โกสต์สไปเดอร์แบ็คดอร์
กลุ่มจารกรรมไซเบอร์ที่เชื่อมโยงกับจีนอย่างซับซ้อนที่รู้จักกันในชื่อ Earth Estries ได้ตั้งเป้าโจมตีหน่วยงานโทรคมนาคมและหน่วยงานของรัฐทั่วเอเชียตะวันออกเฉียงใต้และทั่วโลก กลุ่มดังกล่าวได้ใช้เทคนิคขั้นสูงหลากหลายเพื่อแทรกซึมเข้าไปในอุตสาหกรรมที่สำคัญ รวมถึงใช้แบ็คดอร์ที่ไม่มีการบันทึกข้อมูลชื่อว่า GhostSpider นอกจากนี้ ยังพบว่าผู้ก่อภัยคุกคามรายนี้ยังใช้ประโยชน์จากช่องโหว่หลายจุดเพื่อเข้าถึงเป้าหมายโดยไม่ได้รับอนุญาต ซึ่งเผยให้เห็นถึงความซับซ้อนที่เพิ่มมากขึ้นของศักยภาพด้านไซเบอร์ของจีน
สารบัญ
GhostSpider: แบ็คดอร์ที่ไม่ได้รับการบันทึก
GhostSpider ซึ่งเป็นเครื่องมือใหม่ในกลุ่ม Earth Estries ถูกใช้เป็นวิธีหลักในการแทรกซึมเครือข่าย แบ็กดอร์นี้มีเป้าหมายเฉพาะเจาะจง โดยออกแบบมาเพื่อใช้ประโยชน์จากจุดอ่อนในโครงสร้างพื้นฐานของบริษัทโทรคมนาคมในเอเชียตะวันออกเฉียงใต้ Earth Estries ใช้เครื่องมือนี้ร่วมกับ MASOL RAT (หรือเรียกอีกอย่างว่า Backdr-NQ) ซึ่งเป็นแบ็กดอร์อีกตัวหนึ่ง เพื่อโจมตีทั้งระบบเครือข่าย Linux และระบบของรัฐบาล กลยุทธ์ของกลุ่มในการใช้มัลแวร์ที่ปรับแต่งเองทำให้มั่นใจได้ว่าจะคงอยู่ในเครือข่ายที่ถูกบุกรุกอย่างต่อเนื่อง ซึ่งช่วยให้สามารถสอดส่องทางไซเบอร์ได้ในระยะยาว
การเข้าถึงทั่วโลก: การกำหนดเป้าหมายหลายภาคส่วน
กลุ่ม Earth Estries ได้ก้าวหน้าอย่างมากในการโจมตีภาคส่วนต่างๆ เช่น โทรคมนาคม เทคโนโลยี ที่ปรึกษา การขนส่ง อุตสาหกรรมเคมี และองค์กรของรัฐ กลุ่มนี้ปฏิบัติการครอบคลุมเหยื่อมากกว่า 20 รายในกว่า 12 ประเทศ รวมถึงอัฟกานิสถาน บราซิล อินเดีย อินโดนีเซีย มาเลเซีย แอฟริกาใต้ สหรัฐอเมริกา และเวียดนาม การกำหนดเป้าหมายที่กว้างนี้เน้นย้ำถึงความสามารถและความทะเยอทะยานของกลุ่ม โดยมีเหยื่อที่ได้รับผลกระทบจากกิจกรรมของกลุ่มประมาณ 150 ราย โดยเฉพาะอย่างยิ่งในรัฐบาลสหรัฐอเมริกาและภาคเอกชน
เครื่องมือของโลก Estries
ในบรรดาเครื่องมือมากมายที่ The Earth Estries ใช้ได้ Demodex rootkit และ Deed RAT (หรือเรียกอีกอย่างว่า SNAPPYBEE) ถือเป็นเครื่องมือที่โดดเด่น เครื่องมือเหล่านี้รวมถึงเครื่องมืออื่นๆ เช่น Crowdoor และ TrillClient ถือเป็นส่วนสำคัญของการดำเนินการของกลุ่ม ShadowPad ซึ่งเป็นกลุ่มมัลแวร์ที่กลุ่ม APT ของจีนใช้กันอย่างแพร่หลาย เชื่อว่ามีอิทธิพลต่อการพัฒนา Deed RAT ซึ่งมีแนวโน้มว่าจะสืบทอดมา แบ็คดอร์ขั้นสูงและโปรแกรมขโมยข้อมูลเหล่านี้ทำให้ The Earth Estries สามารถซ่อนตัวได้ในขณะที่ขโมยข้อมูลที่ละเอียดอ่อนจากเป้าหมาย
การใช้ประโยชน์จากช่องโหว่เพื่อการเข้าถึงเบื้องต้น
เพื่อเข้าถึงเป้าหมาย Earth Estries จะต้องอาศัยช่องโหว่ N-day เป็นอย่างมาก ซึ่งเป็นข้อบกพร่องในซอฟต์แวร์ที่เปิดเผยต่อสาธารณะแต่ผู้ใช้ยังไม่ได้รับการแก้ไข ช่องโหว่ที่มักถูกโจมตีบ่อยที่สุด ได้แก่ ช่องโหว่ใน Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall และ Microsoft Exchange Server เมื่อช่องโหว่เหล่านี้ถูกโจมตี Earth Estries จะใช้มัลแวร์ที่ปรับแต่งเองเพื่อฝังตัวเองลงในเครือข่ายที่ถูกบุกรุกเพื่อใช้ในการเฝ้าระวังและรวบรวมข้อมูลในระยะยาว
