นักวิจัยด้านความปลอดภัยไซเบอร์จาก CYFIRMA ได้เปิดเผยการค้นพบมัลแวร์ Android ตัวใหม่ที่มีชื่อว่า Tanzeem และ Tanzeem Update ซึ่งเชื่อมโยงกับกลุ่ม APT ของอินเดียที่รู้จักกันในชื่อ DoNot Team หรือ APT-C-35 กลุ่มนี้มีเป้าหมายโจมตีองค์กรภาครัฐ หน่วยงานทหาร กระทรวงการต่างประเทศ และสถานทูตในประเทศแถบเอเชียใต้ เช่น อินเดีย ปากีสถาน ศรีลังกา และบังกลาเทศ
ซึ่งมัลแวร์ Tanzeem ถูกตรวจพบในเดือนตุลาคมและธันวาคม 2024 โดยมันแฝงตัวมาในรูปแบบแอปพลิเคชันที่เลียนแบบฟังก์ชันการแชท และแจ้งให้ผู้ใช้งานเปิดสิทธิ์การเข้าถึงระบบ เมื่อได้รับสิทธิ์แล้ว แอปจะสามารถเข้าถึงข้อมูล บันทึกการโทร รายชื่อผู้ติดต่อ ข้อความ SMS ตำแหน่งที่อยู่ ข้อมูลบัญชี และไฟล์ในที่เก็บข้อมูลภายนอก รวมถึงการบันทึกหน้าจอเพื่อเก็บข้อมูลสำคัญเพิ่มเติม โดยแอปนี้จะปิดตัวลงทันทีหลังจากได้รับสิทธิ์การเข้าถึง นั้นแสดงถึงเจตนาความตั้งใจของผู้สร้างมัลแวร์ที่มุ่งโจมตีเป้าหมายเฉพาะ
รูปแบบการโจมตีมีการใช้เทคนิคใหม่ในการส่งลิงก์เพื่อทำการฟิชชิ่ง โดยทีม DoNot ถูกพบว่าใช้แพลตฟอร์ม OneSignal ซึ่งปกติใช้ในการส่งการแจ้งเตือน ข้อความในแอป อีเมล และ SMS เพื่อส่งลิงก์ฟิชชิ่งให้กับเป้าหมาย กลยุทธ์นี้ถูกพบเป็นครั้งแรกที่มีกลุ่ม APT ใช้ OneSignal เป็นเครื่องมือในการโจมตี เมื่อเป้าหมายคลิก “เริ่มแชท” แอปจะพาไปยังหน้าการตั้งค่าเพื่อเปิดการเข้าถึง จากนั้นจึงเริ่มต้นรวบรวมข้อมูลอย่างลับ ๆ ทั้งนี้ กลุ่ม DoNot มีเป้าหมายโจมตีองค์กรในเอเชียใต้เพื่อรวบรวมข้อมูลข่าวกรองเชิงกลยุทธ์ที่เกี่ยวข้องกับอินเดีย ความพยายามล่าสุดแสดงให้เห็นถึงความต่อเนื่องและการพัฒนาของกลุ่ม เช่น การปรับเปลี่ยนเทคนิคใหม่เพื่อเสริมสร้างความสามารถในการดำเนินการ ในรายงานระบุว่า กลุ่ม DoNot ยังคงปรับตัวและพัฒนากลยุทธ์การโจมตีทางไซเบอร์อย่างต่อเนื่อง โดยมีการปรับปรุงวิธีการใหม่ๆ ในอนาคต
แหล่งข่าว https://securityaffairs.com/173257/apt/donot-team-android-malware.html
—————————————————————————————————————————————
ที่มา : thaicert / วันที่เผยแพร่ 22 ม.ค. 68
Link : https://shorturl.at/5lzrO
