ภายในงาน Cyber Security Weekend APAC 2017 ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา Seongsu Park นักวิจัยด้านความมั่นคงปลอดภัยอาวุโสจาก Global Research & Analysis Team (GReAT) ของ Kaspersky Lab ได้ออกมาเปิดเผยถึงข้อมูลเชิงลึกของ C&C Infrastructure ที่ Lazarus ใช้โจมตีเหยื่อทั่วโลก
Lazarus เป็นกลุ่มแฮ็คเกอร์ชื่อดังที่เชื่อว่ากบดานอยู่ในเกาหลีเหนือและอยู่เบื้องหลังการแพร่ระบาดของ WannaCry Ransomware รวมไปถึงการอาชญากรรมไซเบอร์ระดับชาติมากมาย เช่น การโจมตีบริษัทบรอดแคสต์และธนาคารในเกาหลีใต้ปี 2013 (DarkSeoul), การแฮ็คระบบของ Sony Pictures ในปี 2014 และการขโมยเงินจากธนาคารกลางบังคลาเทศไปกว่า $81 ล้านในปี 2016 เป็นต้น
Park เปิดเผยว่า เครื่องมือหลักที่ Lazarus ใช้ก่อเหตุ คือ Manuscrypt ซึ่งเป็นมัลแวร์ที่กลุ่มแฮ็คเกอร์พัฒนาขึ้นมาเมื่อประมาณปี 2013 และยังคงใช้โจมตีเป้าหมายจนถึงทุกวันนี้ เมื่อตรวจสอบการโจมตีไซเบอร์หลายๆ ครั้งที่เกิดขึ้นกับหน่วยงานรัฐบาลและสถาบันการเงินในเกาหลีใต้จากมัลแวร์นี้ พบว่ามีสไตล์การเขียนโค้ดและ C&C Infratructure ที่ใกล้เคียงกับวิธีการของ Lazarus ทำให้สามารถเชื่อมโยงกลับไปยังกลุ่มแฮ็คเกอร์ได้
แผนภาพด้านล่างแสดง C&C Infrastructure ของ Manuscrypt ที่ Lazarus ใช้ จะเห็นว่านอกจากตัวมัลแวร์ที่ถูกใช้แพร่กระจายไปยังโฮสต์เป้าหมายแล้ว Lazarus ยังมีการเจาะช่องโหว่บน Web Server แล้วติดตั้ง Proxy Malware ลงไปเพื่อเปลี่ยนให้เซิร์ฟเวอร์เหล่านั้นกลายเป็น Proxy ระหว่างโฮสต์ที่ติด Manuscrypt และ C&C Server ที่แท้จริงอีกด้วย ส่งผลให้นักวิจัยด้านความมั่นคงปลอดภัยและเจ้าของผลิตภัณฑ์ Antivirus ยี่ห้อต่างๆ ค้นหา C&C Server ได้ยากขึ้น นอกจากนี้ กรณีที่เส้นทางหรือ Proxy เครื่องใดเครื่องหนึ่งถูกปิดมัลแวร์ Manuscrypt ก็ยังคงสามารถติดต่อกับ C&C Server ผ่านเส้นทางหรือ Proxy เครื่องอื่นๆ ได้โดยที่ปฏิบัติการจะไม่หยุดชะงัก
จากการวิเคราะห์พบว่า Web Server ที่ตกเป็น Proxy ของมัลแวร์ Manuscrypt ส่วนใหญ่เป็น Windows Server 2003 R2 ที่รัน IIS 6.0 โดยกลุ่มแฮ็คเกอร์ได้เจาะผ่านช่องโหว่ CVE-2017-7269 ซึ่งถูกค้นพบเมื่อวันที่ 26 มีนาคมที่ผ่านมา แต่ Microsoft เพิ่งออกแพทช์เพื่ออุดช่องโหว่เมื่อวันที่ 26 มิถุนายน 2017 จากการตรวจสอบโดยใช้ Shodan พบว่ายังคงมีเซิร์ฟเวอร์อีกกว่า 35,000 เครื่องทั่วโลกที่ยังคงมีช่องโหว่นี้
นอกจากนี้ Kaspersky ยังได้ทำการวิเคราะห์ C&C Server ของ Manuscrypt พบว่าประกอบด้วยเครื่องมือสำหรับใช้โจมตีและมัลแวร์เป็นจำนวนมาก ได้แก่
- Backdoor – สำหรับใช้แทรกซึมเข้าไปยังระบบของเป้าหมาย มีทั้งแบบ Active Backdoor, Passive Backdoor, HTTP Backdoor หรือ IIS Backdoor
- Proxy Malware – มัลแวร์ำสำหรับใช้สร้างเครือข่าย Proxy สำหรับเชื่อมต่อระหว่างโฮสต์ที่ติดมัลแวร์กับ C&C Server
- Information Harvester – TCP Connection Harvester สำหรับใช้ขโมยข้อมูลทราฟิกการเชื่อมตต่อระบบเครือข่าย
- อื่นๆ – Loader สำหรับถอดรหัสและรัน Payload ที่ถูกเข้ารหัสเพื่อหลบเลี่ยงระบบรักษาความมั่นคงปลอดภภัย และใช้ลบไฟล์ข้อมูลของเหยื่อ
Park ระบุว่า ทั่วโลกตอนนี้มี C&C Infrastructure ของ Manuscrypt รวมทั้งหมดประมาณ 100 เครื่อง ซึ่งมีเครื่องที่ถูกปิด และเปิดใหม่ตลอดเวลา โดยกระจายไปยังภูมิภาคต่างๆ ไม่ว่าจะเป็น สหรัฐฯ บราซิล รัสเซีย และบางส่วนในยุโรป สำหรับภูมิภาคเอเชีย ประเทศที่มี (และเคยมี) C&C Server/Proxy ตั้งอยู่ประกอบด้วย อินโดนิเซีย อินเดีย บังคลาเทศ มาเลเซีย เวียดนาม เกาหลี ไต้หวัน และไทย