กลุ่มที่มีความซับซ้อนและมีการจัดระบบอย่างดี
Earth Estries ดำเนินงานโดยใช้แนวทางที่มีโครงสร้างและระเบียบสูง จากการวิเคราะห์แคมเปญต่างๆ พบว่าทีมงานต่างๆ ภายในกลุ่มมีหน้าที่รับผิดชอบในการกำหนดเป้าหมายภูมิภาคและอุตสาหกรรมเฉพาะ โครงสร้างพื้นฐานการสั่งการและควบคุม (C2) ของกลุ่มยังกระจายอำนาจด้วย โดยมีทีมงานที่แตกต่างกันจัดการการดำเนินการแบ็คดอร์ที่แตกต่างกัน การแบ่งส่วนนี้ช่วยให้สามารถโจมตีได้ซับซ้อนและประสานงานกันมากขึ้นในหลายภาคส่วน
GhostSpider: อิมแพลนต์หลายโมดูล
หัวใจสำคัญของปฏิบัติการของ Earth Estries คือการฝังตัวของ GhostSpider เครื่องมือที่ซับซ้อนนี้จะสื่อสารกับโครงสร้างพื้นฐานที่ควบคุมโดยผู้โจมตีผ่านโปรโตคอลที่กำหนดเองซึ่งได้รับการรักษาความปลอดภัยโดย Transport Layer Security (TLS) การฝังตัวนี้สามารถดึงโมดูลเพิ่มเติมได้ตามต้องการ ทำให้มีฟังก์ชันการทำงานเพิ่มขึ้น ความยืดหยุ่นทำให้เป็นเครื่องมือที่มีประสิทธิภาพสำหรับการจารกรรมทางไซเบอร์ในระยะยาว ช่วยให้ Earth Estries ปรับตัวและพัฒนาปฏิบัติการได้ตามสถานการณ์ที่ต้องการ
กลยุทธ์การลอบเร้นและการหลบเลี่ยง
Earth Estries ใช้เทคนิคล่องหนหลากหลายวิธีเพื่อหลีกเลี่ยงการตรวจจับ กลุ่มนี้เริ่มโจมตีอุปกรณ์ขอบเครือข่าย และขยายขอบเขตการโจมตีไปยังสภาพแวดล้อมคลาวด์ทีละน้อย ทำให้ยากต่อการตรวจจับการมีอยู่ของมัน ด้วยการรักษาโปรไฟล์ต่ำและซ่อนตัวอยู่หลังชั้นโครงสร้างพื้นฐาน Earth Estries จึงมั่นใจได้ว่ากิจกรรมต่างๆ ของมันไม่ถูกตรวจจับเป็นระยะเวลานาน ทำให้รวบรวมข้อมูลได้อย่างต่อเนื่อง
บริษัทโทรคมนาคม: เป้าหมายที่มักเกิดขึ้น
บริษัทโทรคมนาคมเป็นเป้าหมายหลักของกลุ่มภัยคุกคามทางไซเบอร์ที่เชื่อมโยงกับจีนมาช้านาน โดย Earth Estries เข้าร่วมกับกลุ่มอื่นๆ เช่น Granite Typhoon และ Liminal Panda การโจมตีเหล่านี้เผยให้เห็นถึงการพัฒนาโปรแกรมไซเบอร์ของจีนที่เพิ่มมากขึ้น ซึ่งได้เปลี่ยนจากการโจมตีครั้งเดียวเป็นการรวบรวมข้อมูลจำนวนมากและแคมเปญต่อเนื่องที่มุ่งเป้าไปที่ผู้ให้บริการที่สำคัญ การที่ Earth Estries มุ่งเน้นไปที่ผู้ให้บริการที่มีการจัดการ (MSP) ผู้ให้บริการอินเทอร์เน็ต (ISP) และผู้ให้บริการแพลตฟอร์ม ถือเป็นสัญญาณของการเปลี่ยนแปลงกลยุทธ์ของจีนในการเข้าถึงเครือข่ายการสื่อสารทั่วโลกอย่างต่อเนื่อง
บทสรุป: ภัยคุกคามจากการจารกรรมทางไซเบอร์ที่เพิ่มมากขึ้น
ในขณะที่ Earth Estries ยังคงขยายการปฏิบัติการต่อไป ก็ได้เน้นย้ำถึงศักยภาพที่เพิ่มขึ้นของกลุ่มจารกรรมทางไซเบอร์ที่เชื่อมโยงกับจีน การใช้มัลแวร์ที่ซับซ้อนร่วมกับการเน้นที่ภาคส่วนโครงสร้างพื้นฐานที่สำคัญ แสดงให้เห็นถึงภัยคุกคามที่จัดระเบียบอย่างดีและมีการเปลี่ยนแปลงอยู่ตลอดเวลา สำหรับองค์กรในภูมิภาคที่ได้รับผลกระทบ ความจำเป็นในการเฝ้าระวังที่เข้มข้นขึ้นและมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งไม่เคยมีความสำคัญมากเท่านี้มาก่อน
โกสต์สไปเดอร์แบ็คดอร์ วิดีโอ
เคล็ดลับ: เปิดเสียงของคุณและดูวิดีโอในโหมดเต็มหน้าจอ
