Lazarus APT ของเกาหลีเหนือใช้ประโยชน์จากไคลเอนต์ในรูปแบบ Windows Update และอาศัย GitHub เป็นตัวควบคุมการโจมตี

          ในปัจจุบันเทคนิคการโจมตีทางด้านไซเบอร์ ได้มีการอาศัยเทคนิคการโจมตีเป้าหมายโดยการใช้แนวคิดพื้นฐานของเรื่อง Malware ขั้นสูงที่เรียกว่า Advance Persistent Treat (APT) เป็นจำนวนมากขึ้น ซึ่งครั้งนี้ กลุ่ม Lazarus หรือกลุ่มอาชญากรไซเบอร์ที่ประกอบด้วยบุคคลที่ไม่ทราบจำนวนซึ่งดำเนินการโดยเกาหลีได้มีการสร้างไวรัสชั้นสูงหรือ APT ที่มีชื่อเดียวกันว่า Lazarus ขึ้นมา

          Lazarus APT ตัวนี้เป็นรูปแบบหนึ่งของการโจมตีชั้นสูง ที่ทางเกาหลีเหนือใช้ในการโจมตี ซึ่งการโจมตีนี้ มีความซับซ้อนมากที่สุดที่ตั้งแต่มีการเปิดตัวมาในปี 2019 และเป็นที่จับตามองจากทั่วโลกถึงความอันตราย ซึ่งรูปแบบการโจมตีในครั้งนี้ อาศัยเรื่อง Window Update ในการหลอกลวงผู้คน โดยมีการเริ่มต้นด้วย spear phishing attacks หรืออีเมลหลอกลวงว่า มี Patch ใหม่จากทาง Microsoft ที่จำเป็นเร่งด่วน ควรต้องรีบอัพเดตทันทีเพื่อป้องกันไวรัสหรือปิดช่องโหว่ต่างๆ ซึ่งในความเป็นจริง มีการแอบแฝง malware  มาพร้อมกับเอกสารแนบในอีเมล โดยเอกสารได้หลอกลองว่ามาจากบริษัท ล็อกฮีด มาร์ติน ยักษ์ใหญ่ด้านอวกาศและอวกาศของอเมริกา ซึ่งเมื่อคนกดดาวน์โหลดไฟล์แนบในอีเมลเหล่านั้น ก็จะเป็นการเปิดโอกาสในการทำงาน โดยมีหน้าตาเหมือน Windows Update ทุกประการ แต่ในการทำงานเบื้องหลัง จะเป็นการรันเพย์โหลดที่เป็นอันตราย เพื่อทำให้เครื่องเหล่านั้นโดนเข้าถึงและควบคุมระบบได้อย่างเบ็ดเสร็จ และในการควบคุมเหล่านั้น จะควบคุมผ่าน GitHub ซึ่งเป็นเครื่องแม่ข่ายในการสั่งการคำสั่งและควบคุมในการโจมตี  ทั้งนี้เอกสารที่มีไฟล์แนบแสนอันตรายที่ใช้ในหลอกลวงเพื่อการโจมตี มักจะประกอบด้วย เอกสารที่ใช้ในการล่อให้คนกดดาวน์โหลดดังต่อไปนี้

• Lockheed_Martin_JobOpportunities.docx
• Salary_Lockheed_Martin_job_opportunities_confidential.doc

โดยมีการพบการโจมตีในรูปแบบนี้ค่อนข้างมาช่วงประมาณปลายเดือนธันวาคม 2564 และต้นปี พ.ศ 2565

 

จากแผนผังการทำงานด้านบน เป็นการบ่งชี้ถึงรูปแบบและขั้นตอนการโจมตีอย่างละเอียด ซึ่งรายละเอียดการโจมตีเหล่านี้ สามารถดูเพิ่มเติมได้ที่นี่

 

สรุปรูปแบบการโจมตี

Lazarus APT ตัวนี้อาศัยความตื่นตระหนก และการขาดความระวังในการใช้งานเอกสารที่หลอกลวงด้วยชื่อที่คาดว่าคนน่าจะกดดาวน์โหลด โดยการโจมตีนี้ อาจจะดูคล้าย Phishing แบบเดิมๆ แต่วิธีการที่ใช้ในการหลบหลีกการป้องกัน เป็นเทคนิคใหม่ ทำให้ระบบการกรองอีเมลที่เป็นสแปมเหล่านั้น ยากต่อการตรวจจับและกำจัดได้ และมีขั้นตอนการโจมตีที่มักพบได้เป็นประจำเช่น

• การใช้ KernelCallbackTable เพื่อเข้าควบคุมการทำงานและรันเชลล์โค้ด
• การใช้เครื่องลูกข่าย Windows Update สำหรับการเรียกใช้โค้ดที่เป็นอันตราย
• การใช้ GitHub สำหรับการสื่อสาร C2

หากท่านสนใจและต้องการทราบข้อมูลบริการด้านการรักษาความปลอดภัยไซเบอร์เพิ่มเติมสามารถติดต่อได้ที่
Email: [email protected]
Tel: 094-480-4838
FB: https://www.facebook.com/cyberelite
Linkedin: https://www.linkedin.com/company/cyber-elite-thailand

ติดตามเนื้อหาดีๆแบบนี้ได้ที่

Facebook : https://www.facebook.com/innnews.co.th

Twitter : https://twitter.com/innnews

Youtube : https://www.youtube.com/c/INNNEWS_INN

TikTok : https://www.tiktok.com/@inn_news

LINE Official Account : @innnews