Symantec กับภารกิจสืบสวนและป้องกันภัยจากกลุ่มก่อการร้ายไซเบอร์

Symantec กับภารกิจสืบสวนและป้องกันภัยจากกลุ่มก่อการร้ายไซเบอร์

DeepSight Managed Adversary and Threat Intelligence (MATI) ศูนย์วิจัยของ Symantec บริษัทด้าน cyber security จากอเมริกา ได้ตรวจพบกลุ่มผู้ก่อการร้ายทางไซเบอร์ 2 กลุ่มด้วยกัน ทั้งสองกลุ่มนี้เริ่มโจมตีองค์กรต่างๆ ในแถตะวันออกกลาง ยุโรป และอเมริกาเหนือ มาตั้งแต่ปี 2017 จนถึงปัจจุบัน

 

แม้ยังไม่มีชื่อเรียกของผู้ก่อการร้ายทั้งสองกลุ่มอย่างเป็นทางการ Symantec เรียกกลุ่มหนึ่งว่า Seedworm และอีกกลุ่มว่า APT28

 

องค์กรที่กลุ่มก่อการร้ายโจมตี ในตอนแรกเป็นบริษัทน้ำมัน แต่ต่อมามันเปลี่ยนเป้าหมายไปเป็นเป็นมหาวิทยาลัยต่างๆ ในตะวันออกกลาง และสถานทูตของประเทศอาหรับที่ตั้งอยู่ในยุโรป เช่นเดียวกับ NGO ต่างๆ

Symantec ตรวจพบ Seedworm และ APT28 ได้เป็นครั้งแรกในเดือนกันยายน 2018 ในคอมพิวเตอร์ของสถานทูตจากประเทศอาหรับแห่งหนึ่งในประเทศบราซิล Symantec ได้ตรวจสอบการโจมตีนี้ต่อ และจากการเข้าไปดูข้อมูลของ Global Intelligence Network ทำให้ Symantec ระบุได้ว่า Seedworm เริ่มโจมตีครั้งแรกเมื่อไหร่ เช่นเดียวกับประวัติการโจมตีในครั้งต่อๆ มาทั้งหมดของ Seedworm

 

การโจมตีของ Seedworm จะเน้นไปที่การล้วงของข้อมูลขององค์กรและบุคคลต่างๆ โดยใช้เครื่องมือประเภท custom backdoor ที่ชื่อ Powermud ซึ่งเป็นเครื่องมือเฉพาะของกลุ่มก่อการร้ายนี้ และเครื่องมืออื่นๆ เช่น PowerShell, LaZagne, และ Crackmapexec scripts

 

หลังจากเจาะเข้าไปในระบบได้ Seedworm จะใช้เครื่องมือเพื่อขโมยข้อมูลพาสเวิร์ด ที่ใช้ log in เข้าเว็บและอีเมลต่างๆ เช่นเดียวกับเครื่องมือแบบ open-source ในการขโมย Windows authorization credential โดยทางกลุ่มจะอัปเดต backdoor อยู่เสมอ เพื่อหลบหนีการตรวจจับและไม่ให้ถูกพบในการวิจัยด้านความปลอดภัย

 

Seedworm ใช้ Proxy network ในการพรางตัวเพื่อควบคุม Powermud backdoor ไม่ให้ใครรู้ว่ามันอยู่ที่ไหน และใช้ Github ในการเก็บมัลแวร์และเครื่องมือในการเจาะระบบอื่นๆ

ทาง Symantec ได้สืบไปจนพบต้นตอของ Seedworm แล้ว ตอนแรก Symantec ได้พบ script ใน Github repository ที่เปิดเป็น public ที่คล้ายกับ script ในการปฏิบัติการของ Seedworm  นอกจากนี้ยังเจอลิงค์ของ Twitter ที่เจ้าของแอคเคานท์น่าจะเป็นหนึ่งในสมาชิกของกลุ่ม แอคเคานท์นี้ได้ติดตาม Twitter ของนักวิจัยด้านความปลอดภัยหลายๆ คน ทั้งคนที่เคยพูดถึง Seedworm และคนที่เป็น developer เครื่องมือ open-source

 

อย่างไรก็ตาม ตอนนี้ Symantec ได้ออกวิธีป้องกัน ผู้ใช้สามารถโหลดไฟล์ได้ “ฟรี” จากเว็บของ Symantec ในลิงค์นี้ https://symc.ly/2UKUanS สามารถป้องกันการโจมตีของ Seedworm ได้ทั้งแบบ file-based และ network-based และลิสต์รายชื่อไฟล์ที่เป็น malware และ network indicator ของ Seedworm มาให้ดูด้วย

 

งานด้าน intelligence เป็นสิ่งสำคัญที่สุดของการป้องกันภัยคุกคาม ด้วยเหตุนี้บริษัทด้าน cyber security ถึงต้องเปิดศูนย์วิจัยของตัวเอง และอัปเดตความรู้อย่างต่อเนื่อง เพื่อสร้างผลิดภัณฑ์ที่ดีที่สุดเพื่อความปลอดภัยของผู้ใช้

http://investor.symantec.com/About/Investors/press-releases/press-release-details/2018/Symantec-Research-Cyber-Espionage-Group-Has-Compromised-Dozens-of-Organizations-Globally-Since-September/default.aspx

 

https://www.symantec.com/blogs/threat-intelligence/seedworm-espionage-group

 

__________________________
ถ้าท่านใดสนใจทดสอบ ติดต่อสอบถามรายละเอียดได้ที่
💻 : www.firewallhub.com
☎ : 02-392-3608
📱 : Sales@monsterconnect.co.th

Tanakorn Siritorn
No Comments

Post a Comment

Comment
Name
Email
Website

This site uses Akismet to reduce spam. Learn how your comment data is processed.