กลุ่มผู้ไม่ประสงค์ดีได้เปิดตัวแคมเปญมัลแวร์ที่ซับซ้อน มุ่งเป้าไปที่บุคลากรกองกำลังป้องกันของยูเครน โดยใช้ปฏิบัติการการกุศลปลอมเป็นฉากบังหน้าเพื่อแพร่กระจาย PLUGGYAPE ซึ่งเป็นแบ็คดอร์ที่ใช้ Python การโจมตีดำเนินการระหว่างเดือนตุลาคมถึงธันวาคม 2025 และอาศัยวิศวกรรมสังคมผ่านเว็บไซต์การกุศลปลอมเพื่อหลอกให้เหยื่อดาวน์โหลดไฟล์ปฏิบัติการที่ปลอมเป็นเอกสารสำคัญ แคมเปญนี้แสดงให้เห็นถึงการใช้กลวิธีหลอกลวงควบคู่ไปกับการปรับปรุงมัลแวร์เพื่อหลีกเลี่ยงการตรวจจับ
Severity: สูง
System Impact:
- ระบบปฏิบัติการ Windows (เนื่องจากมีการใช้ Windows Run registry, ไฟล์ .exe/.pif)
- เครือข่ายของกองกำลังป้องกันยูเครน
- อุปกรณ์ของบุคลากรทางการทหาร
Technical Attack Steps:
- 1. **Initial Contact:** ผู้โจมตีส่งข้อความผ่านแอปพลิเคชันส่งข้อความทันที ชักชวนเป้าหมายให้เข้าชมเว็บไซต์มูลนิธิการกุศลปลอม
- 2. **Malware Delivery:** เมื่อเหยื่อเข้าสู่เว็บไซต์ปลอม จะถูกหลอกให้ดาวน์โหลดไฟล์ที่ดูเหมือนเอกสารทั่วไป แต่แท้จริงแล้วเป็นไฟล์ปฏิบัติการ (.docx.pif หรือ .pdf.exe) ที่ซ่อนอยู่ในไฟล์เก็บถาวรที่ป้องกันด้วยรหัสผ่านเพื่อหลีกเลี่ยงการตรวจจับ
- 3. **Device Identification:** เมื่อ PLUGGYAPE ถูกเรียกใช้ จะสร้างตัวระบุอุปกรณ์เฉพาะโดยการรวบรวมข้อมูลคอมพิวเตอร์พื้นฐาน (ที่อยู่ MAC, หมายเลขซีเรียล BIOS, ID ดิสก์, ID โปรเซสเซอร์) และเข้ารหัสด้วย SHA-256
- 4. **Persistence:** แบ็คดอร์สร้างรายการใน Windows Run registry เพื่อให้แน่ใจว่ามัลแวร์จะทำงานโดยอัตโนมัติทุกครั้งที่ระบบที่ติดเชื้อมัลแวร์รีสตาร์ท
- 5. **Command and Control (C2) Communication:** มัลแวร์สื่อสารกับเซิร์ฟเวอร์ควบคุมผ่าน Web Sockets หรือโปรโตคอล MQTT โดยส่งข้อมูลในรูปแบบ JSON โดยในเวอร์ชันแรกจะเชื่อมต่อโดยตรงกับ IP ที่ฮาร์ดโค้ดไว้ แต่ต่อมาได้พัฒนาไปสู่การซ่อนที่อยู่บนบริการ Paste สาธารณะ เช่น Pastebin และ Rentry โดยเข้ารหัส Base64
- 6. **Evolution of Malware:** มีการพบเวอร์ชันที่ได้รับการปรับปรุง (PLUGGYAPE.V2) ซึ่งรวมถึงการปกปิดที่ดียิ่งขึ้นและการตรวจสอบสภาพแวดล้อม Virtual Machine เพื่อหลีกเลี่ยงการตรวจจับ
Recommendations:
Short Term:
- **การฝึกอบรมด้านความปลอดภัย:** ให้ความรู้แก่บุคลากรกองกำลังป้องกันเกี่ยวกับความเสี่ยงของวิศวกรรมสังคม, การหลอกลวงแบบฟิชชิง, และวิธีการตรวจสอบเว็บไซต์และไฟล์ที่น่าสงสัย
- **การตรวจสอบไฟล์แนบ:** ตรวจสอบไฟล์แนบและลิงก์ทั้งหมดอย่างละเอียดก่อนเปิด โดยเฉพาะอย่างยิ่งจากแหล่งที่ไม่รู้จักหรือน่าสงสัย
- **การใช้ Antivirus/EDR:** ตรวจสอบให้แน่ใจว่ามีการติดตั้งและอัปเดตซอฟต์แวร์ป้องกันมัลแวร์ (Antivirus/EDR) บนทุกระบบ
- **การใช้โซลูชันอีเมลและเว็บเกตเวย์ที่ปลอดภัย:** ปรับใช้และตั้งค่าโซลูชันที่สามารถตรวจจับและบล็อกเนื้อหาที่เป็นอันตรายในอีเมลและทราฟฟิกเว็บ
- **การสำรองข้อมูล:** ตรวจสอบให้แน่ใจว่ามีการสำรองข้อมูลที่สำคัญเป็นประจำและสามารถกู้คืนได้
- **การเปลี่ยนรหัสผ่าน:** แนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านทันที หากสงสัยว่าบัญชีถูกบุกรุก
Long Term:
- **การใช้ Multi-Factor Authentication (MFA):** บังคับใช้ MFA สำหรับทุกบัญชีที่มีความสำคัญ
- **การจัดการช่องโหว่และการแพตช์:** อัปเดตระบบปฏิบัติการ ซอฟต์แวร์ และแอปพลิเคชันทั้งหมดอย่างสม่ำเสมอ
- **การแบ่งส่วนเครือข่าย (Network Segmentation):** แบ่งเครือข่ายออกเป็นส่วนย่อย ๆ เพื่อจำกัดการแพร่กระจายของมัลแวร์หากเกิดการติดเชื้อ
- **การตรวจสอบและบันทึกเหตุการณ์ (Logging and Monitoring):** ปรับปรุงความสามารถในการรวบรวมบันทึกและตรวจสอบกิจกรรมเครือข่ายและระบบอย่างต่อเนื่องเพื่อตรวจจับความผิดปกติ
- **การฝึกอบรมด้านความมั่นคงปลอดภัยไซเบอร์อย่างต่อเนื่อง:** จัดโปรแกรมการฝึกอบรมที่ครอบคลุมและต่อเนื่องสำหรับบุคลากรทั้งหมด
- **การใช้ Zero Trust Architecture:** พิจารณาการนำแนวคิด Zero Trust มาใช้เพื่อตรวจสอบความถูกต้องของทุกการเข้าถึงทรัพยากร
- **การวิเคราะห์ภัยคุกคาม (Threat Intelligence):** ติดตามข่าวสารภัยคุกคามล่าสุดและข้อมูลเกี่ยวกับกลุ่มผู้โจมตีอย่าง UAC-0190 เพื่อปรับปรุงมาตรการป้องกัน
Source: https://cybersecuritynews.com/threat-actors-targeting-ukraines-defense-forces/
Share this content: