TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Palo Alto Networks ได้ออกมาเผยถึงพฤติกรรมของกลุ่มจารกรรมทางไซเบอร์ชื่อ RANCOR ที่กำลังปฏิบัติภารกิจในภูมิภาคเอเชียตะวันออกเฉียงใต้(SEA) โดยกลุ่มนี้ได้พุ่งเป้าไปที่เรื่องราวการเมืองในสิงค์โปร์ และ กัมพูชา
ปกติแล้วเครื่องมือหลักของกลุ่ม RANCOR นี้คือมัลแวร์ในตระกูล DDKONG และ PLAINTEE และตัวอื่นๆ ที่เพิ่มเข้ามาในภายหลัง จากการศึกษาของนักวิจัยด้านความมั่นคงปลอดภัยของ Palo Alto Networks พบว่ากลุ่มนี้จะเริ่มต้นด้วยการทำ Spear Phishing Email และวางเหยื่อล่อเป็นเอกสารที่มีเนื้อหาจากหัวข้อข่าวการเมืองและเหตุการณ์ต่างๆ โดยเอกสารจะตั้งอยู่บนเว็บไซต์ที่ถูกต้อง เช่น จากหน่วยงานรัฐบาลกัมพูชา หรือ บนเฟสบุ๊ค
แม้ว่าจากการศึกษจะพบความเกี่ยวโยงกับ KHRAT Trojan และมัลแวร์ DDKONG จะมีผู้ต้องสงสัยอยู่มากกว่า 1 กลุ่ม แต่มัลแวร์ PLAINTEE สามารถบอกความเชื่อมโยงกับกลุ่ม RANCOR ได้เป็นอย่างดีเพราะถูกใช้อย่างเฉพาะเจาะจงในกลุ่มนี้ที่ใช้เพื่อปรับแต่งโปรโตคอล UDP สำหรับการสื่อสารและสามารถทำปฏิบัติการ Persistance ต่อเครื่องเหยื่อได้ ด้วยการการันตีว่ามีเพียง instance เดียวที่รันอยู่เท่านั้น จากนั้นจะเริ่มเก็บข้อมูลทั่วไปของระบบ พร้อมกันนี้ยังมีความสามารถในการสื่อสารแบบ C&C กับเซิร์ฟเวอร์และพยายามที่จะถอดการตั้งค่า Blob ด้วย เมื่อเซิร์ฟเวอร์ตอบสนองแล้วมัลแวร์จะทำการแตก Thread เพื่อไปโหลดและรัน Plugin จาก C&C ในรูปแบบของ DLL ที่สามารถนำออกฟังก์ชันของทั้ง Shell หรือ File
นักวิจัยเชื่อว่าผู้ร้ายนั้นจะส่งคำสั่งไปยังมัลแวร์แบบ Manual เพื่อควบคุมเรื่องของเวลาให้นานพอ สุดท้าย Palo Alto Networks สรุปว่า “แคมเปญ ของ RANCOR ได้แสดงให้เห็นว่าภูมิภาคเอเชียตะวันออกเฉียงใต้ยังคงตกเป็นเป้าอย่างต่อเนื่อง ซึ่งเป็นตัวอย่างการใช้ประเด็นทางการเมืองล่อเหยื่อให้หลงกลเพื่อโหลดและเปิดเอกสารที่มีมัลแวร์ โดยมัลแวร์ถูกผู้โจมตีปรับแต่งการสื่อสารมาเพื่อโหลดและรัน Plugin อื่นๆ ที่อยู่บนเครื่องแม่ข่าย”
สามารถติดตามอ่านเพิ่มเติมได้ที่ Palo Alto Network
