แฮกเกอร์ Evasive Panda ที่เชื่อมโยงกับจีน โจมตีด้วยการไฮแจ็ก DNS และแบ็คดอร์เฉพาะทางนานหลายปี

กลุ่มแฮกเกอร์ Evasive Panda (หรือ Bronze Highland) ที่เชื่อว่ามีความเชื่อมโยงกับประเทศจีน ได้ดำเนินแคมเปญโจมตีทางไซเบอร์แบบซับซ้อนมานานหลายปี (อย่างน้อยตั้งแต่ปี 2018 ถึง 2023) โดยใช้วิธีการไฮแจ็ก DNS ของเว็บไซต์หน่วยงานรัฐบาล กองทัพ และบริษัทเทคโนโลยีในเอเชียตะวันออกเฉียงใต้และปากีสถาน เพื่อหลอกให้เหยื่อดาวน์โหลดมัลแวร์เฉพาะทาง เช่น PortDoor และ FoundDoor เข้าสู่ระบบ เป้าหมายหลักของการโจมตีคือการจารกรรมข้อมูลและการสอดแนม โดยเฉพาะในกลุ่มเป้าหมายที่มีความอ่อนไหวสูง

Severity: สูง

System Impact:

• ระบบปฏิบัติการ Windows (เป้าหมายของการติดตั้งมัลแวร์)
• เซิร์ฟเวอร์ DNS และระบบจัดการโดเมน (เป้าหมายของการไฮแจ็ก)
• โครงสร้างพื้นฐานเครือข่ายของหน่วยงานภาครัฐ, กองทัพ, และบริษัทเทคโนโลยีในเอเชียตะวันออกเฉียงใต้ (ไทย, ลาว, ฟิลิปปินส์, ไต้หวัน) และปากีสถาน

Technical Attack Steps:

1. 1. การเข้าถึงเบื้องต้น: กลุ่มแฮกเกอร์ Evasive Panda คาดว่าใช้เทคนิคต่างๆ เช่น การโจมตีแบบฟิชชิ่ง, การโจมตีแบบ watering hole, หรือการใช้ประโยชน์จากช่องโหว่ เพื่อเข้าถึงระบบเป้าหมายหรือระบบจัดการ DNS.
2. 2. การไฮแจ็ก DNS: เปลี่ยนบันทึก DNS ของโดเมนที่ถูกต้องตามกฎหมายของหน่วยงานเป้าหมาย เพื่อเปลี่ยนเส้นทางการเข้าชมเว็บไซต์ไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ทำให้เหยื่อเข้าถึงหน้าเว็บที่เป็นอันตรายแทน.
3. 3. การแพร่กระจายมัลแวร์: เมื่อเหยื่อพยายามเข้าถึงเว็บไซต์ที่ถูกไฮแจ็ก พวกเขาจะถูกเปลี่ยนเส้นทางและถูกหลอกให้ดาวน์โหลดมัลแวร์เฉพาะทาง เช่น PortDoor หรือ FoundDoor ผ่านไดรฟ์-บายดาวน์โหลด (drive-by download) หรืออัปเดตปลอม.
4. 4. การติดตั้งแบ็คดอร์: มัลแวร์ PortDoor และ FoundDoor จะถูกติดตั้งบนระบบของเหยื่อ ทำให้ผู้โจมตีสามารถควบคุมจากระยะไกล, รวบรวมข้อมูล, เรียกใช้คำสั่งตามอำเภอใจ และทำการจารกรรมข้อมูลได้.
5. 5. การคงอยู่และการจารกรรม: ผู้โจมตีสร้างกลไกการคงอยู่ภายในเครือข่ายของเหยื่อ เพื่อดำเนินการสอดแนมและขโมยข้อมูลที่ละเอียดอ่อนอย่างต่อเนื่องในระยะยาว.

Recommendations:

Short Term:

• ตรวจสอบบันทึก DNS ของโดเมนที่สำคัญทั้งหมดอย่างสม่ำเสมอ เพื่อหาการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต หรือบันทึกที่ชี้ไปยัง IP address ที่ไม่รู้จัก.
• อัปเดตแพตช์และซอฟต์แวร์ความปลอดภัยบนระบบปฏิบัติการ, แอปพลิเคชัน, และอุปกรณ์เครือข่ายทั้งหมดให้เป็นปัจจุบันทันที เพื่อปิดช่องโหว่ที่อาจถูกใช้โจมตี.
• เฝ้าระวังการเชื่อมต่อเครือข่ายขาออกที่ผิดปกติไปยัง IP address หรือโดเมนที่ไม่รู้จัก หรือการสื่อสารไปยังเซิร์ฟเวอร์ C2 ที่ระบุในข่าวกรองภัยคุกคาม.
• ให้ความรู้แก่ผู้ใช้งานเกี่ยวกับการโจมตีแบบฟิชชิ่ง, การระบุเว็บไซต์ปลอมแปลง, และความเสี่ยงจากการดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ.

Long Term:

• ใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับการเข้าถึงระบบที่สำคัญ, บัญชีผู้ดูแลระบบ, และระบบจัดการ DNS/โดเมนทั้งหมด.
• ใช้การแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการแพร่กระจายของมัลแวร์ภายในองค์กร และแยกเครือข่ายที่สำคัญออกจากส่วนอื่นๆ.
• ติดตั้งและบำรุงรักษาระบบ EDR/XDR (Endpoint Detection and Response / Extended Detection and Response) ที่แข็งแกร่งบนเครื่องปลายทางทั้งหมด เพื่อตรวจจับและตอบสนองต่อภัยคุกคามขั้นสูง.
• ทำการตรวจสอบความปลอดภัยและทดสอบเจาะระบบ (Penetration Testing) อย่างสม่ำเสมอ เพื่อระบุช่องโหว่และเสริมสร้างมาตรการป้องกัน.
• สมัครรับข่าวกรองภัยคุกคาม (Threat Intelligence) จากแหล่งที่น่าเชื่อถือ เพื่อรับทราบข้อมูลเกี่ยวกับวิธีการโจมตีล่าสุด, ตัวชี้วัดการบุกรุก (IoCs), และพฤติกรรมของกลุ่ม APT ต่างๆ.

Source: https://thehackernews.com/2025/12/china-linked-evasive-panda-ran-dns.html