กลุ่มแฮกเกอร์ Lotus Blossom ใช้ประโยชน์จาก WMI และมัลแวร์ Sagerunex ในการโจมตี
- เริ่มต้นจากการโจมตีด้วยรูปแบบ Social Engineering ไม่ว่าจะเป็น Spear-phishing และ Watering Hole และใช้ช่องโหว่ในแอปพลิเคชันที่ถูกเผยแพร่สู่สาธารณะในการเข้าถึงระบบเครือข่ายของเหยื่อ
- เมื่อสามารถเข้าถึงระบบภายในของเหยื่อได้สำเร็จ แฮกเกอร์จะสร้าง Foothold และใช้งาน Windows Management Instrumentation (WMI) เพื่อแพร่กระจายไปยังระบบอื่น ๆ ภายในเครือข่าย ซึ่งเทคนิคนี้ช่วยให้แฮกเกอร์สามารถ Remote เพื่อรันคำสั่งโดยไม่ต้องติดตั้งมัลแวร์เพิ่มเติม
- หลังจากนั้นแฮกเกอร์จะติดตั้งเครื่องมือต่าง ๆ ที่ใช้ในการโจมตี รวมถึงโปรแกรม RAR, Port Relays, Proxy Tool เช่น Venom และเครื่องมือขโมย Cookie จาก Chrome เพื่อเก็บรวบรวมข้อมูล Credential
- แฮกเกอร์ใช้งานคำสั่ง เช่น tasklist, ipconfig, netstat และ dir เพื่อเก็บรวบรวมข้อมูลเกี่ยวกับระบบ เครือข่าย และผู้ใช้งาน นอกจากนี้ยังตรวจสอบการเชื่อมต่อ Internet หากเชื่อมต่อโดยตรงไม่ได้ จะใช้ Proxy Settings ที่มีอยู่ หรือใช้เครื่องมือ Venom แทน
- ในการ Persistence ในระบบ แฮกเกอร์จะติดตั้งมัลแวร์ Sagerunex Backdoor ลงใน Windows Registry และให้ทำงานอัตโนมัติเมื่อระบบ Startup โดยการปลอมเป็น Service ซื่อว่า "tapisrv" และ "swprv"
- มัลแวร์ Sagerunex จะติดต่อกับ C2 Server ผ่าน Cloud Service หรือแพลตฟอร์ม Social Media ซึ่งส่งผลให้ยากต่อการตรวจสอบมากขึ้น เช่น
- Dropbox ข้อมูลที่ถูกขโมยจะถูก Encrypt และอัปโหลดเป็นไฟล์ [.]rar
- Twitter (X) คำสั่งจะฝังอยูในการอัปเดต Status
- Zimbra ข้อมูลที่ถูกขโมยจะซ่อนในอีเมลฉบับร่างหรือเนื้อหาในกล่องจดหมาย
- ขั้นตอนการ Data Exfiltration ข้อมูลที่ถูกขโมยออกมานั้นจะถูก Compress เป็นไฟล์ RAR ก่อนส่งไปยัง C2 Server ของแฮกเกอร์
ผลกระทบจากการโจมตี
ผลกระทบจากการโจมตีด้วยมัลแวร์ Sagerunex และใช้งาน Service หรือซอฟต์แวร์ที่ถูกกฎหมายและใช้งานทั่วไปทำให้แฮกเกอร์สามารถเข้าถึงระบบ และขโมยข้อมูลที่สำคัญของเหยื่อได้ เช่น ข้อมูล Credential และ Cookie ของ Chrome รวมไปถึงแฮกเกอร์ขยายขอบเขตการโจมตีไปยังระบบเครือข่ายที่เกี่ยวข้องได้ นอกจากนี้เทคนิคการโจมตีดังกล่าวช่วยให้แฮกเกอร์หลีกเลี่ยงการตรวจจับ ส่งผลให้ยากต่อการตรวจสอบ
สรุปการโจมตี
การโจมตีเริ่มจากการหลอกเหยื่อผ่านวิธีการทาง Social Engineering เช่น Spear-phishing, Watering Hole หรือช่องโหว่ของแอปพลิเคชัน เพื่อเข้าถึงระบบของเหยื่อ จากนั้นจึงดำเนินกลไกการโจมตีในขั้นต่อไป เช่น การใช้ WMI การนำเครื่องมือโจมตีมาใช้รวมถึงการอาศัย Cloud Service หรือแพลตฟอร์ม Social Media เช่น Dropbox, Twitter (X) และ Zimbra เพื่อหลีกเลี่ยงการตรวจจับ
คำแนะนำ
- Awareness Training เรื่องรูปแบบการโจมตีให้กับบุคลากรในองค์กร เช่น Phishing
- หมั่นตรวจสอบและอัปเดตซอฟต์แวร์ต่าง ๆ ในระบบอย่างสม่ำเสมอ เพื่อป้องกันช่องโหว่
- ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ เช่น ตรวจสอบ Windows Registry และ WMI ที่ผิดปกติ
- จำกัดสิทธิ์การเข้าถึงและใช้งาน WMI ในเครือข่าย
- อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
- การทำ Segmentation ในระบบเครือข่าย เพื่อจำกัดการ Lateral Movement และใช้โมเดล Zero Trust ทุกการเข้าถึงต้องได้รับการตรวจสอบและอนุญาตเสมอ
- พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
แหล่งอ้างอิง
https://cybersecuritynews.com/lotus-blossom-apt-exploits-wmi/
