กลุ่มแฮกเกอร์จีนใช้ประโยชน์จากWindows ปล่อยมัลแวร์
กลุ่มแฮกเกอร์จีน ใช้ประโยชน์จาก Windows Group Policy ปล่อยมัลแวร์ใส่บริษัทต่าง ๆ
Windows Group Policy เป็นอีกหนึ่งเครื่องมือสำคัญสำหรับเหล่าผู้ดูแลระบบ หรือ Admin (Administrator) ฝ่ายไอทีขององค์กรในการจัดการนโยบายการใช้งานระบบ Windows ระดับทั้งองค์กร แต่ฟีเจอร์นี้ก็มีช่องโหว่ให้แฮกเกอร์ได้ใช้งานเช่นเดียวกัน
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงกา��รตรวจพบแคมเปญการเข้าสอดแนมหน่วยงานรัฐบาลในแถบเอเชียตะวันออกเฉียงใต้ รวมถึงประเทศไทย และประเทศญี่ปุ่น โดยฝีมือของกลุ่มแฮกเกอร์ที่มีรัฐบาลจีนหนุนหลังอย่าง LongNosedGoblin ซึ่งทางทีมวิจัยจาก Welivesecurity หน่วยงานย่อยของบริษัทผู้พัฒนาซอฟต์แวร์แอนตี้ไวรัสชื่อดัง ESET ที่ได้ทำการจับตาดูความเคลื่อนไหวของแฮกเกอร์กลุ่มดังกล่าวมาเป็นเวลายาวนาน ได้เผยว่าแฮกเกอร์ดลุ่มนี้ได้ทำการเคลื่อนไหวมาตั้งแต่ปี ค.ศ. 2023 (พ.ศ. 2567) ด้วยการใช้มัลแวร์ที่สร้างขึ้นบนภาษา C# และ .NET ในการบุกรุกระบบของเป้าหมาย โดยมีจุดประสงค์เพื่อเข้าเก็บข้อมูลต่าง ๆ จากระบบของเหยื่อ
เทคนิคในการโจมตีตัวหนึ่งที่น่าสนใจคือ การที่กลุ่มดังกล่าวได้มีการใช้งานฟีเจอร์ในการดูแลนโยบายการใช้งานระบบของพนักงานในองค์กรอย่าง Windows Group Policy เพื่อใช้ในการแพร่กระจายมัลแวร์ไปยังจ�ุดอื่น ๆ ของระบบภายในองค์กร หรือ Lateral Movement ทั้งยังใช้ในการปล่อยมัลแวร์ตัวอื่น ๆ ลงสู่ระบบผ่านทางช่องทางนี้อีกด้วย โดยอาศัยโครงสร้างพื้นฐานของระบบจัดการโฟลเดอร์อย่าง Active Directory เพื่อกระจายมัลแวร์เข้าไปยังเครื่องต่าง ๆ ภายในองค์กรและหลีกเลี่ยงระบบตรวจจับมัลแวร์ไปในเวลาเดียวกัน
ซึ่งการใช้งานเครื่องมือนี้เพื่อแพร่กระจายมัลแวร์นั้น ทางทีมวิจัยพบว่าถูกใช้เพื่อแพร่กระจายมัลแวร์ NosyHistorian เข้าสู่องค์กรเป้าหมายโดยมีจุดมุ่งหมายเพื่อเข้าขโมยข้อมูลบนเว็บเบราว์เซอร์ ซึ่งมัลแวร์ดังกล่าวถูกตรวจพบครั้งแรกในช่วงปี ค.ศ. 2024 (พ.ศ. 2567) จากการตรวจสอบการโจมตีระบบเครือข่ายขององค์กรรัฐในแถบเอเชียตะวันออกเฉียงใต้ ทำให้เครื่องหลายเครื่องภายในเครือข่ายเดียวกันต้องติดมัลแวร์ตัวนี้ โดยหลักฐานที่สืบได้ถึงการใช้ Windows Group Policy นั้นมาจากการตรวจพบไฟล์กำหนดนโยบาย เช่น History.ini และ Registry.pol ที่แฮกเกอร์ทำปลอมเหมือนไฟล์จริงขึ้นมา เพื่อใช้ในการปรับเปลี่ยนการตั้งในการใช้งานฟีเจอร์ดังกล่าว
นอกจากมัลแวร์ที่กล่าวมาข้างต้นแล้ว ยังพบว่ามีการใช้เพื่อแพร่กระจายมัลแวร์ประเภทสร้างประตูหลังเข้าสู่ระบบ หรือ Backdoor ที่มีชื่อว่า NosyDoor ที่มีจุดเริ่มต้นของการส่งมัลแวร์ลงระบบ (Deployment) เริ่มต้นจากการแปลงไฟล์ Registry.pol เป็นลำดับแรก ให้ทำหน้าที่เป็นมัลแวร์นกต่อ (Dropper) นำไปสู่การถอดรหัสไฟล์มัลแวร์ (Payload) ด้วยการใช้ Data Encryption Standard (DES) ร่วมกับกุญแจ (Key) ที่มีชื่อว่า UevAppMo นอกจากนั้นเพื่อป้องกันไม่ให้มัลแวร์ถูกรันบนเครื่องที่ไม่ใช่เป้าหมาย ตัว Dropper ยังได้ทำการรันระบบป้องกันการรันมัลแวร์โดยไม่ได้ตั้งใจ หรือ Guardrails เพื่อป้องกันไว้ล่วงหน้าอีกด้วย
