Palo Alto Networks เผยกลุ่มจารกรรมไซเบอร์ ‘RANCOR’ กำลังปฏิบัติการในภูมิภาคเอเชียตะวันออกเฉียงใต้

Palo Alto Networks ได้ออกมาเผยถึงพฤติกรรมของกลุ่มจารกรรมทางไซเบอร์ชื่อ RANCOR ที่กำลังปฏิบัติภารกิจในภูมิภาคเอเชียตะวันออกเฉียงใต้(SEA) โดยกลุ่มนี้ได้พุ่งเป้าไปที่เรื่องราวการเมืองในสิงค์โปร์ และ กัมพูชา 

Credit: ShutterStock.com

ปกติแล้วเครื่องมือหลักของกลุ่ม RANCOR นี้คือมัลแวร์ในตระกูล DDKONG และ PLAINTEE และตัวอื่นๆ ที่เพิ่มเข้ามาในภายหลัง จากการศึกษาของนักวิจัยด้านความมั่นคงปลอดภัยของ Palo Alto Networks พบว่ากลุ่มนี้จะเริ่มต้นด้วยการทำ Spear Phishing Email และวางเหยื่อล่อเป็นเอกสารที่มีเนื้อหาจากหัวข้อข่าวการเมืองและเหตุการณ์ต่างๆ โดยเอกสารจะตั้งอยู่บนเว็บไซต์ที่ถูกต้อง เช่น จากหน่วยงานรัฐบาลกัมพูชา หรือ บนเฟสบุ๊ค

แม้ว่าจากการศึกษจะพบความเกี่ยวโยงกับ KHRAT Trojan และมัลแวร์ DDKONG จะมีผู้ต้องสงสัยอยู่มากกว่า 1 กลุ่ม แต่มัลแวร์ PLAINTEE สามารถบอกความเชื่อมโยงกับกลุ่ม RANCOR ได้เป็นอย่างดีเพราะถูกใช้อย่างเฉพาะเจาะจงในกลุ่มนี้ที่ใช้เพื่อปรับแต่งโปรโตคอล UDP สำหรับการสื่อสารและสามารถทำปฏิบัติการ Persistance ต่อเครื่องเหยื่อได้ ด้วยการการันตีว่ามีเพียง instance เดียวที่รันอยู่เท่านั้น จากนั้นจะเริ่มเก็บข้อมูลทั่วไปของระบบ พร้อมกันนี้ยังมีความสามารถในการสื่อสารแบบ C&C กับเซิร์ฟเวอร์และพยายามที่จะถอดการตั้งค่า Blob  ด้วย  เมื่อเซิร์ฟเวอร์ตอบสนองแล้วมัลแวร์จะทำการแตก Thread เพื่อไปโหลดและรัน Plugin จาก C&C ในรูปแบบของ DLL ที่สามารถนำออกฟังก์ชันของทั้ง Shell หรือ File

นักวิจัยเชื่อว่าผู้ร้ายนั้นจะส่งคำสั่งไปยังมัลแวร์แบบ Manual เพื่อควบคุมเรื่องของเวลาให้นานพอ สุดท้าย Palo Alto Networks สรุปว่า “แคมเปญ ของ RANCOR ได้แสดงให้เห็นว่าภูมิภาคเอเชียตะวันออกเฉียงใต้ยังคงตกเป็นเป้าอย่างต่อเนื่อง ซึ่งเป็นตัวอย่างการใช้ประเด็นทางการเมืองล่อเหยื่อให้หลงกลเพื่อโหลดและเปิดเอกสารที่มีมัลแวร์ โดยมัลแวร์ถูกผู้โจมตีปรับแต่งการสื่อสารมาเพื่อโหลดและรัน Plugin อื่นๆ ที่อยู่บนเครื่องแม่ข่าย

สามารถติดตามอ่านเพิ่มเติมได้ที่ Palo Alto Network

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้