กลุ่มแฮกเกอร์ UAT-7290 โจมตีโครงสร้างพื้นฐานสำคัญในเอเชียใต้และยุโรป

กลุ่มแฮกเกอร์ UAT-7290 ซึ่งเชื่อมโยงกับรัฐบาลจีน ได้โจมตีบริษัทโทรคมนาคมและโครงสร้างพื้นฐานสำคัญในเอเชียใต้อย่างต่อเนื่องตั้งแต่ปี 2022 และขยายการโจมตีไปยังยุโรปตะวันออกเฉียงใต้ กลุ่มนี้ใช้มัลแวร์ที่ซับซ้อน เช่น RushDrop, DriveSwitch, และ SilentRaid เพื่อเจาะระบบ Linux และรักษาการเข้าถึงอย่างต่อเนื่อง โดยเน้นการซ่อนกิจกรรมภายในทราฟฟิกเครือข่ายปกติ

Severity: วิกฤต

System Impact:

• บริษัทโทรคมนาคมในเอเชียใต้
• โครงสร้างพื้นฐานสำคัญในเอเชียใต้
• ระบบ Linux ที่ใช้ในอุปกรณ์เครือข่าย Edge (Edge Networking Devices)
• เป้าหมายในยุโรปตะวันออกเฉียงใต้

Technical Attack Steps:

1. **การวางแผนและการสอดแนม (Planning and Technical Reconnaissance):** UAT-7290 เริ่มต้นด้วยการวางแผนอย่างรอบคอบและการสอดแนมทางเทคนิคเพื่อทำความเข้าใจเป้าหมาย
2. **วิธีการโจมตีเริ่มต้น (Initial Attack Methods):** ใช้การโจมตีหลายรูปแบบ รวมถึงการใช้ช่องโหว่ด้านความปลอดภัยที่รู้จัก (exploiting known security weaknesses) และการโจมตีแบบ Brute Force บนระบบที่เชื่อมต่ออินเทอร์เน็ต
3. **การเป็นผู้ให้การเข้าถึงเริ่มต้น (Initial Access Provider):** กลุ่มนี้ยังทำหน้าที่เป็นผู้จัดหาช่องทางเข้าถึงเริ่มต้น ซึ่งหมายถึงการเจาะระบบเพื่อให้กลุ่มแฮกเกอร์อื่นสามารถใช้สำหรับการปฏิบัติการของตนเองได้
4. **การรัน RushDrop:** เมื่อ RushDrop ถูกรันบนระบบ จะทำการตรวจสอบว่ากำลังทำงานในสภาพแวดล้อมจริงหรือในสภาพแวดล้อมทดสอบ (VM checks) เพื่อหลีกเลี่ยงการตรวจจับ
5. **การสร้างโฟลเดอร์และแตกไฟล์ (Folder Creation and Unpacking):** หากการตรวจสอบผ่าน RushDrop จะสร้างโฟลเดอร์ที่ซ่อนชื่อ “.pkgdb” และแตกไฟล์สามส่วนประกอบลงในตำแหน่งนี้ ได้แก่ “chargen” (ซึ่งคือ SilentRaid) และ “busybox” (เครื่องมือ Linux ที่ถูกต้องตามกฎหมายที่ใช้รันคำสั่ง)
6. **การทำงานของ SilentRaid:** SilentRaid ทำงานโดยใช้ระบบปลั๊กอินแบบโมดูลาร์ เพื่อเปิด Remote Shells, Forward Internet Ports และจัดการไฟล์บนระบบที่ติดเชื้อ
7. **การสื่อสารกับ C2 (Command and Control):** SilentRaid สื่อสารกับเซิร์ฟเวอร์ควบคุมโดยใช้ชื่อโดเมนและบริการ Google Public DNS (8.8.8.8) เพื่อค้นหาที่อยู่ของเซิร์ฟเวอร์ วิธีการสื่อสารนี้ช่วยให้มัลแวร์ซ่อนกิจกรรมของตนภายในทราฟฟิกอินเทอร์เน็ตที่ดูปกติ
8. **ความยืดหยุ่นด้วยระบบปลั๊กอิน:** ระบบปลั๊กอินช่วยให้ผู้โจมตีสามารถผสมผสานเครื่องมือต่าง ๆ ได้ในระหว่างการคอมไพล์ ทำให้มีความยืดหยุ่นในการปรับแต่งการโจมตีสำหรับแต่ละเป้าหมาย

Recommendations:

Short Term:

Long Term:

Source: https://cybersecuritynews.com/uat-7290-hackers-attacking-critical-infrastructure/