หลังจากที่ยืนยันว่าไฟล์ Payload ได้ถูก�ปล่อยลงบนเครื่องเป้าหมายอย่างถูกต้องแล้ว ตัวมัลแวร์ก็จะทำการสร้างการคงอยู่ในระบบ (Persistence) ด้วยการสร้างตารางการทำงาน (Task Scheduling) ที่จะทำการรันไฟล์ UevAppMonitor.exe ซึ่งเป็นไฟล์แอปพลิเคชันที่มีมาอยู่แล้วของ Windows ที่ได้ถูกต้องมัลแวร์ทำการคัดลอกจากโฟลเดอร์ System32 ไปยัง .NET framework เพื่อนำมาใช้งานเป็นเครื่องมือของมัลแวร์ด้วยเทคนิคการใช้งานแอปพลิเคชันที่มีอยู่แล้วบนเครื่อง หรือ Living-off-the-Land ผ่านทางการยิง (Injection) การตั้งค่าใหม่ของ AppDomainManager เพื่อที่จะนำไปสู่การโหลดไฟล์ DLL ของมัลแวร์ NosyDoor ขึ้นมาใช้งาน
ในขั้นต่อมา หลังจากที่มัลแวร์ได้รับค่าการตั้งค่า (Configuration) มาเป็นที่เรียบร้อยแล้ว ตัวมัลแวร์ก็จะทำการถอดรหัส (Decryption) การตั้งค่าที่ได้รับ (ภายใต้ชื่อว่า log.cached, beautified) แล้วจึงใช้การตั้งค่านั้นในการติดต่อกับ Microsoft OneDrive ผ่านทางการใช้งาน Metadata ที่ถูกเข้ารหัสในรูปแบ�บ RSA เพื่อทำการดึงคำสั่ง (Command) ที่อยู่ภายใน OneDrive ในส่วนของไฟล์ Task เพื่อทำงานในขั้นตอนถัดไป
จากประสบการณ์การติดตามข่าวสารและวิธีป้องกันด้านความปลอดภัยในองค์กร พบว่าเครื่องมืออย่าง Windows Group Policy ถือเป็นหนึ่งในฟีเจอร์ที่องค์กรต่างๆ ใช้กันอย่างแพร่หลายเพื่อบริหารจัดการการตั้งค่าระบบให้เป็นไปตามนโยบายขององค์กรแต่ก็มีความเสี่ยงสูงเมื่อแฮกเกอร์สามารถเข้าควบคุมและใช้เป็นช่องทางปล่อยมัลแวร์ได้ การที่แฮกเกอร์กลุ่ม LongNosedGoblin ใช้เทคนิคแบบ Living-off-the-Land ทำให้มัลแวร์สามารถซ่อนตัวได้ดีและยากต่อการตรวจจับ เนื่องจากใช้เครื่องมือและไฟล์ระบบที่มีอยู่แล้วใน Windows เช่น UevAppMonitor.exe ที่ทำให้มัลแวร์สามารถสร้างความคงอยู่ในระบบและทำงานได้อย่างต่อเนื่องโดยไม่ถูกสงสัย วิธีการแพร่กระจายมัลแวร์ผ่านไฟล์ Registry.pol ที่ถูกดัดแปลงเพื่อใช้ปล่อยมัลแวร์ NosyDoor นั้น ถือว่าหลักแหล่งและมีการเข้ารหัสข้อมูลอย่างแนบเนียนโดยใช้มาตรฐานอย่าง RSA และ DES ทำให้การสืบสวนและลบมัลแวร์เหล่านี้มีความซับซ้อนมากขึ้น การใช้งาน Microsoft OneDrive ในการรับคำสั่งและควบคุมมัลแวร์ก็เป็นอีกหนึ่งกลยุทธ์ที่ช่วยให้มัลแวร์สามารถทำงานเชื่อมต่อกับโครงข่ายระยะไกลได้อย่างราบรื่นและปลอดภัยจากการตรวจจับที่เคร่งครัดของระบบป้องกัน สำหรับองค์กรที่ต้องการป้องกันตัวเอง ควรมีการตรวจสอบนโยบาย Group Policy อย่างเข้มงวด นำระบบตรวจจับพฤติกรรมผิดปกติ (Behavioral Detection) เข้ามาช่วยเสริม พร้อมทั้งติดตั้งซอฟต์แวร์แอนตี้ไวรัสและอัปเดตระบบ Windows อยู่เสมอ นอกจากนี้การฝึกอบรมพนักงานเรื่องความปลอดภัยไซเบอร์ และการจัดระเบียบสิทธิ์การเข้าถึงระบบอย่างเหมาะสมจะช่วยลดความเสี่ยงที่จะถูกโจมตีจากช่องโหว่เหล่านี้ได้อย่างมาก การติดตามและวิเคราะห์พฤติกรรมของมัลแวร์ที่แฝงตัวด้วยวิธี Living-off-the-Land ยังเป็นสิ่งจำเป็นสำหรับผู้ดูแลระบบ IT หากพบเจอไฟล์หรือกิจกรรมที่น่าสงสัยควรมีการแจ้งเตือนและตอบสนองอย่างรวดเร็ว เพื่อป้องกันการลุกลามและเพิ่มความเสียหายต่อองค์กรในระยะยาว
เขากำลังพยายามช่วยโลกอยู่ครับ ไม่ใช่แฮ็คขโมยข้อมูลครับ แต่กลุ่มคนที่จะทำลายโลกเราคือกลุ่มที่เราใช้งานบริการในทุกๆวันนั่นอหละครับ พูดไม่ได้โดนดักหมด