‘แฮ็กเกอร์’ ถูกเปิดโปงประวัติการโจมตีทางไซเบอร์ ไทยไม่รอด!

 

ปัจจุบันแฮ็กเกอร์คือปัจจัยหลักที่ก่อให้เกิดความเสี่ยงด้านความปลอดภัยทางไซเบอร์ โดยมีการเลือกใช้และพัฒนาวิธีและกลยุทธ์ที่หลากหลายอย่างต่อเนื่อง เพื่อมุ่งเป้าการโจมตีไปที่การโจรกรรม การทำให้หยุดชะงัก และ ผลประโยชน์ทางการเงิน เป็นหลัก

ไม่นานมานี้มีการออกมาเผยแพร่ชุดเครื่องมือของแฮ็กเกอร์ โครงสร้างและกระบวนการการโจมตี และยังมีข้อมูลการก่อเหตุต่างๆ โดยแก๊งแฮ็กเกอร์นี้รู้จักกันในนามของ Dark Cloud Shield จุดเด่นคือ ใช้เครื่องมือที่มีความซับซ้อนออกลาดตระเวน

 

อย่างเช่น WebLogicScan – เครื่องสแกนช่องโหว่ WebLogic ที่ใช้ Python, Vulmap – ใช้ประเมินช่องโหว่ของเว็บ

Xray – สแกนช่องโหว่ของเว็บไซต์โดยเฉพาะ, Dirsearch ใช้ค้นเส้นทาง URL

โดยแก๊งนี้เลือกใช้วิธีการโจมตีหลักผ่านการใช้ประโยชน์จากการติดตั้งซอฟต์แวร์ “Zhiyuan OA” ผ่านการโจมตี “SQL insert” ที่กำหนดเป้าหมายไปที่องค์กรเภสัชกรรมของเกาหลีใต้

หลังจากการแสวงหาประโยชน์จากส่วนต่างๆ ในระบบแล้ว แฮ็กเกอร์ใช้เครื่องมือขั้นสูงในการยกระดับสิทธิ์ เช่น “Traitor” สำหรับระบบ Linux และ “CDK” สำหรับสภาพแวดล้อม “Docker” และ “Kubernetes”

 

โครงสร้างการออกคำสั่งและการควบคุมจะทำผ่าน IP address ที่แตกต่างกันถึง 8 รายการ ซึ่งทำหน้าที่เป็นพร็อกซีโดยใช้ทั้ง Cobalt Strike และ Viper สำหรับการเข้าถึงระยะไกล จากนั้นแฮ็กเกอร์จะสร้างแรนซัมแวร์ “LockBit 3.0” ที่รั่วไหลออกมาเพื่อสร้างตัวแปรแรนซัมแวร์แบบกำหนดเอง (“LB3.exe”) ที่นำเหยื่อไปยังกลุ่ม Telegram ที่กำหนดไว้ซึ่งจัดการโดยผู้ดูแลระบบที่รู้จักในชื่อ “EVA”

 

ขณะเดียวกันก็ยังคงซ่อนบริการทดสอบการเจาะระบบที่ถูกกฎหมายไว้ และแก๊งนี้เองที่มีส่วนร่วมในการก่อเหตุคุกคามต่างๆ เช่น การขายข้อมูลที่ขโมยมา การโจมตี DDoS และ การแรนซัมแวร์ เป็นต้น เราจึงสามารถเห็นการผสมผสานที่มีความซับซ้อนระหว่างความเชี่ยวชาญทางเทคนิคและองค์กรอาชญากรรมได้อย่างชัดเจน

 

นอกจากนี้ นักวิเคราะห์ความปลอดภัยยังพบอีกว่า แฮ็กเกอร์ใช้เครื่องมือแฮ็กหลายตัวในการดำเนินการโดยปรับใช้เครื่องมือการเข้าถึงระยะไกล Cobalt Strike บน IP address

 

โดยใช้รหัสสิทธิ์ที่ถอดรหัสแล้ว และทิ้งไฟล์อันตรายที่มีเครื่องมือโจมตีเพิ่มเติมไว้ จากนั้นแฮ็กเกอร์จะติดตั้งรายละเอียดของคำสั่งและการควบคุมที่เรียกว่า Viper ซึ่งกำหนดค่าบนพอร์ตและค่าเริ่มต้น SSL certificates เพื่อจัดการโครงสร้างพื้นฐานของการโจมตี โดยการใช้ฟังก์ชัน Metasploit (vipermsf) ในตัวของ Viper ทำให้สามารถปลอมแปลงเอดับบลิวเอสที่โฮสต์เว็บไซต์ WordPress ผ่านช่องโหว่ด้านความปลอดภัยในปลั๊กอิน WPCargo

 

ทั้งนี้ เพื่อให้สามารถเข้าถึงระบบในระดับที่สูงมากขึ้นได้ แฮ็กเกอร์เลือกใช้เครื่องมือในการเพิ่มระดับสิทธิ์ คือ CDK เพื่อหลีกเลี่ยงข้อจำกัดของคอนเทนเนอร์ และ Traitor เพื่อเพิ่มสิทธิพิเศษของ Linux หลายรายการ

 

ดูเหมือนเป้าหมายสุดท้ายของแฮ็กเกอร์คือ การใช้ LockBit ransomware ที่เชื่อมโยงกับช่องทาง Telegram “You Dun” เพื่อมุ่งเป้าการโจมตีไปที่องค์กรต่างๆ ไม่ว่าจะเป็น องค์กรภาครัฐ สถาบันการศึกษา สถานพยาบาล ศูนย์สุขภาพ และภาคโลจิสติกส์ ในหลายประเทศในทวีปเอเชีย ได้แก่ ไทย เกาหลีใต้ จีน ไต้หวัน และ อิหร่าน

 

สุดท้ายผมขอฝากว่า เวลานี้เข้าใกล้ช่วงวันหยุดตามเทศกาล และวันสุดยาวสิ้นปีแล้ว ซึ่งเป็นช่วงเวลาที่เหล่าบรรดาแฮ็กเกอร์จะเลือกออกปฏิบัติโจมตีระบบขององค์กรต่าง ๆ เพราะต้องอย่าลืมว่าแฮ็กเกอร์สามารถหาวันหยุดของแต่ละประเทศได้ผ่านโลกออนไลน์

 

ดังนั้นจึงเลือกโจมตีแบบล็อกเป้าได้อย่างสบายๆ ผมจึงอยากให้ทุกองค์กรระมัดระวัง เตรียมแผนตั้งรับและเครื่องมือในการป้องกันระบบ รวมถึงติดต่อทีม incident Response ที่จะต่อสู้กับภัยคุกคามครับ

 

 

 

———————————————————————————————————————————————————————————
ที่มา :       เดลินิวส์ออนไลน์         / วันที่เผยแพร่   9  ธ.ค.67
Link : https://www.dailynews.co.th/news/4168159/