[PR] มารู้จักกับ Adwind: Malware-as-a-Service Platform แพลตฟอร์มนี้มีไว้ขายให้แก่อาชญากรไซเบอร์ พบผู้ได้รับผลกระทบกว่า 400,000 รายทั่วโลกทั้งบุคคลและองค์กร

ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป ( Global Research and Analysis Team ) ได้เปิดเผยผลงานวิจัยเกี่ยวกับ Adwind Remote Access Tool ( RAT ) ซึ่งเป็นมัลแวร์โปรแกรมที่สามารถทำงานข้ามแพลตฟอร์มที่ต่างกันและทำงานได้หลายรูปแบบ หรือเป็นที่รู้จักกันในชื่ออื่น ๆ อาทิ AlienSpy, Frutas, Unrecom, Sockrat, JSocket และ jRat มัลแวร์โปรแกรมเหล่านี้แพร่กระจายผ่านแพลตฟอร์มเดี่ยว malware-as-a-service platform จากผลของการตรวจสอบระหว่างปี 2013- 2016 พบมัลแวร์ Adwind หลากหลายเวอร์ชั่นได้ถูกนำมาใช้ในการจู่โจมผู้ใช้ส่วนบุคคลถึงอย่างน้อย 443,000 ราย องค์กรทั่วไปและองค์กรธุรกิจทั่วโลก ทั้งแพลตฟอร์มและมัลแวร์ยังคงปฏิบัติการอยู่

kaspersky-lab-adwind-malware-as-a-service

เมื่อปลายปี 2015 นักวิจัยของแคสเปอร์สกี้ แลปได้พบมัลแวร์โปรแกรมแปลก ๆ ในระหว่างความพยายามของปฏิบัติการจู่โจมแบบมีเป้าหมายรุกเข้าธนาคารแห่งหนึ่งที่สิงคโปร์ พบไฟล์ JAR แนบมาในอีเมลที่ทำหน้าที่เป็น spear-phishing email ส่งเข้ามาหาพนักงานที่เป็นเหยื่อเป้าหมายภายในธนาคาร มัลแวร์นี้มีสมรรถนะในการโจมตีสูง สามารถทำงานได้บนแพลตฟอร์มหลากหลาย และสามารถหลบหลีกการตรวจจับของแอนตี้ไวรัสโซลูชั่นได้ จึงเป็นที่จับตาของนักวิจัยในทันที

Adwind RAT

พบว่ามีองค์กรที่ถูกจู่โจมโดย Adwind RAT ซึ่งเป็นแบคดอร์ที่เขียนด้วยภาษา Java ทั้งหมดและมีไว้ขาย ซึ่งทำให้มีสมรรถนะทำงานข้ามแพลตฟอร์มได้นั่นเอง ไม่ว่าจะเป็น Windows, OS X, Linux หรือ Android จึงสามารถที่จะปฏิบัติการแบบควบคุมจากระยะไกล เก็บรวบรวมข้อมูล การรั่วไหลของข้อมูลและอื่น ๆ หากผู้ใช้ที่เป็นเหยื่อเป้าหมายเปิดไฟล์ JAR ที่แนบมา มัลแวร์จะทำการติดตั้งตัวเอง และพยายามสื่อสารกับเซิร์ฟเวอร์คอมมานด์และคอนโทรล รายการฟังก์ชั่นของมัลแวร์นี้ ได้แก่:

  • เก็บรวบรวมการเคาะแป้นพิมพ์
  • ขโมยพาสเวิร์ดแคช และจับข้อมูลจากแบบฟอร์มบนเว็บ
  • จับรูปภาพถ่ายหน้าจอ
  • ถ่ายรูปและบันทึกวิดีโอจากเว็บแคม
  • บันทึกเสียงจากไมโครโฟน
  • ส่งต่อไฟล์
  • เก็บรวบรวมข้อมูลทั่วไปของระบบและของผู้ใช้
  • ขโมยคีย์ผ่านเข้ากระเป๋าสตางค์ cryptocurrency
  • จัดการ SMS ( สำหรับ Android )
  • ขโมยใบรับรอง VPN

แม้จะถูกใช้อยู่บ่อยในหมู่พวกที่ชอบฉวยโอกาสและใช้วิธีแพร่กระจายผ่านสแปมเคมเปญขนาดใหญ่ แต่ก็มีกรณีที่ใช้ Adwind ในการจู่โจมแบบมีเป้าหมาย เมื่อเดือนสิงหาคมปี 2015 ที่ผ่านมา Adwind กลายเป็นข่าวเกี่ยวพันกับการก่อจารกรรมไซเบอร์กับอัยการชาวอาร์เจนติน่าผู้ถูกพบเสียชีวิตเมื่อเดือนมกราคมปี 2015 กรณีของธนาคารที่สิงคโปร์ตกเป็นเป้าหมายนั้นเป็นอีกตัวอย่างหนึ่งของการจู่โจมแบบมีเป้าหมาย และไม่ใช่เป็นเพียงเป้าหมายเดียวของการใช้ Adwind RAT เป็นเครื่องมือ

