เผยเบื้องหลัง C&C Infrastructure ของกลุ่ม Lazarus โดย Kaspersky Lab

ภายในงาน Cyber Security Weekend APAC 2017 ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา Seongsu Park นักวิจัยด้านความมั่นคงปลอดภัยอาวุโสจาก Global Research & Analysis Team (GReAT) ของ Kaspersky Lab ได้ออกมาเปิดเผยถึงข้อมูลเชิงลึกของ C&C Infrastructure ที่ Lazarus ใช้โจมตีเหยื่อทั่วโลก

Lazarus เป็นกลุ่มแฮ็คเกอร์ชื่อดังที่เชื่อว่ากบดานอยู่ในเกาหลีเหนือและอยู่เบื้องหลังการแพร่ระบาดของ WannaCry Ransomware รวมไปถึงการอาชญากรรมไซเบอร์ระดับชาติมากมาย เช่น การโจมตีบริษัทบรอดแคสต์และธนาคารในเกาหลีใต้ปี 2013 (DarkSeoul), การแฮ็คระบบของ Sony Pictures ในปี 2014 และการขโมยเงินจากธนาคารกลางบังคลาเทศไปกว่า $81 ล้านในปี 2016 เป็นต้น

Park เปิดเผยว่า เครื่องมือหลักที่ Lazarus ใช้ก่อเหตุ คือ Manuscrypt ซึ่งเป็นมัลแวร์ที่กลุ่มแฮ็คเกอร์พัฒนาขึ้นมาเมื่อประมาณปี 2013 และยังคงใช้โจมตีเป้าหมายจนถึงทุกวันนี้ เมื่อตรวจสอบการโจมตีไซเบอร์หลายๆ ครั้งที่เกิดขึ้นกับหน่วยงานรัฐบาลและสถาบันการเงินในเกาหลีใต้จากมัลแวร์นี้ พบว่ามีสไตล์การเขียนโค้ดและ C&C Infratructure ที่ใกล้เคียงกับวิธีการของ Lazarus ทำให้สามารถเชื่อมโยงกลับไปยังกลุ่มแฮ็คเกอร์ได้

แผนภาพด้านล่างแสดง C&C Infrastructure ของ Manuscrypt ที่ Lazarus ใช้ จะเห็นว่านอกจากตัวมัลแวร์ที่ถูกใช้แพร่กระจายไปยังโฮสต์เป้าหมายแล้ว Lazarus ยังมีการเจาะช่องโหว่บน Web Server แล้วติดตั้ง Proxy Malware ลงไปเพื่อเปลี่ยนให้เซิร์ฟเวอร์เหล่านั้นกลายเป็น Proxy ระหว่างโฮสต์ที่ติด Manuscrypt และ C&C Server ที่แท้จริงอีกด้วย ส่งผลให้นักวิจัยด้านความมั่นคงปลอดภัยและเจ้าของผลิตภัณฑ์ Antivirus ยี่ห้อต่างๆ ค้นหา C&C Server ได้ยากขึ้น นอกจากนี้ กรณีที่เส้นทางหรือ Proxy เครื่องใดเครื่องหนึ่งถูกปิดมัลแวร์ Manuscrypt ก็ยังคงสามารถติดต่อกับ C&C Server ผ่านเส้นทางหรือ Proxy เครื่องอื่นๆ ได้โดยที่ปฏิบัติการจะไม่หยุดชะงัก

จากการวิเคราะห์พบว่า Web Server ที่ตกเป็น Proxy ของมัลแวร์ Manuscrypt ส่วนใหญ่เป็น Windows Server 2003 R2 ที่รัน IIS 6.0 โดยกลุ่มแฮ็คเกอร์ได้เจาะผ่านช่องโหว่ CVE-2017-7269 ซึ่งถูกค้นพบเมื่อวันที่ 26 มีนาคมที่ผ่านมา แต่ Microsoft เพิ่งออกแพทช์เพื่ออุดช่องโหว่เมื่อวันที่ 26 มิถุนายน 2017 จากการตรวจสอบโดยใช้ Shodan พบว่ายังคงมีเซิร์ฟเวอร์อีกกว่า 35,000 เครื่องทั่วโลกที่ยังคงมีช่องโหว่นี้

นอกจากนี้ Kaspersky ยังได้ทำการวิเคราะห์ C&C Server ของ Manuscrypt พบว่าประกอบด้วยเครื่องมือสำหรับใช้โจมตีและมัลแวร์เป็นจำนวนมาก ได้แก่

  • Backdoor – สำหรับใช้แทรกซึมเข้าไปยังระบบของเป้าหมาย มีทั้งแบบ Active Backdoor, Passive Backdoor, HTTP Backdoor หรือ IIS Backdoor
  • Proxy Malware – มัลแวร์ำสำหรับใช้สร้างเครือข่าย Proxy สำหรับเชื่อมต่อระหว่างโฮสต์ที่ติดมัลแวร์กับ C&C Server
  • Information Harvester – TCP Connection Harvester สำหรับใช้ขโมยข้อมูลทราฟิกการเชื่อมตต่อระบบเครือข่าย
  • อื่นๆ – Loader สำหรับถอดรหัสและรัน Payload ที่ถูกเข้ารหัสเพื่อหลบเลี่ยงระบบรักษาความมั่นคงปลอดภภัย และใช้ลบไฟล์ข้อมูลของเหยื่อ

Park ระบุว่า ทั่วโลกตอนนี้มี C&C Infrastructure ของ Manuscrypt รวมทั้งหมดประมาณ 100 เครื่อง ซึ่งมีเครื่องที่ถูกปิด และเปิดใหม่ตลอดเวลา โดยกระจายไปยังภูมิภาคต่างๆ ไม่ว่าจะเป็น สหรัฐฯ บราซิล รัสเซีย และบางส่วนในยุโรป สำหรับภูมิภาคเอเชีย ประเทศที่มี (และเคยมี) C&C Server/Proxy ตั้งอยู่ประกอบด้วย อินโดนิเซีย อินเดีย บังคลาเทศ มาเลเซีย เวียดนาม เกาหลี ไต้หวัน และไทย

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Google Cloud เพิ่ม BigQuery datasets บน Marketplace แล้ว

Google Cloud ประกาศเปิดให้ผู้ใช้งานสามารถเข้าถึงชุดข้อมูล BigQuery datasets ผ่าน Google Cloud Marketplace ด้วยการผสานการทำงานร่วมกับ BigQuery Analytics Hub เพื่อเพิ่มช่องทางการเข้าถึงข้อมูลสำหรับองค์กร

ผู้เชี่ยวชาญเตือนพบช่องโหว่ Zero-day กระทบผู้ใช้ Zyxel หลายรุ่น เสี่ยงต่อการถูกโจมตี

มีการค้นพบช่องโหว่ Zero-day ในผลิตภัณฑ์ Zyxel หลายรุ่น ซึ่งพบการโจมตีจริงแล้ว แแต่ที่ผู้เชี่ยวชาญแสดงความเป็นห่วงงเพราะทาง Vendor ยืนยันว่าผลิตภัณฑ์เหล่านั้นหมดอายุไปแล้วและจะไม่มีการแพตช์ ทำให้ผู้ใช้งานอาจเป็นเป้านิ่งสำหรับ Botnet หรือ การโจมตีทางไซเบอร์