คำสาปจากกระสือ (Krasue): Group-IB ตรวจพบ Linux Remote Access Trojan ชนิดใหม่ มุ่งโจมตีธุรกิจในประเทศไทย [Guest Post]

สิงคโปร์, 7 ธันวาคม 2023 – Group-IB ผู้นำด้านการพัฒนาเทคโนโลยีความมั่นคงปลอดภัยไซเบอร์เพื่อการสืบสวน ป้องกัน และต่อสู้กับอาชญากรรมดิจิทัล ได้ค้นพบ Linux Remote Access Trojan (RAT) ชนิดใหม่ที่ถูกใช้โดยเหล่าอาชญากรไซเบอร์เพื่อลักลอบสร้างช่องทางการเข้าถึงระบบเครือข่ายขององค์กรที่ตกเป็นเป้าหมายแบบปราศจากร่องรอยใดๆ และที่สำคัญคือมุ่งเป้าโจมตีองค์กรที่ตั้งอยู่ในประเทศไทยเท่านั้น โทรจันดังกล่าวซึ่งถูกตั้งชื่อว่ากระสือ (Krasue) ให้เป็นชื่อภาษาไทยที่สื่อถึงภูตผีพื้นบ้านที่ออกหากินในเวลากลางคืนซึ่งเป็นที่รู้จักผ่านนิทานพื้นบ้านของเอเชียตะวันออกเฉียงใต้โดยหน่วยงาน Threat Intelligence ของ Group IB นี้ ได้ถูกตรวจพบว่ามีการใช้งานมาอย่างน้อยตั้งแต่ปี 2021 เป็นต้นมา และไม่มีการตรวจพบในตลอดช่วงเวลาที่ผ่านมาแต่อย่างใด ซึ่งในปัจจุบันนี้ นักวิจัยจาก Group-IB สามารถยืนยันได้แล้วว่า Krasue ได้เคยถูกใช้โจมตีบริษัทด้านโทรคมนาคมในประเทศไทย โดยมีแนวโน้มว่าจะเป็นส่วนหนึ่งของการโจมตีต่อภาคองค์กรในอุตสาหกรรมอื่นๆ ด้วยเช่นกัน

แผนภาพ 1. ข้อมูลของ Krasue โดยหน่วยงาน Threat Intelligence ของ Group-IB

ทันทีที่มีการตรวจพบ  Krasue ในลูกค้าที่ใช้บริการ Threat Intelligence ของ Group-IB องค์กรนั้นก็จะได้รับการแจ้งเตือนถึงภัยคุกคามดังกล่าวทันที และ Group-IB ก็ได้ทำการเผยแพร่บล็อกเกี่ยวกับ Linux RAT นี้ซึ่งระบุถึง YARA Rules อย่างครบถ้วนเพื่อให้องค์กรต่างๆ สามารถค้นหาไล่ล่าภัยคุกคามนี้ในเชิงรุกได้ หน่วยงาน Computer Emergency Rensponse Team (GIB-CERT) ของ Group-IB ได้ทำการแบ่งปันรายงานที่เกี่ยวข้องไปยังหน่วยงาน Thailand Computer Emergency Response Team (ThaiCERT) และหน่วยงาน Thailand Telecommunications Sector Computer Emergency Response Team (TTC-CERT) ตามนโยบายต่อต้านอาชญากรรมไซเบอร์ โดยปัจจุบันยังมีการวิจัยและดำเนินการเพิ่มเติมอย่างต่อเนื่อง

ความสามารถหลักของ Krasue ที่ตรวจพบในช่วงฤดูร้อนปี 2023 คือการรักษาช่องทางในการเชื่อมต่อเข้าถึงระบบเครือข่ายของเป้าหมายได้ ในขณะที่วิธีการเจาะโจมตีแรกเริ่มและเป้าหมายการใช้งานในภาพรวมนั้นยังคงไม่สามารถทราบได้ แต่ Linux RAT ดังกล่าวนี้มีแนวโน้มที่จะถูกโจมตีแรกเริ่มเพื่อติดตั้งจากการเจาะโจมตีช่องโหว่ของระบบ, การโจมตีด้วยการสุ่มเดารหัสผ่าน หรืออีกกรณีที่อาจเกิดขึ้นไม่บ่อยนักก็คือการดาวน์โหลด Package หรือ Binary ที่ถูกปลอมแปลง (เช่น การทำ File Masquerading ภายใต้การอัปเดตผลิตภัณฑ์) จากหน่วยงานที่ไม่น่าเชื่อถือ มัลแวร์ชนิดนี้สามารถปกปิดตัวตนของตนเองได้ในช่วงแรกเริ่มของการโจมตี ทำให้สามารถหลบเลี่ยงการตรวจจับได้ โดยผู้เชี่ยวชาญจาก Group-IB เชื่อว่า Krasue นั้นอาจมีวัตถุประสงค์ในทางใดทางหนึ่งระหว่างการที่ผู้โจมตีทำการติดตั้งด้วยตนเองเพื่อเป็นส่วนหนึ่งของ Botnetหรือการขายช่องทางการเชื่อมต่อผ่าน Krasue ให้แก่อาชญากรไซเบอร์รายอื่นๆ อย่างเช่นกลุ่มผู้โจมตีด้วย Ransomwareในฐานะของ Initial Access Brokers (IAB)