เป้าหมายที่อาชญากรจับจ้อง

ระหว่างการตรวจสอบ นักวิจัยของแคสเปอร์สกี้ แลปยังได้ทำการวิเคราะห์เกือบ 200 ตัวอย่างของการจู่โจมแบบ spear-phishing ที่ดำเนินการโดยอาชญากรที่ยังไม่เป็นที่เปิดเผย แพร่กระจายมัลแวร์ Adwind และยังได้ระบุกลุ่มอุตสาหกรรมที่มีเหยื่อเป้าหมายส่วนมากทำงานอยู่:

  • อุตสาหกรรมการผลิต
  • การเงิน
  • วิศวกรรม
  • การออกแบบ
  • การค้าปลีก
  • หน่วยงานภาครัฐ
  • การขนส่งสินค้าทางเรือ
  • โทรคมนาคม
  • ซอฟต์แวร์
  • การศึกษา
  • การผลิตอาหาร
  • การดูแลสุขภาพ
  • สื่อ
  • พลังงาน

อ้างอิงจากข้อมูลของระบบเครือข่ายความปลอดภัยของแคสเปอร์สกี้ แลปหรือ Kaspersky Security Network พบว่าการจู่โจมผ่านอีเมลแบบ spear-phishing จากตัวอย่าง 200 รายการที่เฝ้าสังเกตในช่วงหกเดือนระหว่างเดือนสิงหาคม 2015 ถึงเดือนมกราคม 2016 นั้นมีมัลแวร์ Adwind RAT ที่ส่งผลกระทบต่อเหยื่อมากกว่า 680,000 ราย

การแพร่กระจายทางภูมิศาสตร์ที่พบจากผู้ใช้ที่ถูกจู่โจมและลงทะเบียนไว้กับ KSN ในช่วงนี้แสดงให้เห็นว่า กว่าครึ่งของเหยื่อ ( 49% ) มีถิ่นพำนักอยู่ในประเทศต่าง ๆ ดังนี้: สหรัฐอาหรับเอมิเรตส์ เยอรมัน อินเดีย สหรัฐอเมริกา อิตาลี รัสเซีย เวียตนาม ฮ่องกง ตุรกี และไต้หวัน

kaspersky-lab-adwind-malware-as-a-service-target

อ้างอิงจากข้อมูลสัณฐานของเหยื่อเป้าหมายที่ถูกระบุไว้ได้นั้น นักวิจัยของแคสเปอร์สกี้ แลปเชื่อว่าพอจะจัดแบ่งกลุ่มลูกค้าของแพลตฟอร์ม Adwind ได้เป็นหมวดหมู่ดังต่อไปนี้: สแกมเมอร์ที่ต้องการขยับขยายขึ้นไปขั้นสูงกว่า ( โดยใช้มัลแวร์ในการสร้างกลโกงที่ซับซ้อนยิ่งขึ้นไปอีก ) คู่แข่งที่เล่นไม่ซื่อ ทหารไซเบอร์รับจ้าง ( สายลับรับจ้าง ) และบุคคลที่มีความต้องการสอดแนมเรื่องบุคคลอื่นที่ตนรู้จัก

Threat-as-a-Service

หนึ่งในฟีเจอร์หลักที่แยกให้ Adwind RAT โดดเด่นออกมาจากมัลแวร์ที่วางขายแบบคอมเมอร์เชียลตัวอื่นคือ ถูกแพร่กระจายอย่างเปิดเผยในรูปแบบการซื้อบริการ ซึ่ง “ลูกค้า” จ่ายค่าธรรมเนียมเพื่อแลกกับการใช้งานโปรแกรมวายร้ายนี้ อ้างอิงการตรวจสอบกิจกรรมการใช้งานของยูสเซอร์บนกระดานข้อความภายใน และการสังเกตการณ์รูปแบบต่าง ๆ นักวิจัยของแคสเปอร์สกี้ แลปกะประมาณจำนวนผู้ใช้ในระบบถึงประมาณ 1,800 รายเมื่อสิ้นปี 2015 จึงกลายเป็นหนึ่งในมัลแวร์แพลตฟอร์มที่ใหญ่ที่สุดที่ยังคงออกอาละวาดอยู่ในทุกวันนี้

