ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳຜູ້ໃຊ້ທົ່ວໄປ

ບໍລິສັດ Symantec ພົບເຫັນກຸ່ມຜູ້ກໍ່ການຮ້າຍທາງໄຊເບີໃໝ່ ມີຊື່ວ່າ “SOWBUG” ທີ່​ມີ​ພຶດຕິກຳເນັ້ນ​​ເປົ້າໝາຍໂຈມຕີອົງກອນດ້ານ ການພົວພັນຕ່າງປະເທດ ຂອງ​ພູມິພາກ​ອາເມ​ລິ​ກາ​ໃຕ້ ​ແລະ ອາຊີ​ຕາເວັນ​ອອກ​ສຽງ​ໃຕ້, ກຸ່ມ Sowbug ຈະເຂົ້າໄປໂຈລະກຳເອກະສານ ພາຍໃນອົງກອນ ໂດຍຜ່ານທາງ Backdoor ທີ່ແຊກຊຶມເຂົ້າໄປ ໃຊ້ຊື່ຄ້າຍຄືກັບໂປຣແກຣມ Adobe ພ້ອມທັງຕິດຕັ້ງໃນໂຟນເດີຂອງ ໂປຣແກຣມດັ່ງກ່າວເຮັດໃຫ້ກວດຈັບໄດ້ຍາກ.

News Images: hacker.jpg

ບໍລິສັດ Symantec ພົບຫຼັກຖານທໍາອິດຂອງກຸ່ມນີ້ໃນເດືອນ ມີນາ 2017 ທີ່ຜ່ານມາ ຈາກມັນແວ (Malware) ທີ່ເກີດຂຶ້ນມາໃໝ່ຊື່ Felismus ຊຶ່ງມີເປົ້າໝາຍໂຈມຕີໃນອາຊີ​ຕາເວັນ​ອອກ​ສຽງ​ໃຕ້ ໃນຕໍ່ມາມີຜູ້ຕົກເປັນ​ເຫຍື່ອໃນ 2 ຝັ່ງຂອງມະຫາສະມຸດປາຊິ​ຟິກ,​ ຄວາມ​ຈິງ​ແລ້ວ​ Symantec ເຄີຍພົບເຫັນການເຄື່ອນໄຫວຂອງກຸ່ມ Sowbug ແລ້ວ ຕັ້ງແຕ່ຕົ້ນປີ 2015 ແລະ ອາດຈະເລີ່ມປະຕິບັດ ການມາກ່ອນໜ້ານັ້ນແລ້ວ ປັດຈຸບັນພົບການໂຈມຕີຈາກກຸ່ມນີ້ ແຊກຊຶມໄປຫາອົງກອນລັດຖະບານຂອງອາເມ​ລິ​ກາໃຕ້ ແລະ ອາຊີ​ຕາເວັນ​ອອກ​ສຽງ​ໃຕ້ ເຊັ່ນ: ອາເຈນຕິນາ, ບຣາຊິວ, ເອກວາດໍ, ເປຣູ, ບຣູໄນ ແລະ ມາເລເຊຍ. ກຸ່ມ Sowbug ມີທ່າແຮງໃນການໂຈມຕີ ແລະ ແຊກຊຶມສູງ ໂດຍສ່ວນຫຼາຍຈະເລືອກໂຈມຕີເວລານອກໂມງການຂອງອົງກອນທີ່ເປັນເປົ້າໝາຍ ເພື່ອເຮັດໃຫ້ກວດຈັບໄດ້ຍາກທີ່ສຸດ.

ໂຈມຕີຢ່າງມີເປົ້າໝາຍ

ຫຼັກຖານທີ່ພົບເຫັນຫຼັງຈາກການແຊກຊຶມຂອງກຸ່ມນີ້ມີຕົວຢ່າງໃຫ້ເຫັນ ເຊັ່ນ: ໃນປີ 2015 ເຂົ້າໂຈມຕີກະຊວງການຕ່າງປະເທດຂອງ ອາເມລິກາໃຕ້, ພົບເຫັນວ່າມີພຶດຕິກຳເພື່ອຄົ້ນຫາຂໍ້ມູນບາງຢ່າງໂດຍເຈດຕະນາ. ຫຼັກຖານ​ທຳອິດຂອງການແຊກຊຶມເກີດຂຶ້ນໃນວັນທີ 6 ພຶດສະພາ 2015 ແຕ່​ປະກົດ​ການ​ໂຈມ​ຕີ​ຕົວຈິງແມ່ນ​ວັນທີ​ 12 ຊຶ່ງກຸ່ມຜູ້ໂຈມຕີນີ້ເບິ່ງຄືມີຄວາມສົນໃຈໃນວຽກງານໜ່ວຍງານໜຶ່ງຂອງ ການທະຫານ ທີ່ເບິ່ງແຍງດ້ານຄວາມສຳພັນກັບພູມິພາກອາຊີປາຊິ​ຟິກ ການປະຕິບັດການທີ່ເກີດຂຶ້ນເທື່ອນັ້ນມີຄວາມຕັ້ງໃຈທີ່ຈະດຶງໄຟ​ລ໌ ເອກະສານ ​​word ທັງ​ໝົດ​ ທີ່​ຢູ່ໃນ ໄຟ​ລ໌​ເ​ຊີ​ເວີ​ຂອງໜ່ວຍງານນັ້ນອອກມາໂດຍໃຊ້ຄຳສັ່ງ “cmd.exe /c c:\windows\rar.exe a -m5 -r -ta20150511000000 -v3072 c:\recycler\[REDACTED].rar “\\[REDACTED]\*.docx” \\[REDACTED]\*.doc.” ທີ່​ໜ້າສົນ​ໃຈຄືພາຍໃນຄຳສັ່ງໄດ້ລະບຸສະເພາະເອກະສານທີ່ຖືກແກ້ໄຂຈາກວັນທີ 11 ພຶດສະພາ ຂຶ້ນໄປອອກມາເທົ່ານັ້ນ ຜົນການໂຈມ​ຕີເທື່ອນີ້ ຄ້າຍຄືວ່າຈະສຳເລັດ ເພາະຫຼັງຈາກນັ້ນອີກ 1 ຊົ່ວໂມງຕໍ່ມາ ຜູ້ໂຈມ​ຕີກໍ່ໄດ້ກັບມາເອີ້ນໄຟ​ລ໌ທີ່ຖືກແກ້ໄຂໃນວັນທີ 7 ພຶດສະພາ ຂຶ້ນໄປ ຊຶ່ງອາດຈະເປັນໄປໄດ້ວ່າບໍ່ພົບໄຟ​ລ໌ທີ່ຫາຢູ່ ຫຼື ສັງເກດເຫັນວ່າໄຟ​ລ໌ທີ່ຕ້ອງການນັ້ນຢູ່ໃນວັນທີທີກ່ອນໜ້ານັ້ນ ຈຶ່ງເຂົ້າມາ ເກັບຂໍ້ມູນເພີ່ມອີກ.

ການໂຈມ​ຕີຄັ້ງຕໍ່ມາ ຜູ້ໂຈມ​ຕີເນັ້ນເຂົ້າໄປຫາ Remote Share Drive ສະເພາະສຳນັກງານລັດຖະບານທີ່ສົນໃຈ ເພື່ອນຳເອກະສານ word ອອກມາ ໃນກໍລະນີນີ້ຜູ້ໂຈມ​ຕີເລືອກເອົາໄຟ​ລ໌ທີ່ຖືກແກ້ໄຂເລີ່ມແຕ່ວັນທີ່ 9 ພຶດສະພາ ແລະ ຕໍ່ມາມີການຂະຫຍາຍຂອບເຂດການ ຄົ້ນຫາ ໂດຍສະແດງລາຍຊື່ຂອງໄຟ​ລ໌ໃນຫຼາຍໆໂຟນເດີໃນ Remote Share ສ່ວນໜຶ່ງເປັນຂອງໜ່ວຍງານທາງດ້ານການຕ່າງປະເທດຂອງ ອາເມລິກາໃຕ້ທີ່ໄດ້ຮັບຜິດຊອບດ້ານຄວາມສຳພັນລະດັບສາກົນ, ນອກຈາກນີ້ ຍັງໃຊ້ payloads 2 ສ່ວນໃນເຄື່ອງເ​ຊິ​ເວີ​ທີ່ຖືກແຊກຊຶມ. ສະຫຼຸບລວມແລ້ວການໂຈມຕີເທື່ອນີ້ ຜູ້ໂຈມ​ຕີໄດ້ໃຊ້ເວລາຫຼາຍກວ່າ 4 ເດືອນ ຢູ່ໃນລະບົບເຄືອຂ່າຍ.