หัวใจหลักของ Krasue นั้นอยู่ในส่วนของ Rootkit ซึ่งเป็นชิ้นส่วนของซอฟต์แวร์ที่ถูกใช้โดยอาชญากรไซเบอร์เพื่อรักษาการเข้าถึงเครื่องคอมพิวเตอร์ด้วยสิทธิ์ระดับสูงโดยสามารถปกปิดตัวตนของตนเองได้ Rootkit ของ Krasue นั้นมารากฐานจากOpen Source Linux Kernel Module ที่เผยแพร่อย่างสาธารณะสามรายการ และนักวิจัยจาก Group-IB ก็ยังค้นพบอีกด้วยว่า Krasue นั้นประกอบไปด้วย Rootkit แบบฝังตัวถึงเจ็ดรายการ ซึ่งสามารถทำงานได้บน Linux รุ่นที่แตกต่างกัน อีกทั้ง Rootkit ของ Krasue นี้ก็ยังมีความคล้ายคลึงกับ XorDdos ซึ่งเป็นมัลแวร์บน Linux อีกชนิดหนึ่ง จากข้อมูลทั้งหมดนี้ ทำให้ผู้เชี่ยวชาญจาก Group-IB เชื่อว่า Krasue นั้นอาจจะถูกสร้างขึ้นโดยผู้สร้างของ XorDdos หรือโดยผู้อื่นที่สามารถเข้าถึง Source Code ของ XorDdos ได้

สิ่งที่น่าสนใจคือการที่ Krasue นั้นใช้ Real Time Streaming Protocol (RTSP) ซึ่งเป็น Network Protocol ที่ถูกออกแบบมาสำหรับควบคุมการรับส่ง Real-Time Media Stream ผ่านระบบเครือข่าย IP เพื่อสื่อสารกับระบบ Master Command and Control (C2 Server) นักวิจัยจาก Group-IB ได้ตั้งข้อสงสัยว่าวิธีการดังกล่าวทำให้ Krasue สามารถรอดพ้นจากการถูกตรวจจับได้ อีกทั้งยังมีข้อสังเกตว่าการใช้ RTSP เพื่อวัตถุประสงค์ดังกล่าวนี้หาได้ยากมาก

“Group-IB ยึดมั่นที่จะต่อสู้กับอาชญากรรมไซเบอร์ในทุกรูปแบบ และการค้นพบ Krasue ซึ่งเป็น Linux Remote Access Trojan ที่ซับซ้อนและมุ่งเป้าไปยังองค์กรในประเทศไทยนี้ ได้เน้นให้เห็นถึงความจำเป็นของการเฝ้าระวังอย่างต่อเนื่อง การตอบสนองอย่างรวดเร็วของ Group-IB ที่มีต่อการตรวจพบครั้งนี้และการแบ่งปันข้อมูลไปยัง ThaiCERT และ TTC-CERT ถือเป็นขั้นตอนที่สำคัญในการตอบสนองต่อภัยคุกคามดังกล่าว โดย Group-IB จะยังคงตรวจสอบการแพร่ระบาดของKrasue อย่างต่อเนื่องทั้งในประเทศไทยและในภูมิภาคอื่นๆ รวมถึงจะทำทุกวิถีทางเพื่อรายงานไปยังหน่วยงานต่างๆ ที่ได้รับผลกระทบแบบเชิงรุก” คุณ Benyatip Hongto ผู้ดำรงตำแหน่ง Business Development Manager ประจำประเทศไทยแห่ง Group-IB กล่าว

ในเดือนมีนาคม 2023 Group-IB ได้ประกาศถึงเจตนาที่จะเปิดศูนย์ต่อต้านอาชญากรรมดิจิทัลในประเทศไทยเพื่อรับมือกับการเติบโตของความเสี่ยงด้านไซเบอร์ภายในประเทศ และสนับสนุนองค์กรไทยในภูมิภาค ในขณะเดียวกัน Group-IB ก็ได้เซ็นสัญญาเป็นพันธมิตรกับตัวแทนจำหน่ายชั้นนำด้านความมั่นคงปลอดภัยไซเบอร์สัญชาติไทยอย่าง nForce โดยเพื่อเป็นการต่อยอดจากกระแสดังกล่าว Group-IB ก็ได้ลงนามบันทึกความเข้าใจร่วมกับสถาบันเทคโนโลยีป้องกันประเทศ ซึ่งเป็นหน่วยงานภาครัฐภายใต้การดูแลของกระทรวงกลาโหมของประเทศไทยในเดือนพฤษภาคม 2023 เพื่อเพิ่มความสามารถในการแบ่งปันองค์ความรู้และความร่วมมือเพื่อพัฒนาโครงการ Cyber Academy Program ของสถาบันเทคโนโลยีป้องกันประเทศ

เกี่ยวกับ Group-IB

Group-IB ก่อตั้งขึ้นเมื่อปี 2003 โดยมีสาขาหลักอยู่ที่สิงคโปร์ และเป็นผู้นำด้านการพัฒนาเทคโนโลยีความมั่นคงปลอดภัยไซเบอร์เพื่อการสืบสวน ป้องกัน และต่อสู้กับอาชญากรรมดิจิทัล การต่อสู้กับอาชญากรรมไซเบอร์นั้นอยู่ใน DNA ของบริษัท และเป็นแนวทางหลักในการพัฒนาความสามารถทางด้านเทคโนโลยีเพื่อปกป้องธุรกิจ ประชาชน และสนับสนุนกระบวนการบังคับทางกฎหมาย

ศูนย์ต่อต้านอาชญากรรมไซเบอร์ (Group-IB’s Digital Crime Resistance Centers หรือ DCRC) ของ Group-IB ตั้งอยู่ที่ตะวันออกกลาง, ยุโรป และเอเชียแปซิฟิกเพื่อช่วยวิเคราะห์และบรรเทาภัยคุกคามในระดับภูมิภาคและระดับประเทศ โดยหน่วยงานที่มีความสำคัญระดับสูงสุดเหล่านี้ได้ช่วยให้ Group-IB สร้างความเข้มแข็งในการช่วยเหลือป้องกันอาชญากรรมไซเบอร์ระดับโลกและเพิ่มขีดความสามารถในการค้นหาไล่ล่าภัยคุกคามอย่างต่อเนื่อง

โครงสร้างการดำเนินการแบบกระจายตัวและเป็นอิสระของ Group-IB ได้ช่วยให้บริษัทสามารถให้บริการสนับสนุนอย่างครบวงจรและปรับแต่งโดยเฉพาะได้โดยผู้เชี่ยวชาญระดับสูง เราทำการเชื่อมโยงความสัมพันธ์และบรรเทาการโจมตีที่เกิดขึ้นในแต่ละภูมิภาค นำเสนอโซลูชันด้านความมั่นคงปลอดภัยไซเบอร์ที่ปรับแต่งมาเฉพาะให้สอดคล้องกับรูปแบบความเสี่ยงและความต้องการของอุตสาหกรรมที่หลากหลาย ซึ่งรวมถึงอุตสาหกรรมค้าปลีก, สาธารณสุข, เกม, บริการทางการเงิน, โรงงานและการผลิต, ภาคบริการที่มีความสำคัญ และอื่นๆ

ผู้นำด้านความมั่นคงปลอดภัยระดับโลกของบริษัทได้ทำงานสอดคล้องร่วมกับเทคโนโลยีที่ล้ำสมัยที่สุดของอุตสาหกรรมบางส่วน เพื่อนำเสนอความสามารถในการตรวจจับและตอบสนอง สำหรับการกำจัดเหตุการณ์การหยุดชะงักทางไซเบอร์ได้อย่างรวดเร็ว

