ไม่นานมานี้มีการออกมาเผยแพร่ชุดเครื่องมือของแฮกเกอร์ โครงสร้างและกระบวนการการโจมตี และยังมีข้อมูลการก่อเหตุต่างๆ โดยแก๊งแฮกเกอร์นี้รู้จักกันในนามของ Dark Cloud Shield จุดเด่นคือใช้เครื่องมือที่มีความซับซ้อนออกลาดตระเวน
อย่างเช่น WebLogicScan – เครื่องสแกนช่องโหว่ WebLogic ที่ใช้ Python, Vulmap – ใช้ประเมินช่องโหว่ของเว็บ
Xray – สแกนช่องโหว่ของเว็บไซต์โดยเฉพาะ, Dirsearch ใช้ค้นเส้นทาง URL
โดยแก๊งนี้เลือกใช้วิธีการโจมตีหลักผ่านการใช้ประโยชน์จากการติดตั้งซอฟต์แวร์ “Zhiyuan OA” ผ่านการโจมตี “SQL insert” ที่กำหนดเป้าหมายไปที่องค์กรเภสัชกรรมของเกาหลีใต้
หลังจากการแสวงหาประโยชน์จากส่วนต่างๆ ในระบบแล้ว แฮกเกอร์ใช้เครื่องมือขั้นสูงในการยกระดับสิทธิ์ เช่น “Traitor” สำหรับระบบ Linux และ “CDK” สำหรับสภาพแวดล้อม “Docker” และ “Kubernetes”
โครงสร้างการออกคำสั่งและการควบคุมจะทำผ่าน IP address ที่แตกต่างกันถึง 8 รายการ ซึ่งทำหน้าที่เป็นพร็อกซีโดยใช้ทั้ง Cobalt Strike และ Viper สำหรับการเข้าถึงระยะไกล จากนั้นแฮกเกอร์จะสร้างแรนซัมแวร์ “LockBit 3.0” ที่รั่วไหลออกมาเพื่อสร้างตัวแปรแรนซัมแวร์แบบกำหนดเอง (“LB3.exe”) ที่นำเหยื่อไปยังกลุ่ม Telegram ที่กำหนดไว้ซึ่งจัดการโดยผู้ดูแลระบบที่รู้จักในชื่อ “EVA”
ขณะเดียวกันก็ยังคงซ่อนบริการทดสอบการเจาะระบบที่ถูกกฎหมายไว้ และแก๊งนี้เองที่มีส่วนร่วมในการก่อเหตุคุกคามต่างๆ เช่น การขายข้อมูลที่ขโมยมา การโจมตี DDoS และ การแรนซัมแวร์ เป็นต้น เราจึงสามารถเห็นการผสมผสานที่มีความซับซ้อนระหว่างความเชี่ยวชาญทางเทคนิคและองค์กรอาชญากรรมได้อย่างชัดเจน
นอกจากนี้ นักวิเคราะห์ความปลอดภัยยังพบอีกว่า แฮกเกอร์ใช้เครื่องมือแฮกหลายตัวในการดำเนินการโดยปรับใช้เครื่องมือการเข้าถึงระยะไกล Cobalt Strike บน IP address
โดยใช้รหัสสิทธิ์ที่ถอดรหัสแล้ว และทิ้งไฟล์อันตรายที่มีเครื่องมือโจมตีเพิ่มเติมไว้ จากนั้นแฮกเกอร์จะติดตั้งรายละเอียดของคำสั่งและการควบคุมที่เรียกว่า Viper ซึ่งกำหนดค่าบนพอร์ตและค่าเริ่มต้น SSL certificates เพื่อจัดการโครงสร้างพื้นฐานของการโจมตี โดยการใช้ฟังก์ชัน Metasploit (vipermsf) ในตัวของ Viper ทำให้สามารถปลอมแปลงเอดับบลิวเอสที่โฮสต์เว็บไซต์ WordPress ผ่านช่องโหว่ด้านความปลอดภัยในปลั๊กอิน WPCargo
ทั้งนี้ เพื่อให้สามารถเข้าถึงระบบในระดับที่สูงมากขึ้นได้ แฮกเกอร์เลือกใช้เครื่องมือในการเพิ่มระดับสิทธิ์ คือ CDK เพื่อหลีกเลี่ยงข้อจำกัดของคอนเทนเนอร์ และ Traitor เพื่อเพิ่มสิทธิพิเศษของ Linux หลายรายการ
ดูเหมือนเป้าหมายสุดท้ายของแฮกเกอร์คือ การใช้ LockBit ransomware ที่เชื่อมโยงกับช่องทาง Telegram “You Dun” เพื่อมุ่งเป้าการโจมตีไปที่องค์กรต่างๆ ไม่ว่าจะเป็น องค์กรภาครัฐ สถาบันการศึกษา สถานพยาบาล ศูนย์สุขภาพ และภาคโลจิสติกส์ ในหลายประเทศในทวีปเอเชีย ได้แก่ ไทย เกาหลีใต้ จีน ไต้หวัน และ อิหร่าน
สุดท้ายผมขอฝากว่า เวลานี้เข้าใกล้ช่วงวันหยุดตามเทศกาล และวันสุดยาวสิ้นปีแล้ว ซึ่งเป็นช่วงเวลาที่เหล่าบรรดาแฮกเกอร์จะเลือกออกปฏิบัติโจมตีระบบขององค์กรต่างๆ เพราะต้องอย่าลืมว่าแฮกเกอร์สามารถหาวันหยุดของแต่ละประเทศได้ผ่านโลกออนไลน์
ดังนั้นจึงเลือกโจมตีแบบล็อกเป้าได้อย่างสบายๆ ผมจึงอยากให้ทุกองค์กรระมัดระวัง เตรียมแผนตั้งรับและเครื่องมือในการป้องกันระบบ รวมถึงติดต่อทีม incident Response ที่จะต่อสู้กับภัยคุกคามครับ
ข้อมูล/ภาพ : กรุงเทพธุรกิจ
