บริษัทรักษาความปลอดภัยไซเบอร์ Sophos รายงานการต่อสู้ “แมวจับหนู” เป็นเวลานานหลายปีกับแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน
Sophos ใช้ Implant แบบกำหนดเองเพื่อเฝ้าติดตามแฮ็กเกอร์ชาวจีนที่โจมตีช่องโหว่ Zero-Day ของไฟร์วอลล์
บริษัทรักษาความปลอดภัยไซเบอร์ Sophos เผยรายละเอียดการต่อสู้ “แมวจับหนู” เป็นเวลานานหลายปีกับทีมแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน และยอมรับว่าได้ใช้ Implant แบบกำหนดเองเพื่อจับภาพเครื่องมือ การเคลื่อนไหว และกลยุทธ์ของผู้โจมตี
บริษัทที่เป็นเจ้าของโดย Thoma Bravo ซึ่งพบว่าตัวเองตกเป็นเป้าหมายของการโจมตีที่ใช้ประโยชน์จากช่องโหว่ Zero-day ในผลิตภัณฑ์ระดับองค์กร ได้อธิบายถึงการป้องกันหลายแคมเปญที่เริ่มต้นตั้งแต่ปี 2018 โดยแต่ละแคมเปญมีความซับซ้อนและความก้าวร้าวมากขึ้น
การโจมตีอย่างต่อเนื่องรวมถึงการแฮ็กสำเร็จของสำนักงานสาขา Cyberoam ของ Sophos ในอินเดีย ซึ่งผู้โจมตีได้รับการเข้าถึงเบื้องต้นผ่านหน่วยแสดงผลติดผนังที่มองข้ามไป การสอบสวนสรุปอย่างรวดเร็วว่าการแฮ็กสิ่งอำนวยความสะดวกของ Sophos เป็นฝีมือของ “คู่ต่อสู้ที่ปรับตัวได้และมีความสามารถในการยกระดับความสามารถตามความจำเป็นเพื่อบรรลุเป้าหมายของพวกเขา”
ในโพสต์บล็อกแยก บริษัทกล่าวว่าได้ต่อต้านทีมโจมตีที่ใช้รูทคิตแบบกำหนดเองใน userland, TERMITE in-memory dropper, ไฟล์ Java ที่ถูกแทรกมัลแวร์ และ UEFI bootkit ที่ไม่ซ้ำใคร ผู้โมตียังใช้ข้อมูลรับรอง VPN ที่ถูกขโมย มาจากทั้งมัลแวร์และ Active Directory DCSYNC และเชื่อมต่อกระบวนการอัปเกรดเฟิร์มแวร์เพื่อให้แน่ใจว่ามีความคงอยู่ตลอดการอัปเดตเฟิร์มแวร์
Sophos กล่าวว่า “เริ่มต้นในช่วงต้นปี 2020 และดำเนินต่อไปจนถึงช่วงกลางปี 2022 คู่ต่อสู้ได้ใช้ความพยายามและทรัพยากรจำนวนมากในหลายแคมเปญเพื่อโจมตีอุปกรณ์ที่มีพอร์ทัลเว็บที่หันหน้าออกอินเทอร์เน็ต” โดยตั้งข้อสังเกตว่าบริการเป้าหมายสองรายการคือ พอร์ทัลผู้ใช้ที่อนุญาตให้ไคลเอ็นต์ระยะไกลดาวน์โหลดและกำหนดค่าไคลเอ็นต์ VPN และพอร์ทัลผู้ดูแลระบบสำหรับการกำหนดค่าอุปกรณ์ทั่วไป
“ในจังหวะการโจมตีอย่างรวดเร็ว คู่ต่อสู้ได้ใช้ประโยชน์จากช่องโหว่ Zero-day หลายรายการที่โจมตีบริการที่หันหน้าออกอินเทอร์เน็ตเหล่านี้ การโจมตีการเข้าถึงเบื้องต้นมอบรหัสการดำเนินการแก่ผู้โจมตีในบริบทสิทธิ์ต่ำ ซึ่งเมื่อเชื่อมโยงกับการโจมตีเพิ่มเติมและเทคนิคการยกระดับสิทธิ์ ได้ติดตั้งมัลแวร์ที่มีสิทธิ์รูทบนอุปกรณ์” ผู้ให้บริการ EDR กล่าวเพิ่มเติม
