ระวังภัย พบการโจมตีแบบ APT โดยกลุ่ม OceanLotus เน้นขโมยข้อมูลจากหน่วยงานระดับสูง ประเทศไทยตกเป็นเป้าด้วย 

13 พ.ค.62 (20:29 น.)
เปิดอ่าน 193 ครั้ง

เมื่อวันที่ 9 พฤษภาคม 2562 นักวิจัยด้านความมั่นคงปลอดภัยจาก RedDrip Team ได้เผยแพร่รายงานบทวิเคราะห์การโจมตีโดยกลุ่มที่ถูกเรียกว่า OceanLotus ซึ่งเป็นกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนจากรัฐบาลของบางประเทศ โดยก่อนหน้านี้กลุ่มดังกล่าวเคยก่อเหตุปฏิบัติการโจมตีแบบ Advance Persistent Threat (APT) เพื่อขโมยข้อมูลสำคัญโดยเฉพาะข้อมูลด้านข่าวกรองจากหน่วยงานระดับสูงในประเทศจีนและประเทศในแถบเอเชียตะวันออกเฉียงใต้มาแล้ว ในรายงานได้กล่าวถึงข้อมูลรายละเอียดและเทคนิคที่กลุ่ม OceanLotus ใช้ในการโจมตีหน่วยงานสำคัญในประเทศเวียดนาม กัมพูชา และไทย เมื่อช่วงต้นปี 2562 [1]

รูปแบบช่องทางการโจมตี ส่วนใหญ่ผู้โจมตีจะใช้การส่งอีเมลแนบไฟล์มัลแวร์ โดยนักวิจัยได้วิเคราะห์เนื้อหาในไฟล์แนบและช่องทางการติดต่อเพื่อจัดแบ่งว่าเป็นการโจมตีหน่วยงานในประเทศใดบ้าง อ้างอิงจากรายงาน มีไฟล์มัลแวร์อย่างน้อย 2 ไฟล์ที่มุ่งเป้าโจมตีหน่วยงานในประเทศไทย โดยทั้ง 2 ไฟล์เป็นเอกสาร Microsoft Word ที่มีสคริปต์ macro สำหรับดาวน์โหลดและติดตั้งมัลแวร์ ไฟล์แรกมีชื่อไฟล์อ้างถึงการจัดประชุมอาเซียนที่ประเทศไทยเป็นเจ้าภาพ (Form_Provisional Agenda of the ASEAN Senior Officials Preparatory Meeting.doc ค่า MD5 = 4c30e792218d5526f6499d235448bdd9) ส่วนอีกไฟล์ (Program Retreat.doc ค่า MD5 = d8a5a375da7798be781cf3ea689ae7ab) นั้นยังไม่สามารถระบุได้แน่ชัดว่ามีเป้าหมายเพื่อโจมตีหน่วยงานประเภทใด ตัวอย่างสิ่งที่ปรากฎเมื่อเปิดไฟล์ดังกล่าวแสดงในรูปที่ 1

รูปที่ 1 ตัวอย่างสิ่งที่ปรากฎเมื่อเปิดไฟล์ Microsoft Word ที่ถูกใช้โจมตี

ในส่วนของการโจมตีที่พบในประเทศอื่น ประเทศกัมพูชา หน่วยงานที่จัดงานสัมมนาด้านเยาวชนถูกโจมตีผ่านอีเมลฟิชชิ่งแนบไฟล์ Microsoft Word ส่วนในประเทศเวียดนาม หน่วยงานที่ถูกโจมตีมีทั้งบริษัทขนส่งขนาดใหญ่ ธนาคารกลางของประเทศเวียดนาม และบริษัทเอกชนที่รับจ้างพัฒนาซอฟต์แวร์และติดตั้งระบบให้กับหน่วยงานภาครัฐ ช่องทางการโจมตีเป็นอีเมลฟิชชิ่งแนบไฟล์มัลแวร์ โดยตัวอย่างลักษณะไฟล์แนบที่พบ เช่น

  • ไฟล์บีบอัดประเภท .zip หรือ .rar ที่มีไฟล์มัลแวร์ .exe อยู่ข้างใน
  • ไฟล์ Microsoft Word ที่หลอกว่าเป็นเอกสารสมัครงานหรือประชาสัมพันธ์โฆษณา
  • ไฟล์บีบอัดประเภท .rar ที่โจมตีผ่านช่องโหว่ path traversal ของโปรแกรม WinRAR เพื่อติดตั้งไฟล์มัลแวร์ลงในเครื่อง [2]
  • ไฟล์โปรแกรม macOS ที่หลอกว่าเป็นตัวติดตั้งเบราว์เซอร์ Firefox หรืออัปเดตของ Google และ Flash Player
รายละเอียดทางเทคนิคอื่นๆ เช่น วิธีการที่ผู้โจมตีใช้ดาวน์โหลดมัลแวร์มาติดตั้งในเครื่องของเหยื่อ หรือผลการวิเคราะห์โค้ดที่ใช้โจมตี ผู้ที่สนใจสามารถศึกษาเพิ่มเติมได้จากรายงานต้นฉบับ

ผลกระทบ
เครื่องคอมพิวเตอร์ที่ติดมัลแวร์จะถูกขโมยข้อมูลและส่งออกไปยังเซิร์ฟเวอร์ของผู้โจมตี เนื่องจากกลุ่มเป้าหมายของการโจมตีนี้คือหน่วยงานระดับสูงหรือหน่วยงานที่เกี่ยวข้องกับรัฐบาล จึงมีความเสี่ยงที่ข้อมูลสำคัญของประเทศอาจรั่วไหลได้

ระบบที่ได้รับผลกระทบ
เนื่องจากในรายงานต้นฉบับไม่ได้เปิดเผยข้อมูลรายชื่อหรือจำนวนหน่วยงานที่ได้รับผลกระทบ ปัจจุบันไทยเซิร์ตอยู่ระหว่างการประสานงานเพื่อแจ้งเตือนและตรวจสอบข้อมูลดังกล่าว ทั้งนี้ หากอ้างอิงจากข้อมูลการโจมตีที่พบในประเทศอื่น หน่วยงานที่ตกเป็นเป้าหมายการโจมตีอาจไม่จำเป็นต้องเป็นหน่วยงานภาครัฐเสมอไป

ข้อแนะนำในการป้องกันและแก้ไข
จากรายงาน ผู้โจมตีอาศัยช่องโหว่ของ WinRAR (ซึ่งมีแพตช์แล้ว) และความสามารถในการรันสคริปต์ macro ของ Microsoft Word รวมถึงหลอกให้ผู้ใช้ติดตั้งโปรแกรมบน Mac ซึ่งส่วนใหญ่แล้วการโจมตีที่พบนี้ไม่ได้มีการใช้ช่องโหว่ 0-day (ช่องโหว่ที่ยังไม่มีแพตช์) แต่อาศัยการหลอกล่อให้ผู้ใช้กดอนุญาตหรือกดข้ามผ่านกระบวนการตรวจสอบความมั่นคงปลอดภัยของระบบเอง ตัวอย่างเช่นการหลอกให้ผู้ใช้เปิด macro ใน Microsoft Word เพื่อให้สคริปต์ของมัลแวร์ถูกเรียกขึ้นมาทำงาน (ปกติจะถูกปิดไว้เป็นค่าเริ่มต้น) ตัวอย่างข้อความหลอกลวงแสดงในรูปที่ 2


การป้องกันควรทำร่วมกันทั้งในด้านเทคนิคและการสร้างความตระหนักให้กับผู้ใช้ โดยในด้านเทคนิค ผู้ดูแลระบบควรตั้งค่าจำกัดสิทธิ์การใช้งาน macro ใน Microsoft Office หากไม่จำเป็น [3] และกำหนดให้ใช้งานได้เฉพาะโปรแกรมที่ได้รับอนุญาต รวมถึงอัปเดตซอฟต์แวร์และระบบปฏิบัติการอย่างสม่ำเสมอ ส่วนการสร้างความตระหนักให้กับผู้ใช้ ควรจัดอบรมให้ความรู้ในการตรวจสอบอีเมลฟิชชิ่ง การพิจารณาก่อนติดตั้งโปรแกรมจากแหล่งภายนอก และการพิจารณาก่อนอนุญาตให้ใช้งาน macro ใน Microsoft Office