ສຳຫຼວດເຄືອຂ່າຍຢ່າງລະອຽດເພື່ອບໍ່ໃຫ້ກວດຈັບໄດ້ງ່າຍ

Sowbug ໄດ້ໃຊ້ເວລາກັບເຫຍື່ອບາງລາຍຫຼາຍກວ່າ 6 ເດືອນ ອີກເຕັກນິກໜຶ່ງທີ່ໃຊ້ເພື່ອບໍ່ໃຫ້ຕົນເອງນັ້ນເປັນຈຸດສົນໃຈ ກໍ່ຄືການປອມ ແປງເປັນຊ໋ອບແວທີ່ຖືກໃຊ້ງານເລື້ອຍໆເຊັ່ນ: Windows ຫຼື Adobe Reader ໂດຍການໃຊ້ເຄື່ອງມືທີ່ບໍ່ມີການແກ້ໄຂຊ໋ອບແວຕົວຈິງ ໃຫ້ຄ້າຍຄືກັບໂປຣ​ແກຣມທີ່ຖືກຕ້ອງ ແລະ ວາງໃນໂຟນເດີທີ່ຖືກປອມແປງ ທັງໝົດເຮັດໃຫ້ຜູ້ໂຈມ​ຕີສາມາດລອດພົ້ນຈາກການກວດຈັບ ດ້ວຍສາຍຕາ ຫຼື ບໍ່ເປັນຈຸດສັງເກດເມື່ອເບິ່ງລາຍຊື່ Process ເຊັ່ນຕົວຢ່າງ ໃນເດືອນ ກັນຍາ ປີ 2016 Sowbug ໄດ້ແຊກຊຶມ ເຂົ້າໄປໃນອົງກອນຂອງອາຊີແຫ່ງໜຶ່ງ ແລະ ຕິດຕັ້ງ Backdoor ຊື່ວ່າ Felismus ລົງໃນເຄື່ອງໂດຍໃຊ້ຊື່ adobecms.exe ໃນໂຟນເດີCSIDL_WINDOWS\debug ອີກທັງຍັງຕິດຕັ້ງເຄື່ອງມືເພີ່ມເຕີມໃນ CSIDL_APPDATA\ microsoft\security.

ຜູ້ໂຈມ​ຕີໄດ້ເລີ່ມສໍາຫຼວດເຄື່ອງຂອງເຫຍື່ອຜ່ານ cmd.exe ເພື່ອເກັບຂໍ້ມູນເຊັ່ນ: OS version, Hardware Configuration ແລະ ຂໍ້ມູນເຄືອຂ່າຍ ຫຼັງຈາກນັ້ນອີກ 4 ມື້ຈະກັບມາສ້າງໂຟນເດີຍ່ອຍຊື່ ‘common’ ພາຍໃນ Adobe ທີ່ຢູ່ໃນ Program Files ດັ່ງນີ້ ‘c:\Program Files\Adobe\common’ ແລະ ຕິດຕັ້ງເຄື່ອງມືເພີ່ມເຕີມຊື່ adobecms.exe ຄາດວ່າອາດຈະເປັນ Backdoor ເວີຊັ່ນທີ່ປັບປຸງແລ້ວ ການສຳຫຼວດເຄືອຂ່າຍຄ້າຍຄືຈະສຳເລັດໄປໄດ້ດ້ວຍດີ ເພາະວ່າມີການແຊກຊຶມເຂົ້າໄປໃນເຄື່ອງຄອມພິວເຕີເຄື່ອງອື່ນ ເພີ່ມຂຶ້ນ ຈາກນັ້ນຜູ້ໂຈມ​ຕີຈະກັບມາທີ່ເຄື່ອງທຳອິດອີກຄັ້ງ ແລະ ຕິດຕັ້ງໂປຣ​ແກຣມທີ່ຊື່ fb.exe ຊຶ່ງອາດຈະເປັນໂປຣ​ແກຣມທີ່ເອົາໄວ້ ເພື່ອສຳເນົາ Felismus ໄປຫາເຄື່ອງອື່ນໆ ໂດຍນຳໃຊ້ຊ່ວງເວລາໃນການເຮັດວຽກເທົ່ານັ້ນ ການໂຈມ​ຕີເທື່ອນີ້ໃຊ້ເວລາປະມານ 6 ເດືອນ ຈາກເດືອນ ກັນຍາ 2016 ເຖິງເດືອນ ມີນາ 2017.

