กลุ่มสายลับไซเบอร์ใหม่ชื่อ Vortex Werewolf เริ่มโจมตีเป้าหมายรัฐบาลและองค์กรป้องกันประเทศของรัสเซียตั้งแต่เดือนธันวาคม 2025 โดยใช้การหลอกลวงทางสังคมและเครื่องมือซอฟต์แวร์ที่ถูกต้องตามกฎหมายเพื่อเจาะเครือข่ายที่ปลอดภัย เป้าหมายหลักคือการสร้างการเข้าถึงระยะไกลอย่างต่อเนื่องและลับๆ ไปยังระบบที่ละเอียดอ่อนโดยใช้โปรโตคอลที่ปิดบังตัวตนผ่านเครือข่าย Tor
Severity: สูง
System Impact:
- เครือข่ายที่ปลอดภัย (Secure Networks)
- ระบบที่ละเอียดอ่อน (Sensitive Systems)
- โครงสร้างพื้นฐานของเหยื่อ (Victim’s Infrastructure)
- โปรโตคอล Remote Desktop Protocol (RDP)
- โปรโตคอล Server Message Block (SMB)
- โปรโตคอล SSH File Transfer Protocol (SFTP)
- โปรโตคอล Secure Shell (SSH)
Technical Attack Steps:
- เริ่มต้นด้วยอีเมลฟิชชิ่งที่มีลิงก์อันตราย โดยปลอมแปลงเป็นแจ้งเตือนการแชร์ไฟล์จากบริการที่เชื่อถือได้ เช่น Telegram
- เหยื่อคลิกลิงก์และถูกเปลี่ยนเส้นทางไปยังหน้าเว็บปลอมที่เลียนแบบหน้าดาวน์โหลดไฟล์ของ Telegram
- หน้าเว็บฟิชชิ่งหลอกให้เหยื่อกรอกเบอร์โทรศัพท์และรหัสยืนยันการเข้าสู่ระบบ ซึ่งส่งผลให้เซสชันของเหยื่อถูกขโมย
- หลังจากขโมยข้อมูลเซสชันสำเร็จ หน้าฟิชชิ่งจะเปลี่ยนเส้นทางผู้ใช้ไปยังบริการโฮสติ้งไฟล์ที่ถูกต้องตามกฎหมาย (เช่น Dropbox) เพื่อดาวน์โหลดไฟล์ ZIP ที่มีมัลแวร์
- ไฟล์ ZIP ที่ดาวน์โหลดมามีไฟล์ LNK ที่ปลอมแปลงขึ้น
- เมื่อเปิดไฟล์ LNK จะเรียกใช้งานสคริปต์ PowerShell
- สคริปต์ PowerShell จะทำการตรวจสอบสภาพแวดล้อมเพื่อหลบเลี่ยง Sandbox
- ติดตั้งส่วนประกอบ Tor และ OpenSSH ที่จำเป็นสำหรับการสร้างช่องทางการสั่งการและควบคุม (Command and Control) ที่เข้ารหัส
- สร้างการเข้าถึงระยะไกลอย่างต่อเนื่องผ่านโปรโตคอล RDP, SMB, SFTP และ SSH โดยใช้ Tor Hidden Services เพื่อปกปิดกิจกรรม
- สร้าง Scheduled Tasks ภายในระบบปฏิบัติการ Windows เพื่อให้ Tor client และ SSH server ทำงานโดยอัตโนมัติ เพื่อรักษาการเข้าถึงระยะยาวไปยังโครงสร้างพื้นฐานของเหยื่อ
Recommendations:
Short Term:
- ใช้โซลูชันการกรองอีเมลที่มีประสิทธิภาพซึ่งใช้ Machine Learning เพื่อตรวจจับลิงก์ปลอมและการโจมตีแบบฟิชชิ่ง
- ตรวจสอบปลายทางของ URL ขาเข้าทั้งหมดอย่างเข้มงวดและบล็อกการรับส่งข้อมูลไปยังโดเมนที่ทราบว่าเป็นอันตราย
Long Term:
- เฝ้าระวังบันทึกเครือข่ายอย่างต่อเนื่องสำหรับการเชื่อมต่อ Tor หรือ SSH ที่ไม่ได้รับอนุญาต เพื่อการตรวจจับภัยคุกคามในระยะเริ่มต้น
Source: https://cybersecuritynews.com/vortex-werewolf-attacking-organizations/
Share this content: