แฉ! กลุ่มแฮกติวิสต์ Head Mare ใช้ช่องโหว่ใหม่โจมตีรัสเซียและเบลารุส
สรุปข้อมูล
กลุ่มแฮกติวิสต์ที่ชื่อว่า Head Mare ได้เริ่มต้นปฏิบัติการโจมตีทางไซเบอร์ตั้งแต่ปี 2023 โดยมุ่งเป้าโจมตีองค์กรที่ตั้งอยู่ในรัสเซียและเบลารุส กลุ่มนี้มีความเกี่ยวข้องกับความขัดแย้งระหว่างรัสเซียและยูเครน ซึ่งเริ่มต้นขึ้นก่อนหน้านั้นหนึ่งปี Head Mare มีความเคลื่อนไหวบนแพลตฟอร์ม X ซึ่งมีการเผยแพร่ข้อมูลที่ละเอียดอ่อนและเอกสารภายในของเหยื่อ การโจมตีของกลุ่มนี้ครอบคลุมหลายภาคส่วน รวมถึงรัฐบาล การขนส่ง พลังงาน การผลิต และสิ่งแวดล้อม นอกจากนี้ยังมีการเรียกค่าไถ่ด้วยการเข้ารหัสข้อมูลของเหยื่อ
รายละเอียดทางเทคนิค
Head Mare ใช้เครื่องมือและเทคนิคที่ทันสมัยสำหรับการโจมตี รวมถึง:
- Sliver: เฟรมเวิร์ก C2 แบบโอเพ่นซอร์สที่ใช้ร่วมกับเครื่องมือสาธารณะอื่นๆ เช่น rsockstun, ngrok, และ Mimikatz เพื่อสนับสนุนการค้นหาเครือข่าย (discovery) การเคลื่อนไหวภายในเครือข่าย (lateral movement) และการเก็บข้อมูลของเหยื่อ
- PhantomDL และ PhantomCore: มัลแวร์ที่ทำขึ้นเองเพื่อเจาะระบบของเหยื่อ PhantomDL เป็น backdoor ที่พัฒนาด้วยภาษา Go ซึ่งสามารถส่ง payload เพิ่มเติมและอัปโหลดไฟล์ที่สนใจไปยังเซิร์ฟเวอร์ C2 ในขณะที่ PhantomCore หรือ PhantomRAT เป็นโทรจันที่เข้าถึงจากระยะไกลด้วยคุณสมบัติคล้ายกัน
- ช่องโหว่ CVE-2023-38831: สามารถถูกใช้เพื่อให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายบนระบบของเหยื่อได้
ประเภทของช่องโหว่: Arbitrary Code Execution (การรันโค้ดที่เป็นอันตราย) การโจมตีด้วยช่องโหว่นี้เกิดขึ้นเมื่อผู้ใช้ทำการเปิดไฟล์เก็บข้อมูล (archive file) ที่ถูกปรับแต่งมาโดยเฉพาะผ่านโปรแกรม WinRAR เมื่อไฟล์นี้ถูกเปิด โปรแกรมจะรันโค้ดที่ฝังไว้ในไฟล์เก็บข้อมูลนั้น ทำให้ผู้โจมตีสามารถควบคุมระบบของเหยื่อได้
ผลกระทบจากการโจมตี
การโจมตีของ Head Mare ได้สร้างผลกระทบอย่างมากในหลายภาคส่วนของรัสเซียและเบลารุส โดยเฉพาะอย่างยิ่งในส่วนของการรักษาความปลอดภัยข้อมูลและการดำเนินงานขององค์กร ผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนและเผยแพร่สู่สาธารณะ ทำให้เกิดความเสียหายทางด้านชื่อเสียงและการสูญเสียข้อมูลสำคัญ นอกจากนี้ การเรียกค่าไถ่เพื่อถอดรหัสข้อมูลยังสร้างความสูญเสียทางการเงินและความยุ่งยากในการฟื้นฟูระบบ
สรุปการโจมตี
กลุ่มแฮ็กทิวิสต์ Head Mare ได้โจมตีองค์กรในรัสเซียและเบลารุสโดยเฉพาะ ใช้ประโยชน์จากช่องโหว่ CVE-2023-38831 ใน WinRAR เพื่อเข้าถึงระบบ หลังจากนั้นจะปล่อยมัลแวร์ PhantomDL และ PhantomCore รวมถึงใช้ ransomware อย่าง LockBit และ Babuk เพื่อเข้ารหัสข้อมูลของเหยื่อ และเรียกค่าไถ่ นอกจากนี้ยังมีการปลอมแปลงมัลแวร์ให้ดูเหมือนแอปพลิเคชันที่ถูกต้องตามกฎหมาย เช่น OneDrive และ VLC
คำแนะนำในการป้องกัน
เพื่อป้องกันและลดความเสี่ยงจากการโจมตีดังกล่าว องค์กรควรพิจารณาปฏิบัติตามคำแนะนำดังนี้:
- อัปเดตระบบและซอฟต์แวร์อย่างสม่ำเสมอ: ป้องกันการโจมตีจากช่องโหว่ที่รู้จัก เช่น CVE-2023-38831 โดยการอัปเดตแพตช์และซอฟต์แวร์ให้เป็นรุ่นล่าสุด
- ใช้ระบบตรวจจับและป้องกันการโจมตี: ติดตั้งระบบตรวจจับการบุกรุก (IDS) และระบบป้องกันการบุกรุก (IPS) เพื่อตรวจสอบและป้องกันกิจกรรมที่น่าสงสัยในเครือข่าย
- เพิ่มความปลอดภัยของข้อมูลรับรอง: ใช้การยืนยันตัวตนหลายขั้นตอน (MFA) และจัดการสิทธิ์การเข้าถึงอย่างเคร่งครัด เพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต
- การฝึกอบรมพนักงาน: ให้ความรู้และการฝึกอบรมเกี่ยวกับการป้องกันฟิชชิงและวิธีการตรวจสอบอีเมลหรือไฟล์ที่น่าสงสัย
- สำรองข้อมูลอย่างสม่ำเสมอ: ทำการสำรองข้อมูลที่สำคัญอย่างสม่ำเสมอและตรวจสอบให้แน่ใจว่าสามารถกู้คืนได้ในกรณีที่ถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่
แหล่งอ้างอิง
Hxxps[:]//x.com/head_mare
Hxxps[:]://thehackernews.com/2024/09/hacktivists-exploits-winrar[.]html
