แฮกเกอร์เกาหลีเหนือใช้ช่องโหว่ VeilShell ใหม่ในการโจมตีแบบแอบแฝงทั่วเอเชียตะวันออกเฉียงใต้
จากการเปิดเผยข้อมูลใหม่ที่น่าสะพรึงกลัว กลุ่มจารกรรมไซเบอร์ของเกาหลีเหนือถูกพบเห็นว่าใช้มัลแวร์แบ็คดอร์ตัวใหม่ที่เรียกว่า VeilShell เพื่อโจมตีทางไซเบอร์อย่างลับๆ ทั่วเอเชียตะวันออกเฉียงใต้ ผู้เชี่ยวชาญด้านความปลอดภัยได้เชื่อมโยงกิจกรรมนี้กับ APT37 ซึ่งเป็นกลุ่มแฮกเกอร์ที่ฉาวโฉ่ซึ่งปฏิบัติการภายใต้ชื่อปลอมหลายชื่อ เช่น InkySquid, Reaper, RedEyes และ ScarCruft APT37 ซึ่งมีความเชื่อมโยงกับกระทรวงความมั่นคงแห่งรัฐของเกาหลีเหนือ ได้เคลื่อนไหวมาตั้งแต่ปี 2012 และมีชื่อเสียงในด้านแคมเปญไซเบอร์ที่ซับซ้อนที่กำหนดเป้าหมายไปที่ภาคส่วนของรัฐบาลและองค์กรธุรกิจ
สารบัญ
แคมเปญ SHROUDED#SLEEP
นักวิจัยด้านความปลอดภัยได้ตั้งชื่อปฏิบัติการล่าสุดนี้ว่า SHROUDED#SLEEP ซึ่งเป็นชื่อที่เหมาะสมสำหรับการซ่อนตัวและความอดทนที่อาชญากรไซเบอร์เหล่านี้แสดงให้เห็น เชื่อกันว่ากลุ่มนี้กำลังดำเนินการรณรงค์นี้โดยมุ่งเน้นไปที่กัมพูชาและประเทศอื่นๆ ในเอเชียตะวันออกเฉียงใต้โดยเฉพาะ โดยใช้ประโยชน์จาก VeilShell ซึ่งเป็นโทรจันการเข้าถึงระยะไกล (RAT) ผู้โจมตีมีเป้าหมายที่จะควบคุมเครื่องที่ถูกบุกรุกทั้งหมด โดยมีความสามารถในการขโมยข้อมูล จัดการรีจิสทรีของระบบ และกำหนดตารางงานอย่างลับๆ
VeilShell ทำงานอย่างไร?
สิ่งที่น่าสนใจอย่างหนึ่งของการโจมตีครั้งนี้คือวิธีที่ VeilShell เข้าสู่ระบบเป้าหมาย แม้ว่าจะยังไม่ชัดเจนว่าข้อมูลเบื้องต้นถูกส่งมาอย่างไร แต่ผู้เชี่ยวชาญสงสัยว่ากลุ่มนี้ใช้อีเมลฟิชชิ่ง ซึ่งเป็นวิธีการหลอกล่อบุคคลให้คลิกลิงก์ที่เป็นอันตรายหรือดาวน์โหลดไฟล์ที่ติดไวรัส ข้อมูลเบื้องต้นอาจถูกส่งมาผ่านไฟล์ ZIP ที่ประกอบด้วยไฟล์ทางลัดของ Windows (LNK)
เมื่อผู้ใช้ที่ไม่สงสัยเปิดไฟล์ LNK ไฟล์ดังกล่าวจะเริ่มทำงานตามลำดับขั้นตอน โค้ด PowerShell ซึ่งเป็นภาษาสคริปต์ที่ใช้กันทั่วไปในสภาพแวดล้อม Windows จะทำงานอยู่เบื้องหลังเพื่อแยกส่วนประกอบเพิ่มเติมที่ซ่อนอยู่ภายในไฟล์ เพื่อหลีกเลี่ยงความสงสัย การโจมตีจะเบี่ยงเบนความสนใจของผู้ใช้ด้วยเอกสารที่ดูไม่เป็นอันตราย เช่น ไฟล์ Microsoft Excel หรือ PDF ขณะเดียวกันก็จะติดตั้งส่วนประกอบมัลแวร์ที่อันตรายกว่าในเบื้องหลัง
ภัยคุกคามที่แท้จริงมาจาก DomainManager.dll ซึ่งเป็นไฟล์อันตรายที่วางไว้อย่างมีกลยุทธ์ในโฟลเดอร์เริ่มต้นระบบของ Windows โดยไฟล์นี้จะทำงานทุกครั้งที่รีบูตระบบเพื่อให้ทำงานอย่างต่อเนื่อง ไฟล์นี้จะสื่อสารกับเซิร์ฟเวอร์คำสั่งและควบคุมระยะไกล (C2) ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ติดไวรัสได้ จากนั้นผู้โจมตีสามารถสอดส่องไฟล์ อัปโหลดข้อมูลที่ละเอียดอ่อน ดาวน์โหลดเครื่องมืออันตรายเพิ่มเติม และแม้แต่ลบหรือเปลี่ยนชื่อไฟล์เพื่อปกปิดร่องรอย
การแทรก AppDomainManager: เทคนิคที่แอบแฝง
