เว็บไซต์ The Hackernews รายงานเมื่อ 8 ก.ค.67 ว่า กลุ่มผู้ก่อภัยคุกคามขั้นสูง (APT) ใหม่ ชื่อว่า CloudSorcerer ซึ่งยังไม่มีการบันทึกข้อมูลไว้ก่อนหน้านี้ กำลังโจมตีหน่วยงานของรัฐบาลรัสเซียที่การใช้บริการคลาวด์ เช่น Microsoft Graph, Yandex Cloud และ Dropbox โดยทำการสั่งการและควบคุม (command-and-control หรือ C2) และการขโมยข้อมูลของเหยื่อ ทั้งนี้ รูปแบบการโจมตีของกลุ่ม CloudSorcerer คล้ายคลึงกับกลุ่ม CloudWizard แต่แตกต่างกันที่ซอร์สโค้ดของมัลแวร์
บริษัทด้านความปลอดภัยทางไซเบอร์ Kaspersky ได้พบกิจกรรมดังกล่าวเมื่อ พ.ค.67 โดยกลุ่มแฮ็กเกอร์ใช้เครื่องมือจารกรรมทางไซเบอร์ที่ซับซ้อนในการเฝ้าติดตามเพื่อรวบรวมข้อมูลและขโมยข้อมูลของเหยื่อ รวมถึงใช้กลวิธีหลบเลี่ยงเพื่อปกปิดร่องรอย
มัลแวร์ CloudSorcerer มีลักษณะเป็นไฟล์ปฏิบัติการไฟล์เดียวที่สามารถทำงานแยกกันสองโมดูล คือโมดูลการรวบรวมข้อมูล และโมดูลการสื่อสาร เพื่อช่วยให้ไฟล์ติดตั้งและซ่อนตัวได้ง่ายขึ้น นอกจากนี้ ไฟล์ดังกล่าวสามารถระบุคำสั่งเพื่อรวบรวมข้อมูลจากฮาร์ดไดรฟ์ในเครื่องของเหยื่อ ได้แก่ ชื่อคอมพิวเตอร์ ชื่อผู้ใช้ ข้อมูลเวอร์ชัน Windows เวลาทำงานของระบบ และข้อมูลจากไฟล์และโฟลเดอร์
กลุ่ม CloudSorcerer ใช้ GitHub เป็นเซิร์ฟเวอร์ C2 สำหรับโจมตีไปยังเซิฟเวอร์คลาวด์ Microsoft Graph หรือ Yandex Cloud ของเหยื่อ ผ่าน API โดยใช้โทเค็นการตรวจสอบสิทธิ์ นอกจากนี้ กลุ่ม CloudSorcerer ยังพยายามเข้าถึงข้อมูลจาก hxxps://my.mail[.]ru/ ซึ่งเป็นเซิร์ฟเวอร์เก็บรูปภาพบนคลาวด์ของรัสเซียด้วย
ทั้งนี้ยังไม่ปรากฎข้อมูลที่แน่ชัดว่า แฮ็กเกอร์ใช้วิธีการใดที่ใช้ในการแทรกซึมเป้าหมาย แต่การเข้าถึงเริ่มต้นเป็นการวางไฟล์มัลแวร์เพื่อใช้เป็นแบ็กดอร์ สำหรับสั่งการและควบคุม C2 หรือแทรกโค้ด (Code Injection) เข้าไปตามโปรแกรมที่ดำเนินการอยู่ ได้แก่ mspaint.exe, msiexec.exe หรือข้อมูลชนิดข้อความ (string) ในเบราว์เซอร์
บริษัทรักษาความปลอดภัยของ Proofpoint กล่าวว่า ได้ตรวจพบแคมเปญทางไซเบอร์ภายใต้ชื่อ UNK_ArbitraryAcrobat ที่กำหนดเป้าหมายองค์กรที่ไม่เปิดเผยชื่อในสหรัฐฯ ช่วงปลายเดือน พ.ค.67 ซึ่งมีลักษณะคล้ายคลึงกับกลยุทธ์ของ CloudSorcerer
กลุ่มแฮ็กเกอร์ใช้บัญชีฟรีเมลซึ่งแอบอ้างเป็นสถาบันวิจัยชื่อดังของสหรัฐฯ และใช้คำเชิญเข้าร่วมงานปลอมเพื่อหลอกผู้รับให้ดาวน์โหลดไฟล์ ZIP หากดาวน์โหลดและเปิดไฟล์ ZIP ผู้ใช้จะเห็นโฟลเดอร์และไฟล์ LNK จำนวน 3 ไฟล์ ซึ่งไฟล์ LNK จะทำการเปิดเอกสาร PDF หรือ Word ซึ่งเป็นไฟล์ปฏิบัติการที่มีชื่อว่า cache.tmp จากนั้นจะเปลี่ยนชื่อส่วนประกอบต่าง ๆ ในโฟลเดอร์เป็นชื่อใหม่ จากนั้นมัลแวร์ก็จะเริ่มกระบวนการการโจมตีที่เป็นอันตราย
นาย Greg Lesnewich นักวิจัยด้านภัยคุกคามของ Proofpoint กล่าวว่า ผลการค้นพบล่าสุดบ่งชี้ว่าแฮ็กเกอร์ใช้เทคนิคฟิชชิ่งแบบเจาะจงเพื่อแทรกซึมเข้าสู่เครือข่าย และกำหนดเป้าหมายที่ใช้ระบบปฏิบัติการ Windows”
————————————————————————————————————-
ที่มา : เว็บไซต์ The Hackernews และ Darkreading / วันที่เผยแพร่ 8 และ 9 ก.ค.67
Link : https://thehackernews.com/2024/07/new-apt-group-cloudsorcerer-targets.html , https://www.darkreading.com/cloud-security/cloudsorceror-public-cloud-cyberespionage-campaign
