กลุ่ม IcePeony มุ่งเป้าการโจมตีไปยังประเทศต่าง ๆ ในเอเชีย
สรุปข้อมูล
พบกลุ่ม APT กลุ่มใหม่ที่ชื่อว่า IcePeony ที่มีความเชื่อมโยงกับประเทศจีน โดยมุ่งเป้าหมายการโจมตีไปยัง สถาบันการศึกษา และ หน่วยงานภาครัฐในประเทศต่าง ๆ เช่น อินเดีย มอริเชียส และเวียดนาม โดยการโจมตีของกลุ่มนี้ส่วนใหญ่มักจะเริ่มต้นด้วยเทคนิค SQL injection ที่กำหนดเป้าหมายไปยังเว็บเซิร์ฟเวอร์ที่มีช่องโหว่ เพื่อเจาะเข้าไปในเซิร์ฟเวอร์ของเหยื่อ และใช้เครื่องมือ หรือมัลแวร์ต่าง ๆ เช่น IceCache และ IceEvent ในการควบคุมและขโมยข้อมูล
รายละเอียดการโจมตี
- ผู้โจมตีจะมุ่งเป้าไปที่เว็บเซิร์ฟเวอร์ที่มีช่องโหว่ เพื่อทำการ SQL injection
- หลังจากที่ผู้โจมตีสามารถเจาะเข้าไปในเว็บเซิร์ฟเวอร์ได้แล้ว ผู้โจมตีใช้เซิร์ฟเวอร์ C2 ในการส่งคำขอ (Request) ไปยัง เซิร์ฟเวอร์ IIS ของเหยื่อผ่านทาง IceCacheClient.exe ที่ทำหน้าที่เป็นตัวกลางในการโจมตี
- เซิร์ฟเวอร์ IIS ของเหยื่อติดตั้งโมดูล IceCache Module ซึ่งเป็นไฟล์ DLL ทำงานในฝั่งเซิร์ฟเวอร์ IIS และรับคำขอจาก IceCache Client
- จากนั้นเซิร์ฟเวอร์ IIS ที่ถูกโจมตีส่งคำตอบ (Response) กลับไปยังเซิร์ฟเวอร์ C2 หลังจากที่ได้รับคำขอจาก IceCache Client เพื่อทำการดำเนินการโจมตีหรือสื่อสารข้อมูลที่ต้องการ เช่น เรียกใช้คำสั่งที่เป็นอันตรายและขโมยข้อมูล เป็นต้น
- ต่อมาภายในเครือข่ายของเหยื่อ จะมีการใช้ไฟล์ IceEvent.exe ซึ่งทำหน้าที่เป็น Backdoor ที่ทำหน้าที่ในการสื่อสารภายในเซิร์ฟเวอร์ IIS Server กับเซิร์ฟเวอร์อีกตัวหนึ่งในเครือข่ายของเหยื่อ (อาจใช้ในการสั่งงานหรือควบคุมการโจมตีภายในเครือข่ายของเหยื่อ)
ผลกระทบจากการโจมตี
ผลกระทบจากการโจมตีของกลุ่ม IcePeony ส่งผลกระทบรุนแรงต่อองค์กรในประเทศต่าง ๆ ในเอเชีย โดยการโจมตีดังกล่าว สามารถนำไปสู่การขโมยข้อมูลสำคัญ เช่น ข้อมูลส่วนตัวหรือข้อมูลทางธุรกิจ
สรุปการโจมตี
การโจมตีของกลุ่ม IcePeony จะเน้นไปที่การโจมตีในภูมิภาคเอเชีย ด้วยเทคนิคการโจมตี SQL injection เพื่อเข้าถึงเว็บเซิร์ฟเวอร์ โดยใช้ Backdoors ที่ช่วยให้สามารถเข้าถึงระบบเป้าหมาย นอกจากนี้ยังมีการใช้งานคำสั่ง เพื่อการละเมิดความปลอดภัย ทำให้การตรวจจับการโจมตีเป็นเรื่องยาก โดยมีกลยุทธ์ที่สามารถขยายการเข้าถึงในเครือข่ายที่ถูกโจมตี
คำแนะนำ
- ดำเนินการเปิดใช้งาน Web Application Firewall
- ตั้งค่า Rule การตรวจจับการโจมตี Website ทุกรูปแบบที่ Web Application Firewall
- ดำเนินการ VA Scan เว็บไซต์เพื่อตรวจสอบช่องโหว่อยู่เสมอ