“ด้วยสมรรถนะของแพลตฟอร์ม Adwind ในปัจจุบันนี้ ทำให้คนที่อยากจะเข้ามาเป็นอาชญากรไซเบอร์ไม่จำเป็นต้องมีความรู้พื้นฐานขั้นต่ำสูงมากมายแต่อย่างใด สิ่งที่เราสามารถพูดได้โดยอ้างอิงข้อมูลที่พบจากการตรวจสอบการจู่โจมธนาคารในสิงคโปร์ คือ อาชญากรผู้อยู่เบื้องหลังนั้นห่างไกลจากการเป็นแฮคเกอร์มืออาชีพอย่างมาก และเราคิดว่าลูกค้าของแพลตฟอร์ม Adwind ส่วนมากแล้วก็จะมีพื้นฐานความรู้ด้านคอมพิวเตอร์ในระดับเท่า ๆ กัน ซึ่งเป็นทิศทางพัฒนาการที่น่าเป็นห่วงอย่างมากทีเดียว” อเล็กซานเดอร์ กอสเตฟ หัวหน้าทีมงานผู้เชี่ยวชาญความปลอดภัยของแคสเปอร์สกี้ แลป กล่าว

“แม้จะมีรายงานหลายฉบับเกี่ยวกับเจเนเรชั่นต่างกันไปของทูลนี้ ตามที่ซีเคียวริตี้เวนเดอร์หลายรายได้ออกรายงานในช่วงหลายปีที่ผ่านมา แพลตฟอร์มนี้ก็ยังคงปฏิบัติการอยู่ต่อเนื่อง และครองใจอาชญากรประเภทต่าง ๆ เราได้ทำการวิจัยนี้ขึ้นมาเพื่อดึงความสนใจของกลุ่มคนด้านซีเคียวริตี้และหน่วยงานผู้บังคับใช้กฎหมาย และเพื่อดำเนินขั้นตอนที่จำเป็นในการหยุดยั้งทูลนี้อย่างสิ้นเชิง” วิตาลี คามลัค ผู้อำนวยการทีมวิเคราะห์และวิจัย แคสเปอร์สกี้ แลป ภูมิภาคเอเชียแปซิฟิก กล่าว

แคสเปอร์สกี้ แลป รายงานข้อมูลที่ค้นพบเกี่ยวกับแพลตฟอร์ม Adwind ไปยังหน่วยงานผู้บังคับใช้กฎหมายด้วยเช่นกัน เพื่อเป็นการป้องกันตนเองและองค์กรให้พ้นจากภัยคุกคามเช่นนี้ แคสเปอร์สกี้ แลปขอแนะนำให้พิจารณาวัตถุประสงค์ของการใช้แพลตฟอร์ม Java และเพื่อพิจารณายกเลิกการใช้งานกับแหล่งที่ไม่ได้รับอนุญาต

อ่านเพิ่มเติมเกี่ยวกับแพลตฟอร์ม Adwind คือ Malware-as-a-Service platform ได้จาก Securelist.com

  • เรียนรู้วิธีการตรวจสอบการจู่โจมแบบมีเป้าหมายอันซับซ้อน:

http://www.youtube.com/watch?v=FzPYGRO9LsA

  • อ่านเพิ่มเติมเกี่ยวกับปฏิบัติการจารกรรมไซเบอร์

https://apt.securelist.com/

 

เกี่ยวกับแคสเปอร์สกี้ แลป

kaspersky_logo

แคสเปอร์สกี้ แลปก่อตั้งขึ้นในปี พ.ศ. 2540 เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก ( deep threat intelligence ) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่ง อีกมากกว่า 270,000 แห่งทั่วโลก ท่านสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.kasperesky.com

 


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

6 เทรนด์โลจิสติกส์ที่น่าจับตามองในปี 2023

โควิด-19 ทั่วโลก ทิ้งความเจ็บปวดที่เกิดขึ้นกับห่วงโซ่อุปทาน โดยเฉพาะอุตสาหกรรมการขนส่งและโลจิสติกส์ที่ต้องเผชิญกับความท้าทายใหม่ๆ และภาวะเศรษฐกิจที่ไม่แน่นอน ณ ปัจจุบันที่ยังส่งผลต่อเนื่องในปีถัดไป 6 เทรนด์ที่จะถูกกล่าวถึงคือสิ่งที่ถูกคาดว่าจะได้เห็นในปี 2023  

“ROI” ของแพลตฟอร์ม Low-Code ที่องค์กรธุรกิจอาจไม่รู้ [Guest Post]

โดย นายเติมศักดิ์ วีรขจรพงษ์ รองประธานภูมิภาคเอเชียตะวันออกเฉียงใต้ เอาท์ซิสเต็มส์ ภายใต้แรงกดดันของการนำเสนอประสบการณ์ดิจิทัลใหม่ ๆ ให้แก่ลูกค้าและพนักงาน ควบคู่ไปกับการปรับเปลี่ยนระบบภายในองค์กรธุรกิจที่มีอยู่สำหรับรับมือกับสภาพตลาดที่เปลี่ยนไป ฟอร์เรสเตอร์ รีเสิร์ช (Forrester Research) ประเมินว่าภายในสิ้นปี 2564 …