การตรวจสอบและแก้ไข ในรายงานด้านฉบับมีข้อมูล Indicator of compromise (IOC) เพื่อใช้ตรวจสอบว่าเครื่องคอมพิวเตอร์ในระบบนั้นถูกโจมตีแล้วหรือไม่ โดยข้อมูล IOC ประกอบด้วยรายชื่อโดเมนที่มัลแวร์เชื่อมต่อออกไป ค่าแฮชของไฟล์มัลแวร์และไฟล์ที่เกี่ยวข้อง และคำสั่งที่มัลแวร์ใช้ในการทำงาน ผู้ดูแลระบบสามารถนำข้อมูล IOC ดังกล่าวไปตรวจสอบในเครื่องคอมพิวเตอร์หรือ log ของอุปกรณ์เครือข่ายได้

อ้างอิง
https://ti.qianxin.com/blog/articles/oceanlotus-attacks-to-indochinese-peninsula-evolution-of-targets-techniques-and-procedure/
https://www.thaicert.or.th/alerts/user/2019/al2019us002.html
https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/macro-malware

CYBER OPERATIONS CONTEST 2020

ล่าสุด

ระวังมัลแวร์ Emotet ขโมยรหัสธนาคารออนไลน์ แพร่กระจายผ่าน Wi-Fi
17 ก.พ.63(เมื่อวาน) อ่าน 31 ครั้ง
Microsoft เตือนผู้ดูแล Exchange เร่งปิด SMBv1 ป้องกันมัลแวร์
14 ก.พ.63(5 วัน) อ่าน 33 ครั้ง
สหรัฐฯ เข้าจับแฮ็กเกอร์ชาวจีนกรณีแฮ็ก Equifax
11 ก.พ.63(7 วัน) อ่าน 20 ครั้ง
พบช่องโหว่ WhatsApp สามารถใช้เข้าถึงไฟล์ของระบบได้
8 ก.พ.63(11 วัน) อ่าน 16 ครั้ง
พบ Backdoor ในชิป HiSilicon คาดอุปกรณ์ DVR/NVR จำนวนมากตกอยู่ในความเสี่ยง
8 ก.พ.63(11 วัน) อ่าน 11 ครั้ง
วิธีการป้องกันภัยจากฟิชชิ่ง (Phishing)
6 ก.พ.63(12 วัน) อ่าน 62 ครั้ง
ประกาศบัญชีรายชื่อผู้ผ่านการเลือกสรรพนักงานราชการทั่วไป
5 ก.พ.63(13 วัน) อ่าน 139 ครั้ง
บริษัทความปลอดภัยไซเบอร์ตรวจสอบระบบไอทีสนามบิน 100 แห่ง มีเพียง 3 แห่งที่ผ่านมาตรฐาน
4 ก.พ.63(14 วัน) อ่าน 15 ครั้ง
ทวิตเตอร์พบคนร้ายใช้ API จับคู่เบอร์โทรศัพท์กับชื่อบัญชี
4 ก.พ.63(14 วัน) อ่าน 7 ครั้ง
พบช่องโหว่บน Microsoft Azure Stack เสี่ยงถูกแฮ็กเกอร์เข้าควบคุม Cloud Servers บนนั้นได้
4 ก.พ.63(14 วัน) อ่าน 8 ครั้ง
ระวังภัย พบมัลแวร์แพร่กระจายผ่านอีเมลโดยอ้างชื่อไวรัสโคโรน่า
3 ก.พ.63(15 วัน) อ่าน 13 ครั้ง
พบช่องโหว่บน Plugin Code Snippets บน WordPress แนะผู้ใช้ควรอัปเดต
30 ม.ค.63(19 วัน) อ่าน 13 ครั้ง
เผยกลเม็ด Phishing ใหม่ของคนร้ายกับบริการ Citibank
30 ม.ค.63(19 วัน) อ่าน 21 ครั้ง
เตือน! พบบั๊กทำ Windows 10 บูตไม่ขึ้นใน KB4528760
30 ม.ค.63(19 วัน) อ่าน 17 ครั้ง
Microsoft ออกเตือนช่องโหว่ Zero-day บน Internet Explorer ที่ถูกใช้โจมตีแล้ว
28 ม.ค.63(21 วัน) อ่าน 33 ครั้ง