- ทำการ Full-Scan ที่ Endpoint ทุก ๆ สัปดาห์ เพื่อป้องกันไฟล์อันตราย
- อัปเดตซอฟต์แวร์และระบบอย่างสม่ำเสมอ เพื่อป้องกันการโจมตีผ่านช่องโหว่
Indicators of Compromise (IoCs)
| กลุ่ม IcePeony | |
| SHA-256 | 484e274077ab6f9354bf71164a8edee4dc4672fcfbf05355958785824fe0468f |
| 5b16d1533754c9e625340c4fc2c1f76b11f37eb801166ccfb96d2aa02875a811 | |
| ceb47274f4b6293df8904c917f423c2f07f1f31416b79f3b42b6d64e65dcfe1b | |
| e5f520d95cbad6ac38eb6badbe0ad225f133e0e410af4e6df5a36b06813e451b | |
| d1955169cd8195ecedfb85a3234e4e6b191f596e493904ebca5f44e176f3f950 | |
| 11e90e2458a97957064a3d3f508fa6dadae19f632b45ff9523b7def50ebacb63 | |
| de8f58f008ddaa60b5cf1b729ca03f276d2267e0a80b584f2f0723e0fac9f76c | |
| b8d030ed55bfb6bc4fdc9fe34349ef502561519a79166344194052f165d69681 | |
| 535586af127e85c5561199a9a1a3254d554a6cb97200ee139c5ce23e68a932bd | |
| 0b8b10a2ff68cb2aa3451eedac4a8af4bd147ef9ddc6eb84fc5b01a65fca68fd | |
| 5fd5e99fc503831b71f4072a335f662d1188d7bc8ca2340706344fb974c7fe46 | |
| 3eb56218a80582a79f8f4959b8360ada1b5e471d723812423e9d68354b6e008c | |
| a66627cc13f827064b7fcea643ab31b34a7cea444d85acc4e146d9f2b2851cf6 | |
| 0eb60e4c5dc7b06b719e9dbd880eb5b7514272dc0d11e4760354f8bb44841f77 | |
| 80e831180237b819e14c36e4af70304bc66744d26726310e3c0dd95f1740ee58 | |
| 9a0b0439e6fd2403f764acf0527f2365a4b9a98e9643cd5d03ccccf3825a732e | |
| 9aba997bbf2f38f68ad8cc3474ef68eedd0b99e8f7ce39045f1d770e2af24fea | |
| bc94da1a066cbb9bdee7a03145609d0f9202b426a52aca19cc8d145b4175603b | |
| Domain | d45qomwkl[.]online |
| k9ccin[.]com | |
| k8ccyn[.]com | |
| 88k8cc[.]com | |
| googlesvn[.]com | |
| IP Address | 165[.]22.211.62 |
| 64[.]227.133.248 | |
| 173[.]208.156.19 | |
| 173[.]208.156.144 | |
| 154[.]213.17.225 | |
| 103[.]150.186.219 | |
| 63[.]141.255.16 | |
| 204[.]12.205.10 | |
| 107[.]148.37.63 | |
| 103[.]99.60.119 | |
| 154[.]213.17.237 | |
| 45[.]195.205.88 | |
| 154[.]213.17.244 | |
| 103[.]99.60.93 | |
| 149[.]115.231.17 | |
| 149[.]115.231.39 | |
| 103[.]99.60.108 | |
แหล่งอ้างอิง
https://securityonline.info/icepeony-a-new-china-nexus-apt-group-targeting-asian-nations/
