พบกลุ่มก่อการร้ายใหม่ ‘Sowbug’ มุ่งเน้นโจมตีองค์กรระหว่างประเทศในเอเชีย

Symantec พบกลุ่มผู้ก่อการร้ายไซเบอร์ใหม่นามว่า ‘Sowbug’ ที่มีพฤติกรรมมุ่งเน้นโจมตีองค์กรด้านการต่างประเทศและการทูตของภูมิภาคอเมริกาใต้และเอเชียตะวันออกเฉียงใต้ กลุ่ม Sowbug นั้นจะเข้าไปโจรกรรมเอกสารภายในองค์กรที่เข้าแทรกซึมได้ผ่านทาง Backdoor ที่ใช้ชื่อคล้ายกับโปรแกรมอย่าง Adobe พร้อมทั้งติดตั้งในโฟลเดอร์ของโปรแกรมดังกล่าวทำให้ตรวจจับได้ยาก

Symantec พบหลักฐานชิ้นแรกของกลุ่มนี้เมื่อเดือนมีนาคมที่ผ่านมา จากมัลแวร์ถือกำเนิดขึ้นมาใหม่ชื่อ Felismus ที่มีจุดประสงค์โจมตีเป้าหมายในเอเซียตะวันออกเฉียงใต้ ซึ่งต่อมาพบผู้ตกเป็นเหยื่ออยู่ทั้ง 2 ฝั่งของมหาสมุทรแปซิฟิค ความจริงแล้ว Symantec เคยพบการเคลื่อนไหวของกลุ่ม Sowbug แล้วตั้งแต่ต้นปี 2015 และอาจจะเริ่มปฏิบัติการมาก่อนหน้านั้นแล้ว ปัจจุบันพบการโจมตีจากกลุ่มนี้แทรกซึมไปยังองค์กรรัฐบาลของอเมริกาใต้และเอเชียตะวันออกเฉียงใต้ เช่น อาเจนติน่า บราซิล เอกวาดอร์ เปรู บรูไน และ มาเลเซีย กลุ่ม Sowbug มีศักยภาพการโจมตีและแทรกซึมสูง โดยจะเลือกโจมตีนอกเวลางานขององค์กรเป้าหมายเป็นส่วนใหญ่เพื่อทำให้จับได้ยากที่สุด

โจมตีอย่างมีเป้าหมาย

หลักฐานที่พบหลังจากการแทรกซึมของกลุ่มนี้มีตัวอย่างให้เห็นเช่นเมื่อปี 2015 เข้าโจมตีกระทรวงการต่างประเทศแห่งนึงของอเมริกาใต้พบและมีพฤติกรรมเพื่อค้นหาข้อมูลบางอย่างแบบจงใจ หลักฐานชิ้นแรกของการแทรกซึมเกิดขึ้นเมื่อ 6 พฤษภาคม 2015 แต่ปรากฏการโจมตีจริงเมื่อวันที่ 12 กลุ่มผู้โจมตีดูเหมือนมีความสนใจในส่วนงานนึงของการทหารที่ดูแลด้านความสัมพันธ์กับภูมิภาคเอเชียแปซิฟิค การปฏิบัติการที่เกิดขึ้นครั้งนั้นมีความตั้งใจที่จะดึงไฟล์เอกสาร Word ทั้งหมดที่อยู่ในไฟล์เซิร์ฟเวอร์ของส่วนงานนั้นออกมาโดยใช้คำสั่ง ‘cmd.exe /c c:\windows\rar.exe a -m5 -r -ta20150511000000 -v3072 c:\recycler\[REDACTED].rar “\\[REDACTED]\*.docx” \\[REDACTED]\*.doc.’ ที่น่าสนใจคือภายในคำสั่งได้ระบุนำเอกสารที่ถูกแก้ไขจากวันที่ 11 พฤษภาคมขึ้นไปออกมาเท่านั้น ผลลัพธ์การโจมตีครั้งนี้ดูเหมือนจะสำเร็จลุล่วงเพราะหลังจากนั้นอีกชั่วโมงต่อมา ผู้โจมตีก็ได้กลับมาเรียกไฟล์คราวนี้ระบุเอาเฉพาะไฟล์ที่ถูกแก้ไขตั้งแต่วันที่ 7 พฤษภาคมขึ้นไป ซึ่งเป็นไปได้ว่าอาจจะไม่พบไฟล์ที่หาอยู่หรืออาจจะสังเกตุเห็นว่าไฟล์ที่ต้องการอาจจะอยู่วันก่อนหน้าจึงเข้ามาเก็บข้อมูลเพิ่มอีก

การโจมตีอีกที่หนึ่งคราวนี้ผู้โจมตีมุ่งเข้าไปยัง Remote Share Drive ของสำนักงานรัฐบาลที่สนใจเพื่อนำเอกสาร Word ออกมา กรณีนี้ผู้โจมตีเลือกไฟล์ที่ถูกแก้ไขเริ่มวันที่ 9 พฤษภาคม และต่อมามีการขยายขอบเขตการค้นหาโดยการแสดงรายชื่อของไฟล์ในหลายๆ โฟลเดอร์บน Remote Share ส่วนนึงเป็นของหน่วยงานด้านการการต่างประเทศอีกแห่งของอเมริกาใต้ที่รับผิดชอบด้านความสัมพันธ์ระดับนานาชาติ นอกจากนี้ยังใช้ payloads 2 ส่วนบนเครื่องเซิฟร์เวอร์ที่ถูกแทรกซึม สรุปภาพของการโจมตีครั้งนี้ผู้โจมตีอยู่ในเครือข่ายของเหยื่อเป็นเวลากว่า 4 เดือน

