กลุ่มแฮกเกอร์ Transparent Tribe (APT36) และกลุ่ม SideCopy ที่เกี่ยวข้อง ได้ดำเนินปฏิบัติการจารกรรมไซเบอร์อย่างต่อเนื่องมานานกว่าทศวรรษ โดยมุ่งเป้าไปที่หน่วยงานภาครัฐและองค์กรด้านกลาโหมของอินเดีย โดยใช้เทคนิคการโจมตีแบบ spear-phishing และเอกสารที่มีมัลแวร์ฝังอยู่ เพื่อเข้าถึงและฝังตัวในสภาพแวดล้อมเป้าหมายอย่างลับๆ ล่าสุดมีการค้นพบแคมเปญโจมตีทั้งระบบ Windows และ Linux โดยมีการพัฒนาเครื่องมือข้ามแพลตฟอร์มและใช้การทำงานในหน่วยความจำ (memory-resident execution) เพื่อคงการเข้าถึงในระยะยาว แคมเปญ Linux ใช้ Go-based downloader เพื่อติดตั้ง Ares RAT และมีการใช้ systemd user services เพื่อคงความต่อเนื่องในการเข้าถึงระบบ และยังพบเครื่องมือใหม่ชื่อ Desk RAT สำหรับการเฝ้าระวังผ่าน PowerPoint Add-Ins ซึ่งเน้นย้ำถึงการปรับตัวอย่างต่อเนื่องของผู้โจมตีในการแทรกซึมและเก็บรวบรวมข้อมูลข่าวกรอง
Severity: สูง
System Impact:
- Windows
- Linux
Technical Attack Steps:
- Initial Access: ใช้ spear-phishing และเอกสารที่มีมัลแวร์ฝังอยู่ (weaponized documents) เพื่อเข้าถึงระบบเป้าหมาย
- Windows Campaign: ส่งอีเมล phishing ที่มีไฟล์อันตรายเพื่อติดตั้ง Geta RAT โดยหลีกเลี่ยงการตรวจจับด้วยการใช้คอมโพเนนต์ Windows ที่ถูกต้องตามกฎหมาย เช่น mshta.exe และ XAML deserialization
- Linux Campaign: ใช้ Go-based downloader เพื่อติดตั้ง Ares RAT (Python-based remote access tool) ซึ่งดำเนินการโปรไฟล์ระบบอัตโนมัติและการส่งข้อมูลออกไปอย่างมีโครงสร้าง
- Persistence (Linux): ใช้ systemd user services เพื่อให้มัลแวร์คงอยู่ได้แม้มีการรีบูตระบบ และกลมกลืนกับการทำงานปกติของระบบ
- Surveillance: มีการใช้เครื่องมือใหม่ชื่อ Desk RAT ซึ่งถูกแจกจ่ายผ่าน malicious PowerPoint Add-Ins เพื่อวัตถุประสงค์ในการเฝ้าระวัง
Recommendations:
Short Term:
- ตรวจสอบการสร้างบริการที่ผิดปกติ (unusual service creations) โดยเฉพาะบนระบบ Linux (systemd user services)
- เฝ้าระวังความผิดปกติของเครือข่าย (network anomalies)
- ใช้ระบบกรองอีเมลที่มีประสิทธิภาพเพื่อตรวจจับและบล็อกอีเมล spear-phishing และเอกสารที่มีมัลแวร์
- เสริมสร้างการตรวจจับการใช้คอมโพเนนต์ Windows ที่ถูกต้องตามกฎหมายในทางที่ผิด (mshta.exe, XAML deserialization)
Long Term:
- สร้างความสามารถในการมองเห็น (visibility) ข้ามแพลตฟอร์มทั้งหมด (Windows, Linux)
- ให้ความสำคัญกับการตรวจจับกลไกการคงอยู่ของมัลแวร์ (persistence mechanisms)
- รักษาความพยายามในการป้องกันอย่างต่อเนื่องเพื่อต่อต้าน ‘ระบบนิเวศการจารกรรม’ (espionage ecosystems)
- เฝ้าระวังสัญญาณพฤติกรรมที่ละเอียดอ่อน (subtle behavioral signals)
- ติดตามข่าวสารและเครื่องมือเกิดใหม่ เช่น Desk RAT อย่างสม่ำเสมอ
Source: https://cybersecuritynews.com/apt36-hacker-group-attacking-linux-systems/
Share this content: