01/30/2023

สายลับไซเบอร์สัญชาติจีน ใช้ยูเอสบีเป็นอาวุธเจาะเครื่องฟิลิปปินส์

Mandiant หลังเข้าใต้ร่มเงากูเกิ้ลหมาดๆ ออกมาเผยว่ากำลังติดตามขบวนการคนจีนที่พบการเชื่อมโยงกับการโจมตีเพื่อสืบข้อมูลในฟิลิปปินส์ ที่ปัจจุบันยังคงพึ่งพาธัมม์ไดรฟ์ยูเอสบีที่เปิดช่องให้ติดเชื้อมัลแวร์ได้ ขบวนการนี้มีรหัสว่า UNC4191 พบหลักฐานความเคลื่อนไหวย้อนหลังไปถึงเดือนกันยายน 2021

โดยทีมนักวิจัยนำโดย Ryan Tomcik, John Wolfram, Tommy Dacanay, และ Geoff Ackerman กล่าวว่า “ขบวนการ UNC4191 ส่งผลกระทบกับหน่วยงานภาครัฐและเอกชนจำนวนมากในภูมิภาคเอเชียตะวันออกเฉียงใต้ และเริ่มขยายการโจมตีไปยังสหรัฐฯ, ยุโรป, และภูมิภาคเอเชียและญี่ปุ่น

“แต่ถึงแม้เหยื่อจะกระจายกันทั่วโลก แต่ระบบทางกายภาพที่โดนโจมตีต่างก็ตั้งเครื่องอยู่ในฟิลิปปินส์แทบทั้งสิ้น” เนื่องจากใช้ไดรฟ์ยูเอสบีในการกระจายมัลแวร์ ซึ่งถือเป็นเทคนิคที่ค่อนข้างเก่าแล้วด้วยซ้ำ มัลแวร์เป็นเวิร์มที่ชื่อ Raspberry Robin ที่พัฒนาจนเป็นเซอร์วิสเปิดให้เข้าถึงระบบขั้นเริ่มต้น

การโจมตีนี้จะนำไปสู่การติดตั้งมัลแวร์กลุ่มใหม่ 3 ตัวได้แก่ MISTCLOAK, DARKDEW, และ BLUEHAZE ร่วมกับทูล Ncat ที่เป็นยูทิลิตี้ด้านเน็ตเวิร์กแบบคอมมานด์ไลน์สำหรับสร้าง Reverse Shell บนระบบเหยื่อ สำหรับตัว MISTCLOAK นั้นจะรันการทำงานเมื่อผู้ใช้เสียบอุปกรณ์ที่ติดเชื้อเข้าระบบ เป็นเหมือนตัวเริ่มโจมตีที่พาตัวต่อมาอย่าง DARKDEW เข้ามา

อ่านเพิ่มเติมที่นี่ – THN