Charon แรนซัมแวร์

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญแรนซัมแวร์รูปแบบใหม่ที่ใช้สายพันธุ์ที่ไม่เคยรู้จักมาก่อนชื่อ Charon โดยมีเป้าหมายเฉพาะในภาคสาธารณะและอุตสาหกรรมการบินในตะวันออกกลาง ปฏิบัติการนี้แสดงให้เห็นถึงความซับซ้อนในระดับสูง ด้วยกลยุทธ์ที่มักเกี่ยวข้องกับภัยคุกคามขั้นสูงแบบต่อเนื่อง (APT)

การยืมกลยุทธ์จาก APT Playbooks

ผู้โจมตีใช้เทคนิคขั้นสูง เช่น การโหลดข้อมูลจาก DLL ด้านข้าง (side-loading) การฉีดกระบวนการ (process injection) และกลยุทธ์การหลบเลี่ยง (evasive maneuvers) ที่ออกแบบมาเพื่อหลีกเลี่ยงเครื่องมือตรวจจับและตอบสนองปลายทาง (endpoint detection and Response: EDR) ที่น่าสังเกตคือ การโหลดข้อมูลจาก DLL ด้านข้างนี้สอดคล้องกับวิธีการที่พบในการโจมตีโดย Earth Baxia ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่เชื่อมโยงกับจีน ซึ่งเป็นที่รู้จักในการโจมตีหน่วยงานรัฐบาลในไต้หวันและภูมิภาคเอเชียแปซิฟิก

ในเหตุการณ์ที่ผ่านมา Earth Baxia ได้ใช้ประโยชน์จากข้อบกพร่องใน OSGeo GeoServer GeoTools ซึ่งได้รับการแก้ไขแล้ว เพื่อส่งแบ็คดอร์ที่ชื่อว่า EAGLEDOOR ในกรณีของ Charon การโจมตีใช้ไฟล์ที่ถูกต้องตามกฎหมาย Edge.exe (เดิมชื่อ cookie_exporter.exe) เพื่อโหลด msedge.dll ที่เป็นอันตรายที่รู้จักกันในชื่อ SWORDLDR ซึ่งต่อมาได้นำเพย์โหลดแรนซัมแวร์ Charon ไปใช้

ความสามารถของ Charon Ransomware

เมื่อนำไปใช้งาน Charon จะมีพฤติกรรมเหมือนกับแรนซัมแวร์สายพันธุ์ทำลายล้างอื่นๆ แต่มีการปรับแต่งเพื่อให้ทั้งมีประสิทธิภาพและสร้างความปั่นป่วน มันสามารถ:

• ยุติบริการที่เกี่ยวข้องกับความปลอดภัยและกระบวนการที่ใช้งานอยู่
• ลบข้อมูลสำรองและสำเนาเงาเพื่อขัดขวางการกู้คืน
• ใช้มัลติเธรดและการเข้ารหัสบางส่วนเพื่อการล็อคไฟล์ที่รวดเร็วยิ่งขึ้น

อีกหนึ่งฟีเจอร์ที่น่าสนใจคือการรวมไดรเวอร์ที่คอมไพล์จากโครงการ Dark-Kill แบบโอเพนซอร์ส ซึ่งทำให้สามารถโจมตีด้วยไดรเวอร์ที่มีช่องโหว่ (BYOVD) เพื่อปิดการใช้งานเครื่องมือ EDR ได้ อย่างไรก็ตาม นักวิจัยพบว่าความสามารถนี้ยังไม่เปิดใช้งาน ซึ่งบ่งชี้ว่ายังอยู่ระหว่างการพัฒนา

สัญญาณของการปฏิบัติการแบบกำหนดเป้าหมาย

เจ้าหน้าที่สืบสวนเชื่อว่าการรณรงค์ครั้งนี้เป็นไปโดยเจตนา มากกว่าจะเป็นการฉวยโอกาส ข้อสรุปนี้มาจากการปรากฏข้อความเรียกค่าไถ่ที่ปรับแต่งให้ระบุชื่อองค์กรของเหยื่อ ซึ่งพบได้น้อยในเหตุการณ์แรนซัมแวร์ทั่วไป วิธีการที่ใช้ในการเข้าถึงเบื้องต้นยังไม่เป็นที่ทราบแน่ชัด

การระบุแหล่งที่มาที่ไม่แน่นอน

แม้ว่าเทคนิคของ Charon จะมีความคล้ายคลึงกับการทำงานของ Earth Baxia แต่ผู้เชี่ยวชาญเตือนว่าการทับซ้อนกันนี้อาจบ่งชี้ว่า:

• การมีส่วนร่วมโดยตรงของ Earth Baxia

• ปฏิบัติการธงปลอมที่ออกแบบมาเพื่อเลียนแบบเอิร์ธแบ็กเซีย

• กลุ่มใหม่ที่พัฒนากลยุทธ์ที่คล้ายคลึงกันโดยอิสระ

หากไม่มีหลักฐานที่ชัดเจน เช่น โครงสร้างพื้นฐานที่ใช้ร่วมกันหรือรูปแบบการกำหนดเป้าหมายที่สอดคล้องกัน ความเชื่อมโยงดังกล่าวก็ยังคงเป็นเพียงการคาดเดา

การเพิ่มขึ้นของการบรรจบกันของอาชญากรรมทางไซเบอร์และกลยุทธ์ของรัฐชาติ

เหตุการณ์นี้ตอกย้ำแนวโน้มที่น่ากังวล นั่นคือ กลุ่มแรนซัมแวร์กำลังใช้วิธีการระดับ APT มากขึ้นในการบุกรุกและหลบเลี่ยง การผสมผสานระหว่างการค้าขายแบบลับๆ กับความเสียหายทางการเงินและการดำเนินงานทันทีจากการเข้ารหัสแรนซัมแวร์ เพิ่มความเสี่ยงให้กับองค์กรเป้าหมายอย่างมาก