แฮกเกอร์โจมตีผู้เชี่ยวชาญด้าน IT และ OSINT ด้วย PyStoreRAT ใหม่เพื่อเข้าถึงระยะไกล

ผู้เชี่ยวชาญด้าน Information Technology (IT) และ Open Source Intelligence (OSINT) กำลังตกเป็นเป้าหมายของการโจมตีซัพพลายเชนรูปแบบใหม่ที่ซับซ้อน โดยผู้โจมตีใช้ GitHub ซึ่งเป็นแพลตฟอร์มที่น่าเชื่อถือในการเผยแพร่แบ็คดอร์ที่ชื่อว่า PyStoreRAT แคมเปญนี้ใช้บัญชี GitHub ที่ไม่ได้ใช้งานมานานเพื่อสร้างความน่าเชื่อถือผ่านโปรเจกต์ซอฟต์แวร์ที่สร้างโดย AI ก่อนที่จะแทรกโค้ดแบ็คดอร์ที่สามารถเข้าถึงระบบจากระยะไกล ขโมยข้อมูล และหลีกเลี่ยงการตรวจจับจากโปรแกรม Antivirus ได้อย่างแนบเนียน พร้อมทั้งมีโครงสร้าง Command-and-Control (C2) ที่ยืดหยุ่นและปรับเปลี่ยนได้เพื่อคงการเข้าถึงอย่างต่อเนื่อง

Severity: วิกฤต

System Impact:

• ผู้ดูแลระบบ IT (Information Technology Administrators)
• ผู้เชี่ยวชาญด้าน Open Source Intelligence (OSINT)
• แพลตฟอร์ม GitHub (ถูกใช้เป็นช่องทางโจมตี)
• ระบบของเหยื่อ (Victim’s systems)
• เครือข่ายองค์กร (Organization’s network)

Technical Attack Steps:

1. ผู้โจมตีเปิดใช้งานบัญชี GitHub ที่ไม่ได้ใช้งานมาหลายปี
2. เผยแพร่โปรเจกต์ซอฟต์แวร์ที่สร้างโดย AI ที่ดูน่าเชื่อถือ เช่น บอทคริปโต, GPT wrappers, เครื่องมือความปลอดภัยอื่นๆ บน GitHub
3. โปรเจกต์เหล่านี้ได้รับความนิยมและติดอันดับ ‘trending’ บน GitHub เพื่อดึงดูดเป้าหมาย
4. แทรกโค้ดแบ็คดอร์ PyStoreRAT ผ่าน ‘maintenance’ commits ที่แนบเนียน
5. PyStoreRAT ทำหน้าที่เป็น loader อเนกประสงค์ เพื่อเก็บข้อมูลโปรไฟล์ระบบของเหยื่อและติดตั้ง payload เพิ่มเติม
6. หนึ่งใน payload หลักคือ Rhadamanthys stealer ซึ่งใช้ในการขโมยข้อมูลที่ละเอียดอ่อน
7. มัลแวร์มีความสามารถในการแพร่กระจายผ่านไดรฟ์แบบถอดได้ (removable drives)
8. PyStoreRAT มีความสามารถในการปรับตัวเพื่อหลีกเลี่ยงการตรวจจับ โดยจะตรวจสอบการมีอยู่ของผลิตภัณฑ์ Antivirus เฉพาะ (เช่น CrowdStrike Falcon, ReasonLabs) และเปลี่ยนเทคนิคการทำงานหากตรวจพบ
9. โครงสร้าง Command-and-Control (C2) ใช้โหนดแบบหมุนเวียน ทำให้ยากต่อการติดตามและหยุดการทำงาน

Recommendations:

Short Term:

• ตรวจสอบอย่างละเอียดถึงแหล่งที่มาของซอฟต์แวร์ โดยเฉพาะอย่างยิ่งจากบัญชี GitHub ที่เพิ่งเปิดใช้งานใหม่ หรือกลับมาใช้งานอีกครั้ง
• ระมัดระวังเป็นพิเศษต่อโปรเจกต์ที่อ้างว่า ‘มีประโยชน์’ แต่มาจากแหล่งที่ไม่คุ้นเคยหรือไม่ได้รับการยืนยัน
• ใช้โซลูชัน Endpoint Detection and Response (EDR) ที่เน้นการตรวจจับพฤติกรรมที่ผิดปกติ มากกว่าการพึ่งพาลายเซ็น (signatures) เพียงอย่างเดียว เพื่อรับมือกับภัยคุกคามที่ปรับตัวได้

Long Term:

• ให้การฝึกอบรมด้านความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์แก่บุคลากร IT และ OSINT อย่างสม่ำเสมอ โดยเน้นภัยคุกคามจากซัพพลายเชน (supply chain attacks) และการหลอกลวง (social engineering)
• บังคับใช้นโยบายความปลอดภัยของซัพพลายเชนซอฟต์แวร์ที่เข้มงวด รวมถึงการตรวจสอบความสมบูรณ์ของโค้ด และการใช้เครื่องมือสแกนช่องโหว่ (vulnerability scanning) ก่อนนำไปใช้งาน
• ปรับปรุงและอัปเดตระบบป้องกัน Antivirus และ EDR ให้ทันสมัยอยู่เสมอ เพื่อให้สามารถตรวจจับและตอบสนองต่อมัลแวร์ใหม่ๆ ได้อย่างมีประสิทธิภาพ
• ใช้การแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการแพร่กระจายของมัลแวร์ภายในองค์กร หากเกิดการโจมตีขึ้น
• สำรองข้อมูลสำคัญอย่างสม่ำเสมอและทดสอบแผนการกู้คืนข้อมูล เพื่อลดผลกระทบหากระบบถูกโจมตี

Source: https://cybersecuritynews.com/hackers-attacking-it-osint-professionals/