังใช้วิธีง่าย ๆ เพื่อให้อยู่ของระบบที่ติดไวรัสได้นาน คือใช้ตัวปรับแต่งสำหรับ Windows Quick Launch ทุกครั้งที่ผู้ใช้เรียกใช้งานแอปพลิเคชันอย่างเบราว์เซอร์ โดยใช้แถบเครื่องมือ Quick Launch ก็เป็นการเรียกใช้โมดูลเริ่มต้นของมัลแวร์ด้วยตัวเองโดยไม่ได้ตั้งใจ

ทั้งนี้แคสเปอร์สกี้ไม่พบความคล้ายคลึงกันในโค้ดที่เป็นอันตรายหรือโครงสร้างพื้นฐานของ MontysThree กับกลุ่ม APT กลุ่มอื่นใดก่อนหน้านี้

Kaspersky

เดนิส เลเกโซ นักวิจัยความปลอดภัยอาวุโส ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ กล่าวว่า MontysThree มีลักษณะที่น่าสนใจเพราะมีการกำหนดเป้าหมายไปที่ภาคอุตสาหกรรม และเป็นการผสมผสาน TTP ที่ซับซ้อน และขาดทักษะ โดยทั่วไปความซับซ้อนจะแตกต่างกันไปในแต่ละโมดูล แต่ไม่สามารถเปรียบเทียบกับระดับที่ใช้

โดย APT ขั้นสูงสุดได้ อย่างไรก็ตาม ผู้ก่อภัยคุกคามใช้มาตรฐานการเข้ารหัสที่แข็งแกร่งและมีการตัดสินใจเชิงเทคโนโลยีบางอย่าง รวมถึงวิธีการอำพรางที่กำหนดเอง ที่สำคัญที่สุดคือชัดเจนว่าผู้โจมตีได้ใช้ความพยายามอย่างมากในการพัฒนาชุดเครื่องมือ MontysThree ซึ่งชี้ถึงความมุ่งมั่นในจุดมุ่งหมายและไม่ใช่แคมเปญที่มีอายุสั้น

ท่านสามารถอ่านข้อมูลเพิ่มเติมเรื่อง MontysThree ได้ที่ https://securelist.com/montysthree-industrial-espionage/98972/ รายละเอียดเกี่ยวกับตัวบ่งชี้การโจมตีของกลุ่มนี้ รวมถึงการแฮชไฟล์ สามารถเข้าดูได้ที่ แคสเปอร์สกี้ Threat Intelligence Portal https://opentip.kaspersky.com/

วิธีการเพื่อป้องกันภัยคุกคามอย่าง MontysThree 

  • จัดให้ทีม SOC สามารถเข้าถึงข้อมูลภัยคุกคามล่าสุด Threat Intelligence Portal เป็นจุดบริการที่ผู้ใช้งานสามารถเข้าถึงสิ่งที่ต้องการได้ทั้งหมด (Single point of access) ซึ่งให้ข้อมูลการโจมตีทางไซเบอร์และข้อมูลเชิงลึกที่แคสเปอร์สกี้รวบรวมมานานกว่า 20 ปี
  • สำหรับการตรวจจับ การตรวจสอบและการแก้ไขเหตุการณ์ระดับเอ็นด์พอยต์อย่างทันท่วงที แนะนำให้ใช้โซลูชั่น EDR เช่น Endpoint Detection and Response
  • จัดให้พนักงานได้รับการฝึกอบรมด้านสุขอนามัยความปลอดภัยทางไซเบอร์ขั้นพื้นฐาน เนื่องจากการโจมตีแบบกำหนดเป้าหมายจำนวนมากเริ่มต้นด้วยฟิชชิงหรือเทคนิควิศวกรรมสังคมอื่น ๆ
  • ใช้ผลิตภัณฑ์รักษาความปลอดภัยเอ็นด์พอยต์ที่มีประสิทธิภาพซึ่งสามารถตรวจจับการใช้เฟิร์มแวร์ เช่น Endpoint Security for Business
  • อัปเดตเฟิร์มแวร์ UEFI เป็นประจำและซื้อเฟิร์มแวร์จากผู้ขายที่เชื่อถือได้เท่านั้น
ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) 
*** ขอขอบคุณภาพประกอบบางส่วนจาก N/A

สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่  www.facebook.com/itday.in.th

Itdayleadger

This site uses Akismet to reduce spam. Learn how your comment data is processed.