ทีมนักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Positive Technologies ได้เผยแพร่รายงานบทวิเคราะห์การโจมตีของกลุ่ม Calypso ซึ่งเป็นกลุ่มที่โจมตีในลักษณะ Advance Persistent Threat (APT) โดยมีเป้าหมายเพื่อขโมยข้อมูลสำคัญจากหน่วยงานระดับสูงของรัฐบาลหลายๆ ประเทศ โดยในรายงานได้ระบุว่าประเทศไทยตกเป็นเป้าหมายด้วย
จากรายงาน ทีมวิจัยคาดว่าการโจมตีของกลุ่ม Calypso น่าจะเริ่มดำเนินการมาแล้วตั้งแต่เดือนกันยายน 2559 โดยช่องทางการโจมตีในขั้นแรก (initial vector) จะเจาะระบบเว็บไซต์แล้ววางไฟล์ web shell (.aspx) ไว้ในเครื่องเซิร์ฟเวอร์ จุดประสงค์เพื่อใช้เป็นช่องทางพิเศษในการรับคำสั่ง จากนั้นจะใช้เครื่องเซิร์ฟเวอร์ดังกล่าวเป็นช่องทางเพื่อขยายต่อไปยังเครื่องอื่นๆ ในเครือข่ายต่อไป (lateral movement)
ในขั้นตอนถัดมาจะมีการติดตั้งเครื่องมือสำหรับใช้ในการรวบรวมข้อมูลหรือแพร่กระจายมัลแวร์ไปยังเครื่องอื่นๆ ในเครือข่าย ซึ่งเครื่องมือที่ใช้ส่วนใหญ่เป็นเครื่องมือที่สามารถดาวน์โหลดได้จากอินเทอร์เน็ต เช่น Sysinternals, Mimikatz, Netcat หรือเครื่องมือสำหรับโจมตีช่องโหว่อย่าง DoublePulsar และ EternalBlue เป็นต้น โดยเครื่องมือเหล่านี้จะถูกดาวน์โหลดมาเก็บไว้ในไดเรกทอรี C:\RECYCLER หรือ C:\ProgramData ทั้งนี้ จากรายงานพบว่ามีการใช้เครื่องมือเฉพาะของกลุ่ม APT อื่นมาประกอบการโจมตีด้วย แต่ยังไม่ยืนยันว่ากลุ่ม Calypso นี้มีความเชื่อมโยงกับกลุ่ม APT อื่นๆ หรือไม่
หลังจากรวบรวมข้อมูลจนพบเครื่องที่เป็นเป้าหมายจะมีการติดตั้งเครื่องมีเฉพาะเพื่อใช้ในการขโมยข้อมูลแล้วส่งกลับ โดยเครื่องมือเฉพาะของกลุ่ม Calypso จะเป็นมัลแวร์ประเภท Remote Access Trojan (RAT) หน้าที่หลักใช้เพื่อรับคำสั่งและติดต่อกับเซิร์ฟเวอร์ที่ใช้ควบคุมมัลแวร์ รายละเอียดเพิ่มเพิ่มเกี่ยวกับเครื่องมือของกลุ่ม Calypso สามารถศึกษาได้จากที่มา
เนื่องจากพบข้อมูลที่อาจเป็นไปได้ว่าหน่วยงานในไทยตกเป็นเหยื่อด้วย ผู้ดูแลระบบควรตรวจสอบข้อมูลการเชื่อมต่อเครือข่ายและข้อมูลเฉพาะของมัลแวร์ เพื่อประเมินว่าเครื่องคอมพิวเตอร์ในหน่วยงานเข้าข่ายถูกโจมตีหรือไม่ โดยในรายงานฉบับเต็มนั้นมีข้อมูล Indicator of compromise (IOC) ประกอบด้วยรายการไอพีและโดเมนที่มัลแวร์เชื่อมต่อออกไป รวมถึงค่าแฮชของไฟล์มัลแวร์และไฟล์ที่เกี่ยวข้อง โดยผู้ดูแลระบบสามารถนำข้อมูล IOC ดังกล่าวไปตรวจสอบในเครื่องคอมพิวเตอร์หรือ log ของอุปกรณ์เครือข่ายได้
———————————————————–
ที่มา : ThaiCERT / 15 พฤศจิกายน 2562
Link : https://www.thaicert.or.th/newsbite/2019-11-15-01.html?fbclid=IwAR2Q5pvHtsDayUDmKkFTSeU6hOSoVbFQdS4kFxYrj1LIOGkhhUFLZJ-MaMU#2019-11-15-01