สำรวจเครือข่ายทำตัวให้เนียน

Sowbug ได้ใช้เวลากับเหยื่อบางครั้งกว่า 6 เดือน เทคนิคหนึ่งที่ใช้เพื่อไม้ให้ตัวเองเป็นจุดสนใจคือการปลอมแปลงเป็นซอฟต์แวร์ที่ถูกใช้งานบ่อยๆ เช่น Windows หรือ Adobe Reader โดยที่ไม่แก้ไขซอฟแวร์ตัวจริงคือแก้ไขชื่อเครื่องมือที่ใช้งานให้คล้ายกับโปรแกรมจริงและวางในโฟลเดอร์ที่ถูกปลอมแปลง ทั้งหมดทำให้ผู้โจมตีสามารถรอดการตรวจจับด้วยสายตาหรือไม่เป็นจุดสังเกตุเมื่อดูรายชื่อ Process ตัวอย่างเช่นเมื่อเดือนกันยายนปี 2016 Sowbug ได้แทรกซึมเข้าไปในองค์กรของเอเชียแห่งนึงและติดตั้ง Backdoor ชื่อว่า Felismus ลงในเครื่องโดยใช้ชื่อ adobecms.exe ในไดเรกทอรี CSIDL_WINDOWS\debug อีกทั้่งยังติดตั้งเครื่องมือเพิ่มเติมใน CSIDL_APPDATA\microsoft\security

ผู้โจมตีได้เริ่มสำรวจเครื่องเหยื่อผ่าน cmd.exe เพื่อเก็บข้อมูลเช่น OS version, Hardware Configuration และข้อมูลเครือข่าย จากนั้นกลับมาใน 4 วันให้หลังเพื่อสร้างไดเรกทอรี่ย่อยชื่อ ‘common’ ภายใน Adobe ที่อยู่ใน Program Files ดังนี้ ‘c:\Program Files\Adobe\common’ และติดตั้งเครื่องมือเพิ่มเติมชื่อ adobecms.exe คาดว่าน่าจะเป็น Backdoor เวอร์ชันที่อัพเดตแล้ว การสำรวจเครือข่ายดูเหมือนจะสำเร็จได้ด้วยดีเพราะว่ามีการแทรกซึมเข้าไปที่เครื่องคอมพิวเตอร์เครื่องอื่นเพิ่มขึ้น จากนั้นผู้โจมตีก็กลับมาที่เครื่องแรกอีกครั้งและติดตั้งโปรแกรมชื่อ fb.exe ซึ่งน่าจะเป็นโปรแกรมที่เอาไว้ทำสำเนา Felismus ไปยังเครื่องอื่นๆ ผู้โจมตีได้เคลื่อนไหวไปยังเครื่องอื่นๆ โดยเลือกช่วงนอกเวลาทำงานเท่านั้น การโจมตีครั้งนี้กินเวลาเกือบ 6 เดือนคือกันยายน 2016 ถึงมีนาคม 2017

ปัจจัยที่การถูกแทรกซึม

จนถึงตอนนี้เรายังไม่รู้วิธีที่ Sowbug ใช้เข้าแทรกซึมเครือข่ายของเหยื่อ และในบางครั้งไม่พบหลักฐานว่า Felismus เข้าไปเครื่องเหยื่อในอย่างไร โดยคาดว่ามันจะนำมาจากเครืออื่นที่ถูกแทรกซึมก่อนหน้าแล้ว แต่ก็มีการโจมตีครั้งอื่นที่ทิ้งหลักฐานว่ามีการติดตั้ง Felismus โดยใช้เครืองมืออย่าง Starloader (ค้นพบโดย Symantec ชื่อ Trojan.Starloader) การทำงานของ Trojan เมื่อติดตั้งจะเข้ารหัสตัวเองชื่อ Stars.jpg นอกจากนี้มันยังเป็นช่องทางให้ผู้โจมตีดาวน์โหลดเครื่องมืออื่น เช่น Credential Dumpers และ Keyloggers มาติดตั้งเพิ่ม เช่นกันเราก็ยังไม่รู้อีกว่า Startloder ถูกติดตั้งได้อย่างไร ความเป็นไปได้คือน่าจะผ่านทางการปลอมซอฟต์แวร์อัพเดตเพราะ Symantec พบ Starloader ภายใต้ชื่อ AdobeUpdate.exe, AcrobatUpdate.exe และ INTELUPDATE.EXE ที่ถูกใช้สร้าง Felismus และเครื่องมืออื่นๆ

การป้องกัน

Symactec แนะนำการป้องกันตัวโดยผลิตภัณฑ์อย่าง Web Security Gateway, ProxySG, Advanced Secure gateway, Secure Analytics, Contect Analysis, Malware Analysis, SSL Visibility, PacketShaper และ Symantec มี Signature ของ Backdoor หรือเครื่องมือที่กล่าวถึงเช่น Backdoor.Felismus, Trojan.Starloader ใน IPS ก็ตรวจพฤติกรรมได้เช่นกัน เราไม่ค่อยพบกับกลุ่มผู้โจมตีที่เน้นไปยังอเมริกาใต้มากนัก อย่างไรก็ตามกลุ่มผู้ก่อการร้ายไซเบอร์มีเพิ่มขึ้นทุกปี การพบกลุ่ม Sowbug ครั้งนี้ยืนยันแล้วว่าไม่มีภูมิภาคไหนรอดจากภัยคุกคามอย่างแท้จริง

ที่มา : https://www.symantec.com/connect/blogs/sowbug-cyber-espionage-group-targets-south-american-and-southeast-asian-governments