GravityRAT ที่มีความสามารถในการเข้าถึงระยะไกลโจมตีระบบ Windows, Android และ macOS

GravityRAT เป็น Remote Access Trojan (RAT) ที่กำหนดเป้าหมายหน่วยงานรัฐบาลและองค์กรทางทหารมาตั้งแต่ปี 2016 มัลแวร์นี้เริ่มต้นจากการเป็นภัยคุกคามเฉพาะ Windows แต่ได้พัฒนาเป็นเครื่องมือข้ามแพลตฟอร์มที่สามารถโจมตีระบบ Windows, Android และ macOS ได้ มัลแวร์แพร่กระจายโดยใช้แอปพลิเคชันปลอมและอีเมลหลอกลวง ทำให้ผู้ใช้ทั่วไปยากที่จะตรวจจับอันตราย GravityRAT มีเทคนิคการหลีกเลี่ยงการตรวจจับขั้นสูง เช่น การตรวจสอบอุณหภูมิ CPU เพื่อระบุสภาพแวดล้อมการทดสอบความปลอดภัย และยังคงใช้งานได้ตั้งแต่ปี 2022-2024 โดยกลุ่มแฮกเกอร์ที่มีทักษะซึ่งมีเป้าหมายและทรัพยากรที่ชัดเจน

Severity: วิกฤต

System Impact:

• ระบบปฏิบัติการ Windows
• ระบบปฏิบัติการ Android
• ระบบปฏิบัติการ macOS
• หน่วยงานราชการ
• องค์กรทางทหาร
• ผู้รับเหมาด้านการป้องกันประเทศ
• สถาบันการศึกษา
• ธุรกิจต่างๆ

Technical Attack Steps:

1. การแพร่กระจาย: มัลแวร์แพร่กระจายโดยปลอมตัวเป็นแอปพลิเคชันที่ถูกต้อง เช่น แอปส่งข้อความหรือเครื่องมือแชร์ไฟล์ ผ่านอีเมลหลอกลวง
2. การติดตั้ง: เมื่อผู้ใช้ดาวน์โหลดและเปิดแอปปลอมเหล่านี้ GravityRAT จะติดตั้งตัวเองบนอุปกรณ์อย่างลับๆ
3. การหลีกเลี่ยงการตรวจจับ (Evasion): มัลแวร์จะตรวจสอบสภาพแวดล้อมเพื่อหลีกเลี่ยงการถูกตรวจจับในระบบทดสอบความปลอดภัย โดยการตรวจสอบอุณหภูมิ CPU (MSAcpi_ThermalZoneTemperature), เวอร์ชัน BIOS, หลักฐานของซอฟต์แวร์จำลอง (virtualization software), จำนวนคอร์ CPU และ MAC address ที่เกี่ยวข้องกับระบบเสมือน หากตรวจพบว่าเป็นสภาพแวดล้อมทดสอบ จะหยุดทำงานเพื่อซ่อนพฤติกรรมที่เป็นอันตราย
4. การคงอยู่ของระบบ (Persistence): สร้างงานที่กำหนดเวลาไว้ (scheduled tasks) เพื่อให้ทำงานโดยอัตโนมัติเมื่อระบบเริ่มต้น
5. การรวบรวมข้อมูล: รวบรวมข้อมูลที่ละเอียดอ่อน เช่น เอกสาร, รูปภาพ, ข้อความ, การสำรองข้อมูล WhatsApp, รายละเอียดซิมการ์ด, บันทึก SMS, บันทึกการโทร และไฟล์ที่มีนามสกุล .jpg, .pdf, .txt
6. การส่งข้อมูล: ข้อมูลที่ถูกขโมยจะถูกบรรจุในไฟล์ ZIP และส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C2) ผ่านการเชื่อมต่อ HTTPS ที่เข้ารหัส
7. การจัดการ: แฮกเกอร์ใช้เครื่องมือที่เรียกว่า GravityAdmin เพื่อจัดการอุปกรณ์ที่ติดเชื้อทั้งหมดจากส่วนกลาง รวมถึงการควบคุมแคมเปญที่มีรหัสต่างๆ เช่น FOXTROT, CLOUDINFINITY และ CHATICO

Recommendations:

Short Term:

• ตรวจสอบความถูกต้องของแอปพลิเคชันอย่างรอบคอบก่อนดาวน์โหลด โดยเฉพาะจากแหล่งที่ไม่เป็นทางการและอีเมลที่ไม่รู้จัก
• ติดตั้งและอัปเดตซอฟต์แวร์ป้องกันมัลแวร์ (Antivirus/EDR) บนทุกระบบปฏิบัติการ (Windows, Android, macOS)
• สำรองข้อมูลสำคัญอย่างสม่ำเสมอและตรวจสอบความสมบูรณ์ของข้อมูลสำรอง
• ตรวจสอบการทำงานที่ผิดปกติของระบบ เช่น อุณหภูมิ CPU ที่สูงผิดปกติ หรือแอปพลิเคชันที่ไม่รู้จักที่รันอยู่

Long Term:

• ให้ความรู้แก่ผู้ใช้งานอย่างต่อเนื่องเกี่ยวกับการระบุแอปพลิเคชันปลอม, เทคนิคฟิชชิ่ง และภัยคุกคามทางโซเชียลเอ็นจิเนียริงอื่นๆ
• ใช้โซลูชัน Endpoint Detection and Response (EDR) ขั้นสูงเพื่อตรวจจับ, วิเคราะห์ และตอบสนองต่อภัยคุกคามแบบเรียลไทม์
• สร้างนโยบายความปลอดภัยที่เข้มงวดสำหรับการดาวน์โหลดแอปพลิเคชันและการจัดการอีเมล รวมถึงการจำกัดการติดตั้งซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ
• ทำการอัปเดตระบบปฏิบัติการ, แอปพลิเคชัน และซอฟต์แวร์ทั้งหมดให้เป็นเวอร์ชันล่าสุดอยู่เสมอเพื่อแก้ไขช่องโหว่
• ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) สำหรับบัญชีสำคัญทั้งหมด
• จำกัดสิทธิ์การเข้าถึงข้อมูลตามหลักการ Least Privilege เพื่อลดผลกระทบหากเกิดการละเมิด
• จัดตั้งระบบเฝ้าระวังภัยคุกคาม (Threat Intelligence) เพื่อติดตามวิธีการโจมตีใหม่ๆ ของ GravityRAT หรือมัลแวร์อื่น ๆ

Source: https://cybersecuritynews.com/gravityrat-with-remote-access-capabilities/