GravityRAT เป็น Remote Access Trojan (RAT) ที่กำหนดเป้าหมายหน่วยงานรัฐบาลและองค์กรทางทหารมาตั้งแต่ปี 2016 มัลแวร์นี้เริ่มต้นจากการเป็นภัยคุกคามเฉพาะ Windows แต่ได้พัฒนาเป็นเครื่องมือข้ามแพลตฟอร์มที่สามารถโจมตีระบบ Windows, Android และ macOS ได้ มัลแวร์แพร่กระจายโดยใช้แอปพลิเคชันปลอมและอีเมลหลอกลวง ทำให้ผู้ใช้ทั่วไปยากที่จะตรวจจับอันตราย GravityRAT มีเทคนิคการหลีกเลี่ยงการตรวจจับขั้นสูง เช่น การตรวจสอบอุณหภูมิ CPU เพื่อระบุสภาพแวดล้อมการทดสอบความปลอดภัย และยังคงใช้งานได้ตั้งแต่ปี 2022-2024 โดยกลุ่มแฮกเกอร์ที่มีทักษะซึ่งมีเป้าหมายและทรัพยากรที่ชัดเจน
Severity: วิกฤต
System Impact:
- ระบบปฏิบัติการ Windows
- ระบบปฏิบัติการ Android
- ระบบปฏิบัติการ macOS
- หน่วยงานราชการ
- องค์กรทางทหาร
- ผู้รับเหมาด้านการป้องกันประเทศ
- สถาบันการศึกษา
- ธุรกิจต่างๆ
Technical Attack Steps:
- การแพร่กระจาย: มัลแวร์แพร่กระจายโดยปลอมตัวเป็นแอปพลิเคชันที่ถูกต้อง เช่น แอปส่งข้อความหรือเครื่องมือแชร์ไฟล์ ผ่านอีเมลหลอกลวง
- การติดตั้ง: เมื่อผู้ใช้ดาวน์โหลดและเปิดแอปปลอมเหล่านี้ GravityRAT จะติดตั้งตัวเองบนอุปกรณ์อย่างลับๆ
- การหลีกเลี่ยงการตรวจจับ (Evasion): มัลแวร์จะตรวจสอบสภาพแวดล้อมเพื่อหลีกเลี่ยงการถูกตรวจจับในระบบทดสอบความปลอดภัย โดยการตรวจสอบอุณหภูมิ CPU (MSAcpi_ThermalZoneTemperature), เวอร์ชัน BIOS, หลักฐานของซอฟต์แวร์จำลอง (virtualization software), จำนวนคอร์ CPU และ MAC address ที่เกี่ยวข้องกับระบบเสมือน หากตรวจพบว่าเป็นสภาพแวดล้อมทดสอบ จะหยุดทำงานเพื่อซ่อนพฤติกรรมที่เป็นอันตราย
- การคงอยู่ของระบบ (Persistence): สร้างงานที่กำหนดเวลาไว้ (scheduled tasks) เพื่อให้ทำงานโดยอัตโนมัติเมื่อระบบเริ่มต้น
- การรวบรวมข้อมูล: รวบรวมข้อมูลที่ละเอียดอ่อน เช่น เอกสาร, รูปภาพ, ข้อความ, การสำรองข้อมูล WhatsApp, รายละเอียดซิมการ์ด, บันทึก SMS, บันทึกการโทร และไฟล์ที่มีนามสกุล .jpg, .pdf, .txt
- การส่งข้อมูล: ข้อมูลที่ถูกขโมยจะถูกบรรจุในไฟล์ ZIP และส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C2) ผ่านการเชื่อมต่อ HTTPS ที่เข้ารหัส
- การจัดการ: แฮกเกอร์ใช้เครื่องมือที่เรียกว่า GravityAdmin เพื่อจัดการอุปกรณ์ที่ติดเชื้อทั้งหมดจากส่วนกลาง รวมถึงการควบคุมแคมเปญที่มีรหัสต่างๆ เช่น FOXTROT, CLOUDINFINITY และ CHATICO
Recommendations:
Short Term:
- ตรวจสอบความถูกต้องของแอปพลิเคชันอย่างรอบคอบก่อนดาวน์โหลด โดยเฉพาะจากแหล่งที่ไม่เป็นทางการและอีเมลที่ไม่รู้จัก
- ติดตั้งและอัปเดตซอฟต์แวร์ป้องกันมัลแวร์ (Antivirus/EDR) บนทุกระบบปฏิบัติการ (Windows, Android, macOS)
- สำรองข้อมูลสำคัญอย่างสม่ำเสมอและตรวจสอบความสมบูรณ์ของข้อมูลสำรอง
- ตรวจสอบการทำงานที่ผิดปกติของระบบ เช่น อุณหภูมิ CPU ที่สูงผิดปกติ หรือแอปพลิเคชันที่ไม่รู้จักที่รันอยู่
Long Term:
- ให้ความรู้แก่ผู้ใช้งานอย่างต่อเนื่องเกี่ยวกับการระบุแอปพลิเคชันปลอม, เทคนิคฟิชชิ่ง และภัยคุกคามทางโซเชียลเอ็นจิเนียริงอื่นๆ
- ใช้โซลูชัน Endpoint Detection and Response (EDR) ขั้นสูงเพื่อตรวจจับ, วิเคราะห์ และตอบสนองต่อภัยคุกคามแบบเรียลไทม์
- สร้างนโยบายความปลอดภัยที่เข้มงวดสำหรับการดาวน์โหลดแอปพลิเคชันและการจัดการอีเมล รวมถึงการจำกัดการติดตั้งซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ
- ทำการอัปเดตระบบปฏิบัติการ, แอปพลิเคชัน และซอฟต์แวร์ทั้งหมดให้เป็นเวอร์ชันล่าสุดอยู่เสมอเพื่อแก้ไขช่องโหว่
- ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) สำหรับบัญชีสำคัญทั้งหมด
- จำกัดสิทธิ์การเข้าถึงข้อมูลตามหลักการ Least Privilege เพื่อลดผลกระทบหากเกิดการละเมิด
- จัดตั้งระบบเฝ้าระวังภัยคุกคาม (Threat Intelligence) เพื่อติดตามวิธีการโจมตีใหม่ๆ ของ GravityRAT หรือมัลแวร์อื่น ๆ
Source: https://cybersecuritynews.com/gravityrat-with-remote-access-capabilities/
Share this content: