ADPT

Kaspersky ค้นพบแคมเปญการโจมตี เจาะ MikroTik เพื่อโจมตีต่อเนื่องโดยไม่มีใครค้นพบมาตั้งแต่ปี 2012

นักวิจัยด้าน Security จาก Kaspersky ได้ออกมาเปิดเผยถึงการค้นพบการโจมตีที่หนึ่งในวิธีการโจมตีนั้นมุ่งเป้าไปที่ MikroTik โดยตรง ซึ่งทำการโจมตีอย่างแนบเนียนมาตั้งแต่ปี 2012 โดยไม่มีใครจับได้ และมีผู้ตกเป็นเหยื่อหลายแสนราย

 

Credit: Kaspersky

 

ผู้โจมตีในครั้งนี้ใช้ส่วนหนึ่งของ Malware ที่มีชื่อว่า Slingshot ฝังเข้าไปในเครื่องคอมพิวเตอร์ของเหยื่อ โดยทาง Kaspersky ค้นพบว่าเหยื่อบางส่วนในครั้งนี้ถูกโจมตีโดยเริ่มต้นจากการโจมตีที่ Router ของ MikroTik เป็นขั้นแรก ด้วยการใช้ช่องโหว่ของ MikroTik ซึ่งเป็นช่องโหว่เดียวกับที่ WikiLeaks Vault 7 เคยเปิดเผยออกมา ก่อนจะทำการเปลี่ยนไฟล์ Dynamic Link Libraries (DDL) หนึ่งบน MikroTik Router ให้กลายเป็นไฟล์ที่จะใช้ในการโจมตีต่อเนื่อง

ไฟล์ DDL ดังกล่าวจะถูกโหลดไปทำงานผ่าน Winbox Loader ซึ่่งเป็นเครื่องมือบริหารจัดการอุปกรณ์ของ MikroTik ที่เปิดให้ใช้งานได้บน Windows และ DDL นี้ก็จะเริ่มต้นทำงานจากเครื่องของผู้ดูแลอุปกรณ์ MikroTik เพื่อทำการเชื่อมต่อไปยังคอมพิวเตอร์และ Server เครื่องอื่นๆ เพื่อทำการติดตั้ง Slingshot Malware

ทั้งนี้ทาง Kaspersky เองก็ยังระบุด้วยว่ายังมีวิธีการเริ่มต้นการโจมตีด้วยหนทางอื่นๆ ที่ยังไม่ทราบถึงวิธีการด้วยเช่นกัน

Slingshot Malware นี้ทำงานโดยอาศัย 2 โมดูลหลักๆ ได้แก่ Cahnadr และ GollumApp

Cahnadr นี้มีอีกชื่อหนึ่งว่า NDriver จะทำหน้าที่ในการหลบเลี่ยงการถูกตรวจจับ, การทำ Rootkit และการดักฟังข้อมูลต่างๆ รวมถึงยังทำการติดตั้งโมดูลอื่นๆ เพิ่มเติมและทำการเชื่อมต่อระบบเครือข่ายได้อีกด้วย

ส่วน GollumApp นี้จะทำการสอดส่องพฤติกรรมของผู้ใช้งาน, ทำการ Capture หน้าจอ, รวบรวมข้อมูลที่เกี่ยวข้องกับระบบเครือข่าย, รวบรวมรหัสผ่านที่บันทึกเอาไว้ใน Web Browser, บันทึกการพิมพ์ข้อมูลต่างๆ และเชื่อมต่อกับ Command & Control (C&C) Server เพื่อรับคำสั่งใหม่ๆ ในภายหลัง โดย GollumApp นี้ทำงานในระดับ Kernel ทำให้สามารถสร้าง Process ใหม่ๆ ภายใต้สิทธิ์ระดับ SYSTEM ได้ ทำให้ผู้โจมตีเข้ายึดครองเครื่องของเหยื่อได้โดยสมบูรณ์

Kaspersky สันนิษฐานว่าการโจมตีนี้น่าจะเป็นการสนับสนุนโดยรัฐของประเทศใดประเทศหนึ่ง และเป็นกลุ่ม Hacker จากประเทศที่ใช้ภาษาอังกฤษเป็นหลัก โดยปัจจุบันนี้มีเหยื่อเป็นองค์กรทั้งภาครัฐและเอกชนจำนวนมากในตะวันออกกลางและแอฟริกา

ผู้ที่สนใจสามารถศึกษารายละเอียดฉบับเต็มได้ที่ https://s3-eu-west-1.amazonaws.com/khub-media/wp-content/uploads/sites/43/2018/03/09133534/The-Slingshot-APT_report_ENG_final.pdf และ https://securelist.com/apt-slingshot/84312/ ครับ

 

ที่มา: https://thehackernews.com/2018/03/slingshot-router-hacking.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] Fujitsu Store as a Services in Retail Business สร้างความแตกต่าง และขับเคลื่อนธุรกิจค้าปลีกยุคดิจิทัล

ท่ามกลางสถานการณ์ที่ไม่แน่นอนทั้งการแข่งขันทางธุรกิจ ความต้องการของผู้บริโภค และกฎข้อบังคับของภาครัฐ ผู้ประกอบการจึงต้องเร่งปรับกลยุทธ์ให้ทันกับการเปลี่ยนแปลงที่รวดเร็ว ผู้ประกอบการร้านค้าปลีกและร้านอาหารที่มีสาขาจำนวนมาก จำเป็นต้องสร้างธุรกิจที่มีความยืดหยุ่น พร้อมปรับตัวได้ในทุกสถานการณ์

6 ความสามารถการจัดการใหม่ใน Synology DSM 7.0 ที่ผู้ใช้ Synology ต้องรู้จัก

หลังจากที่ Synology ได้ออกมาประกาศเปิดตัว Firmware รุ่นใหม่ล่าสุดอย่าง DSM 7.0 ที่เพิ่มทั้งประสิทธิภาพและความสามารถให้กับ Synology NAS ทั่วโลกกันแล้ว อัปเดตใหม่นี้ก็ได้สร้างความเป็นไปได้ใหม่ๆ ในการใช้งาน Synology NAS ให้กับผู้ใช้งานทั่วไปและธุรกิจองค์กรเพิ่มเติมหลากหลายแนวทาง ในบทความนี้ เราจะแนะนำถึง 6 ความสามารถใหม่ใน Synology DSM 7.0 ที่ผู้ใช้งานทุกคนควรรู้จักเอาไว้ เพื่อให้สามารถใช้งาน Synology NAS ได้อย่างคุ้มค่าและมั่นคงปลอดภัยยิ่งขึ้น ดังนี้