Unified Risk Platform (URP) ของ Group-IB ได้เสริมความเชื่อมั่นในการสร้างสภาพแวดล้อมทางด้านไซเบอร์ที่มั่นคงปลอดภัยและน่าเชื่อถือด้วยการใช้เทคโนโลยีที่ขับเคลื่อนอย่างชาญฉลาดและผู้เชี่ยวชาญที่คล่องตัวซึ่งสามารถตรวจจับและป้องกันอาชญากรรมดิจิทัลหลากหลายรูปแบบได้อย่างสมบูรณ์ โดยแพลตฟอร์มจะทำการปกป้องระบบโครงสร้างพื้นฐานสำคัญขององค์กรในเชิงรุกจากการโจมตีที่ซับซ้อน ในขณะที่ยังคงวิเคราะห์พฤติกรรมที่อาจเป็นอันตรายบนระบบเครือข่ายอย่างต่อเนื่อง

ระบบที่ครอบคลุมนี้ได้รวมระบบ Threat Intelligence ที่ได้รับความเชื่อถือมากที่สุดในโลก, ระบบ Fraud Protection ที่ครบถ้วนที่สุด, ระบบ Digital Risk Protection ที่ขับเคลื่อนด้วย AI, การปกป้องหลายชั้นด้วย Managed Extended Detection and Response (XDR), ระบบ Business Email Protection ที่รองรับได้ทุกระบบโครงสร้างพื้นฐาน และ External Attack Surface Management

ยิ่งไปกว่านั้น การตอบสนองและสืบสวนอย่างครบวงจรของ Group-IB ก็ได้ช่วยยกระดับมาตรฐานของอุตสาหกรรมมาอย่างต่อเนื่อง จากการตอบสนองต่อภัยคุกคามไซเบอร์มากกว่า 70,000 รายการโดย DFIR-Laboratory, High-Tech Crime Investigations Department และ CERT-GIB ที่ทำงานครอบคลุมตลอดทุกช่วงเวลาทั่วโลก ซึ่งเป็นผู้นำของวงการ

โซลูชันและบริการของบริษัทนั้นได้รับการยกย่องอย่างต่อเนื่องตั้งแต่อดีตจนถึงปัจจุบันโดยเหล่าสถาบันให้คำแนะนำและนักวิเคราะห์ชั้นนำอย่างเช่นAite Novarica, Forrester, Frost & Sullivan, KuppingerCole Analysts AG และอื่นๆ

จากการเป็นพันธมิตรในการสืบสวนระดับโลก Group-IB ได้ร่วมงานกับองค์กรบังคับใช้ทางกฎหมายสากลอย่างเช่น INTERPOL และ EUROPOLเพื่อสร้างพื้นที่ไซเบอร์ที่ปลอดภัยยิ่งขึ้น นอกจากนี้ Group-IB ก็ยังเป็นสมาชิกของ Advisory Group ทางด้าน Internet Security ของ Europol European Cybercrime Centre (EC3) ซึ่งถูกสร้างขึ้นเพื่อส่งเสริมความร่วมมืออย่างใกล้ชิดยิ่งขึ้นระหว่าง Europol และพันธมิตรชั้นนำด้านอื่นๆ นอกเหนือจากผู้บังคับใช้ทางกฎหมายอีกด้วย


About Pawarit Sornin

- จบการศึกษา ปริญญาตรี สาขาวิทยาการคอมพิวเตอร์ มหาวิทยาลัยสวนดุสิต - เคยทำงานด้าน Business Development / Project Manager / Product Sales ดูแลผลิตภัณฑ์ด้าน Wireless Networking และ Mobility Enterprise ในประเทศ - ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เปิดฉากสุดประทับใจ ไทยเป็นเจ้าภาพจัด Global Cybersecurity Camp 2024 กระชับสัมพันธ์สมาชิก 9 ประเทศ เสริมแกร่งคนรุ่นใหม่สู่การเป็นผู้นำด้านความปลอดภัยทางไซเบอร์ระดับนานาชาติ

ผ่านไปแล้วสำหรับงาน GCC 2024 Thailand ณ โรงแรม The Sez บางแสน ชลบุรี 18 – 24 กุมภาพันธ์ 2567 …

6 เทรนด์ Cybersecurity ปี 2024 โดย Gartner

ในโลกที่ Generative AI เฟื่องฟู การเตรียมความพร้อมด้านความปลอดภัยย่อมต้องพัฒนาอย่างต่อเนื่องเพื่อรับมือความซับซ้อนที่เพิ่มมากขึ้นด้วย Gartner ได้สรุป 6 เทรนด์ด้าน Cybersecurity สำหรับปี 2024 และอนาคตอันใกล้ ติดตามอ่านกันได้ในบทความนี้