สิ่งที่ทำให้การโจมตีนี้แตกต่างจากการโจมตีทางไซเบอร์อื่นๆ คือการใช้เทคนิคที่เรียกว่า AppDomainManager injection อย่างชาญฉลาด แม้จะฟังดูซับซ้อน แต่ในทางปฏิบัติแล้ว วิธีการนี้ช่วยให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้ทุกครั้งที่มีการเปิดใช้งานโปรแกรมที่ถูกต้อง โดยไม่ส่งสัญญาณเตือนใดๆ กลวิธีนี้เพิ่งถูกนำมาใช้โดยกลุ่มแฮกเกอร์อีกกลุ่มหนึ่งที่ร่วมมือกับจีน ซึ่งแสดงให้เห็นว่าเทคนิคนี้ได้รับความนิยมในหมู่ผู้ก่ออาชญากรรมทางไซเบอร์ทั่วโลก
เกมยาว: APT37 หลบเลี่ยงการตรวจจับได้อย่างไร
เหตุผลหนึ่งที่ทำให้แคมเปญนี้ไม่ถูกตรวจพบเป็นเวลานานก็คือความอดทนของผู้โจมตี หลังจากติดตั้ง VeilShell สำเร็จแล้ว ผู้โจมตีจะไม่เปิดใช้งานทันที ในทางกลับกัน มัลแวร์จะอยู่ในสถานะสงบนิ่งจนกว่าระบบจะรีบูต การเปิดใช้งานที่ล่าช้านี้ รวมกับระยะเวลาพักการทำงานที่ยาวนาน (การหยุดทำงานชั่วคราว) ทำให้มัลแวร์ตรวจจับได้ยากขึ้นด้วยเครื่องมือรักษาความปลอดภัยแบบเดิม เทคนิคเหล่านี้ช่วยให้แฮกเกอร์หลีกเลี่ยงการตรวจจับได้เป็นเวลานาน ทำให้สามารถรวบรวมข้อมูลข่าวกรองและควบคุมระบบที่ถูกบุกรุกได้
ผลกระทบและภัยคุกคามในอนาคต
การค้นพบล่าสุดนี้ทำให้ความกังวลเกี่ยวกับศักยภาพด้านไซเบอร์ของเกาหลีเหนือเพิ่มมากขึ้น กลุ่มต่างๆ เช่น APT37, Lazarus และ Kimsuky ล้วนเชื่อมโยงกับ การโจมตีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ ซึ่งมีเป้าหมายเพื่อการจารกรรม แสวงหา ผลประโยชน์ทางการเงิน และการก่อวินาศกรรม ด้วยการใช้เครื่องมือที่ซับซ้อนมากขึ้น เช่น VeilShell กลุ่มเหล่านี้จึงกลายเป็นภัยคุกคามที่สำคัญต่อภูมิทัศน์ด้านความปลอดภัยทางไซเบอร์ระดับโลก
ผู้เชี่ยวชาญเตือนว่าแคมเปญนี้สามารถแพร่กระจายไปไกลเกินกว่าเอเชียตะวันออกเฉียงใต้ได้อย่างง่ายดาย เนื่องจากกลุ่มแฮกเกอร์จากเกาหลีเหนือมีประวัติการโจมตีหลายภูมิภาค รวมถึงสหรัฐอเมริกาและยุโรป ที่จริงแล้ว เพียงไม่กี่วันก่อนการค้นพบ VeilShell กลุ่มแฮกเกอร์จากเกาหลีเหนืออีกกลุ่มหนึ่งที่รู้จักกันในชื่อ Andariel ได้เปิดฉากโจมตีองค์กรของสหรัฐฯ โดยใช้แคมเปญเพื่อแสวงหาผลประโยชน์ทางการเงิน
การปกป้องจาก VeilShell และภัยคุกคามที่คล้ายคลึงกัน
สำหรับองค์กรและบุคคลทั่วไป เรื่องนี้เน้นย้ำถึงความสำคัญของการเฝ้าระวังการพยายามฟิชชิ่งแบบเจาะจง และการตรวจสอบให้แน่ใจว่าระบบทั้งหมดได้รับการอัปเดตด้วยแพตช์ความปลอดภัยล่าสุดเป็นประจำ ต่อไปนี้คือเคล็ดลับบางประการที่จะช่วยลดความเสี่ยงของการโจมตีดังกล่าว:
- ระวังอีเมลที่ไม่คาดคิด: หากคุณได้รับอีเมลพร้อมไฟล์แนบหรือลิงก์ที่คุณไม่ได้คาดหวังไว้ โปรดคิดให้ดีก่อนคลิก
- อัปเดตซอฟต์แวร์ให้ทันสมัย: การแพตช์ระบบปฏิบัติการและแอปพลิเคชันเป็นประจำสามารถช่วยลดช่องโหว่ด้านความปลอดภัยที่ผู้โจมตีใช้ประโยชน์ได้
โดยสรุป มัลแวร์ VeilShell และแคมเปญ SHROUDED#SLEEP เป็นตัวเตือนที่ชัดเจนถึงภัยคุกคามที่เปลี่ยนแปลงอยู่ตลอดเวลาในโลกแห่งความปลอดภัยทางไซเบอร์ การระมัดระวังและใช้มาตรการรักษาความปลอดภัยเชิงรุกจะช่วยให้บุคคลและธุรกิจต่างๆ ก้าวล้ำหน้าผู้ก่ออาชญากรรมอันตรายเหล่านี้ได้หนึ่งก้าว