กลุ่มแฮกเกอร์ Lotus Blossom ใช้ประโยชน์จาก WMI และมัลแวร์ Sagerunex ในการโจมตี

Last updated: 1 Apr 2025

15 Views

สรุปข้อมูล

พบกลุ่มแฮกเกอร์ Lotus Blossom หรือชื่ออื่น ๆ ที่เรียกว่า Lotus Panda, Billbug, Thrip และ Spring Dragon จะทำการโจมตีไปยังหน่วยงานภาครัฐในภูมิภาคเอเชีย-แปซิฟิก (APAC) เป็นหลัก ด้วยมัลแวร์ Sagerunex Backdoor ที่ใช้ประโยชน์จาก Windows Management Instrumentation (WMI) และใช้ Cloud Service ที่ถูกกฎหมายหรือแพลตฟอร์ม Social Media ต่าง ๆ สำหรับการติดต่อสื่อสารระหว่าง C2 Server ในการโจมตี เพื่อการจารกรรมข้อมูล (Cyber Espionage)

รายละเอียดการโจมตี

เริ่มต้นจากการโจมตีด้วยรูปแบบ Social Engineering ไม่ว่าจะเป็น Spear-phishing และ Watering Hole และใช้ช่องโหว่ในแอปพลิเคชันที่ถูกเผยแพร่สู่สาธารณะในการเข้าถึงระบบเครือข่ายของเหยื่อ
เมื่อสามารถเข้าถึงระบบภายในของเหยื่อได้สำเร็จ แฮกเกอร์จะสร้าง Foothold และใช้งาน Windows Management Instrumentation (WMI) เพื่อแพร่กระจายไปยังระบบอื่น ๆ ภายในเครือข่าย ซึ่งเทคนิคนี้ช่วยให้แฮกเกอร์สามารถ Remote เพื่อรันคำสั่งโดยไม่ต้องติดตั้งมัลแวร์เพิ่มเติม
หลังจากนั้นแฮกเกอร์จะติดตั้งเครื่องมือต่าง ๆ ที่ใช้ในการโจมตี รวมถึงโปรแกรม RAR, Port Relays, Proxy Tool เช่น Venom และเครื่องมือขโมย Cookie จาก Chrome เพื่อเก็บรวบรวมข้อมูล Credential
แฮกเกอร์ใช้งานคำสั่ง เช่น tasklist, ipconfig, netstat และ dir เพื่อเก็บรวบรวมข้อมูลเกี่ยวกับระบบ เครือข่าย และผู้ใช้งาน นอกจากนี้ยังตรวจสอบการเชื่อมต่อ Internet หากเชื่อมต่อโดยตรงไม่ได้ จะใช้ Proxy Settings ที่มีอยู่ หรือใช้เครื่องมือ Venom แทน
ในการ Persistence ในระบบ แฮกเกอร์จะติดตั้งมัลแวร์ Sagerunex Backdoor ลงใน Windows Registry และให้ทำงานอัตโนมัติเมื่อระบบ Startup โดยการปลอมเป็น Service ซื่อว่า "tapisrv" และ "swprv"
มัลแวร์ Sagerunex จะติดต่อกับ C2 Server ผ่าน Cloud Service หรือแพลตฟอร์ม Social Media ซึ่งส่งผลให้ยากต่อการตรวจสอบมากขึ้น เช่น
- Dropbox ข้อมูลที่ถูกขโมยจะถูก Encrypt และอัปโหลดเป็นไฟล์ [.]rar
- Twitter (X) คำสั่งจะฝังอยูในการอัปเดต Status
- Zimbra ข้อมูลที่ถูกขโมยจะซ่อนในอีเมลฉบับร่างหรือเนื้อหาในกล่องจดหมาย
ขั้นตอนการ Data Exfiltration ข้อมูลที่ถูกขโมยออกมานั้นจะถูก Compress เป็นไฟล์ RAR ก่อนส่งไปยัง C2 Server ของแฮกเกอร์

ผลกระทบจากการโจมตี

ผลกระทบจากการโจมตีด้วยมัลแวร์ Sagerunex และใช้งาน Service หรือซอฟต์แวร์ที่ถูกกฎหมายและใช้งานทั่วไปทำให้แฮกเกอร์สามารถเข้าถึงระบบ และขโมยข้อมูลที่สำคัญของเหยื่อได้ เช่น ข้อมูล Credential และ Cookie ของ Chrome รวมไปถึงแฮกเกอร์ขยายขอบเขตการโจมตีไปยังระบบเครือข่ายที่เกี่ยวข้องได้ นอกจากนี้เทคนิคการโจมตีดังกล่าวช่วยให้แฮกเกอร์หลีกเลี่ยงการตรวจจับ ส่งผลให้ยากต่อการตรวจสอบ

สรุปการโจมตี

การโจมตีเริ่มจากการหลอกเหยื่อผ่านวิธีการทาง Social Engineering เช่น Spear-phishing, Watering Hole หรือช่องโหว่ของแอปพลิเคชัน เพื่อเข้าถึงระบบของเหยื่อ จากนั้นจึงดำเนินกลไกการโจมตีในขั้นต่อไป เช่น การใช้ WMI การนำเครื่องมือโจมตีมาใช้รวมถึงการอาศัย Cloud Service หรือแพลตฟอร์ม Social Media เช่น Dropbox, Twitter (X) และ Zimbra เพื่อหลีกเลี่ยงการตรวจจับ

คำแนะนำ

Awareness Training เรื่องรูปแบบการโจมตีให้กับบุคลากรในองค์กร เช่น Phishing
หมั่นตรวจสอบและอัปเดตซอฟต์แวร์ต่าง ๆ ในระบบอย่างสม่ำเสมอ เพื่อป้องกันช่องโหว่
ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ เช่น ตรวจสอบ Windows Registry และ WMI ที่ผิดปกติ
จำกัดสิทธิ์การเข้าถึงและใช้งาน WMI ในเครือข่าย
อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
การทำ Segmentation ในระบบเครือข่าย เพื่อจำกัดการ Lateral Movement และใช้โมเดล Zero Trust ทุกการเข้าถึงต้องได้รับการตรวจสอบและอนุญาตเสมอ
พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม

แหล่งอ้างอิง

https://cybersecuritynews.com/lotus-blossom-apt-exploits-wmi/

https://www.picussecurity.com/resource/blog/lotus-blossom#analyzing-lotus-blossom-group's-advanced-tactics,-techniques,-and-procedures-(ttps)

Tags :