ປັດໄຈທີ່ພາໃຫ້ຖືກແຊກຊຶມ

ປັດຈຸບັນນີ້ເຮົາຍັງບໍ່ສາມາດຮູ້ວິທີທີ່ Sowbug ນຳໃຊ້ເຂົ້າແຊກຊຶມເຄືອຂ່າຍຂອງເຫຍື່ອ ແລະ ບາງເທື່ອກໍ່ບໍ່ພົບຫຼັກຖານວ່າ Felismus ເຂົ້າໄປເຄື່ອງເຫຍື່ອໄດ້ແນວໃດ ໂດຍຄາດວ່າມັນຈະຕິດຕໍ່ມາຈາກເຄື່ອງອື່ນທີ່ຖືກແຊກຊຶມກ່ອນໜ້ານີ້ແລ້ວ ແຕ່ມີການໂຈມ​ຕີໃນບາງຄັ້ງ ທີ່ ຖິ້ມຫຼັກຖານວ່າມີການຕິດຕັ້ງ Felismus ໂດຍໃຊ້ເຄື່ອງມືເຊັ່ນ: Starloader (ຄົ້ນພົບໂດຍ Symantec ຊື່  Trojan.Starloader) ການເຮັດວຽກຂອງ Trojan ເມື່ອຕິດຕັ້ງຈະເຂົ້າລະຫັດຕົວເອງຊື່ Stars.jpg, ນອກຈາກນີ້ ມັນຍັງເປັນຊ່ອງທາງໃຫ້ຜູ້ໂຈມ​ຕີດາວໂຫຼດ ເຄື່ອງມືອື່ນ ເຊັ່ນ: Credential Dumpers ແລະ Keyloggers ມາຕິດຕັ້ງເພີ່ມເຕີມເຊັ່ນກັນ ແລະ ບໍ່ຮູ້ວ່າ Startloder ຖືກຕິດຕັ້ງໄດ້ແນວໃດ ຄວາມເປັນໄປໄດ້ຄືອາດຈະຜ່ານທາງການປອມຊ໋ອບແວປັບປຸງ ເພາະ Symantec ພົບວ່າ Starloader ພາຍໃຕ້ຊື່ AdobeUpdate.exe, AcrobatUpdate.exe ແລະ INTELUPDATE.EXE ທີ່ຖືກໃຊ້ສ້າງ Felismus ແລະ ເຄື່ອງມືອື່ນໆ.

ການປ້ອງກັນ

Symactec ແນະນຳວິທີການປ້ອງກັນໂດຍນຳໃຊ້ຜະລິດຕະພັນຄື Web Security Gateway, ProxySG, Advanced Secure gateway, Secure Analytics, Contect Analysis, Malware Analysis, SSL Visibility, PacketShaper ແລະ Symactec ມີ Signature ຂອງ Backdoor ຫຼື ເຄື່ອງມືອື່ນເຊັ່ນ: Backdoor.Felismus, Trojan.Starloader ໃນ ລະບົບ ປ້ອງກັນການບຸກລຸກ (Intrusion Protection System ”IPS”) ກໍ່ສາມາດກວດສອບພຶດຕິກຳໄດ້ເຊັ່ນກັນ ເຮົາຈະບໍ່ຄ່ອຍພົບເຫັນ ກຸ່ມຜູ້ໂຈມ​ຕີທີ່ເນັ້ນໄປຫາອາເມລິກາໃຕ້ຫຼາຍ ແນວໃດກໍ່ຕາມ ກຸ່ມຜູ້ກໍ່ການຮ້າຍທາງໄຊເບີໄດ້ເພີ່ມຂື້ນທຸກປີ, ການພົບເຫັນກຸ່ມ Sowbug ເທື່ອນີ້ແມ່ນສາມາດຢືນຢັນແລ້ວວ່າບໍ່ມີເຂດໃດທີ່ຢູ່ນອກເໜືອຈາກໄພຂົ່ມຂູ່ທີ່ແທ້ຈິງ.

ເອກະສານອ້າງອີງ

  1. https://www.symantec.com/connect/blogs/sowbug-cyber-espionage-group-targets-south-american-and-southeast-asian-governments