ในปี 2020 Sophos กล่าวว่าทีมล่าภัยคุกคามของบริษัทพบอุปกรณ์ที่อยู่ภายใต้การควบคุมของแฮ็กเกอร์ชาวจีน หลังจากปรึกษากับทางกฎหมาย บริษัทกล่าวว่าได้ปรับใช้ “implant แบบกำหนดเป้าหมาย” เพื่อตรวจสอบกลุ่มอุปกรณ์ที่ถูกควบคุมโดยผู้โจมตี
“วิสัยทัศน์เพิ่มเติมช่วยให้ [ทีมวิจัยของ Sophos] สามารถระบุการโจมตีแบบSQL injection ที่ไม่รู้จักมาก่อนและมีความลับ” Sophos กล่าวถึงเครื่องมือสอดแนมภายในของบริษัท
“ในขณะที่การโจมตีก่อนหน้านี้ต้องใช้การเชื่อมโยงกับเทคนิคการยกระดับสิทธิ์ที่จัดการค่าฐานข้อมูล (การดำเนินการที่เสี่ยงและส่งเสียงดัง ซึ่งช่วยในการตรวจจับ) การโจมตีนี้ทิ้งร่องรอยน้อยที่สุดและให้การเข้าถึงรูทโดยตรง” บริษัทอธิบาย
Sophos ได้บันทึกการใช้ช่องโหว่ SQL injection และเทคนิคการฉีดคำสั่งของผู้โจมตีเพื่อติดตั้งมัลแวร์แบบกำหนดเองบนไฟร์วอลล์ โดยมีเป้าหมายที่บริการเครือข่ายที่เปิดเผยในช่วงสูงสุดของการทำงานระยะไกลในช่วงการระบาดใหญ่
น่าสนใจ บริษัทตั้งข้อสังเกตว่านักวิจัยภายนอกจากเฉิงตูรายงานช่องโหว่อื่นที่ไม่เกี่ยวข้องในแพลตฟอร์มเดียวกันเพียงหนึ่งวันก่อนหน้านี้ ทำให้เกิดข้อสงสัยเกี่ยวกับเวลา
หลังจากการเข้าถึงเบื้องต้น Sophos กล่าวว่าได้ติดตามผู้โจมตีที่แฮ็กเข้าสู่อุปกรณ์เพื่อปรับใช้เพย์โหลดเพื่อความคงอยู่ รวมถึง Gh0st remote access Trojan (RAT), รูทคิตที่ไม่เคยเห็นมาก่อน และกลไกการควบคุมแบบปรับตัวที่ออกแบบมาเพื่อปิดใช้งานการแก้ไขด่วนและหลีกเลี่ยงการแพตช์อัตโนมัติ
ในหนึ่งกรณี ในช่วงกลางปี 2020 Sophos กล่าวว่าได้จับผู้โจมตีที่เกี่ยวข้องกับจีนอีกคนหนึ่งซึ่งมีชื่อรหัสภายในว่า “TStark” โจมตีพอร์ทัลที่เปิดเผยต่ออินเทอร์เน็ต และตั้งแต่ปลายปี 2021 เป็นต้นไป บริษัทได้ติดตามการเปลี่ยนแปลงเชิงกลยุทธ์ที่ชัดเจน: การโจมตีองค์กรของรัฐบาล การดูแลสุขภาพ และโครงสร้างพื้นฐานที่สำคัญโดยเฉพาะอย่างยิ่งภายในภูมิภาคเอเชียแปซิฟิก
ในบางช่วงเวลา Sophos ได้ร่วมมือกับศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติเนเธอร์แลนด์เพื่อยึดเซิร์ฟเวอร์ที่โฮสต์โดเมน C2 ของผู้โจมตี บริษัทได้สร้างเครื่องมือ “telemetry proof-of-value” เพื่อปรับใช้กับอุปกรณ์ที่ได้รับผลกระทบ ติดตามผู้โจมตีแบบเรียลไทม์เพื่อทดสอบความแข็งแกร่งของการบรรเทาใหม่
Credit:securityweek.com
