กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือที่รู้จักกันในชื่อ "Kimsuky" ได้ใช้เครื่องมือ RDP Wrapper ที่ปรับแต่งขึ้นใหม่เพื่อเข้าถึงเครื่องที่ติดไวรัสได้โดยตรง นี่แสดงให้เห็นถึงการเปลี่ยนแปลงของกลยุทธ์การโจมตีของกลุ่มนี้
กลุ่ม Kimsuky ได้เริ่มต้นการโจมตีโดยการส่งอีเมลฟิชชิ่ง ซึ่งมีไฟล์ลัด (.LNK) ที่เป็นอันตรายและถูกอำพรางให้ดูเหมือนไฟล์ PDF หรือ Word เมื่อเปิดไฟล์ลัดนี้ มันจะเรียกใช้ PowerShell หรือ Mshta เพื่อดึง payload เพิ่มเติมจากเซิร์ฟเวอร์ภายนอก ซึ่งรวมถึง:
- PebbleDash ซึ่งเป็น backdoor ของ Kimsuky ที่ให้การควบคุมระบบเบื้องต้น
- เครื่องมือ RDP Wrapper ที่ปรับแต่งใหม่ ซึ่งช่วยให้สามารถเข้าถึง RDP ได้อย่างต่อเนื่องและสามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัยได้
- เครื่องมือ Proxy ที่ช่วยให้สามารถเข้าถึงระบบได้แม้ว่า RDP ถูกบล็อก
เครื่องมือ RDP Wrapper ถูกออกแบบมาเพื่อเปิดใช้งานฟังก์ชัน Remote Desktop Protocol (RDP) บน Windows รุ่นที่ไม่รองรับ เช่น Windows Home โดยไม่ต้องแก้ไขไฟล์ระบบ Kimsuky ได้ปรับแต่งฟังก์ชันการส่งออกเพื่อหลีกเลี่ยงการตรวจจับของแอนตี้ไวรัส และเปลี่ยนแปลงการทำงานพอที่จะหลีกเลี่ยงการตรวจจับที่ใช้วิธีการตามลายเซ็น
ข้อดีหลักของการใช้ RDP Wrapper ที่ปรับแต่งคือการหลีกเลี่ยงการตรวจจับ เนื่องจากการเชื่อมต่อ RDP มักจะถูกมองว่าเป็นการเชื่อมต่อที่ถูกต้อง Kimsuky สามารถหลบหนีการตรวจจับได้นานขึ้น นอกจากนี้ ยังให้การควบคุมระยะไกลที่สะดวกยิ่งขึ้นเมื่อเทียบกับการเข้าถึงผ่าน shell โดยมัลแวร์ และสามารถหลีกเลี่ยงการบล็อกไฟร์วอลล์หรือ NAT ผ่านการ relay ทำให้สามารถเข้าถึง RDP ได้จากภายนอก
หลังจากที่ Kimsuky สามารถยึดที่มั่นในเครือข่ายได้แล้ว พวกเขาจะปล่อย payload รอง ซึ่งรวมถึง:
- Keylogger ที่จับการกดแป้นพิมพ์และบันทึกไว้ในไฟล์ข้อความในไดเรกทอรีระบบ
- Infostealer (forceCopy) ที่ขโมยข้อมูลประจำตัวที่บันทึกไว้ในเว็บเบราว์เซอร์
- ReflectiveLoader ที่ทำงานบน PowerShell เพื่อเรียกใช้ payload ในหน่วยความจำ
โดยรวมแล้ว Kimsuky เป็นกลุ่มแฮ็กเกอร์ที่มีความอันตรายและพัฒนาต่อเนื่อง และเป็นหนึ่งในกลุ่มที่มีการโจมตีทางไซเบอร์มากที่สุดของเกาหลีเหนือที่มุ่งเก็บรวบรวมข้อมูลทางการข่าวกรอง การวิจัยล่าสุดของ ASEC ระบุว่าผู้โจมตีเลือกใช้วิธีการเข้าถึงระยะไกลที่ซ่อนตัวมากขึ้นเพื่อการยึดที่มั่นในเครือข่ายที่ถูกโจมตีให้นานที่สุด
https://www.bleepingcomputer.com/news/security/kimsuky-hackers-use-new-custom-rdp-wrapper-for-remote-access/
กลุ่ม Kimsuky ได้เริ่มต้นการโจมตีโดยการส่งอีเมลฟิชชิ่ง ซึ่งมีไฟล์ลัด (.LNK) ที่เป็นอันตรายและถูกอำพรางให้ดูเหมือนไฟล์ PDF หรือ Word เมื่อเปิดไฟล์ลัดนี้ มันจะเรียกใช้ PowerShell หรือ Mshta เพื่อดึง payload เพิ่มเติมจากเซิร์ฟเวอร์ภายนอก ซึ่งรวมถึง:
- PebbleDash ซึ่งเป็น backdoor ของ Kimsuky ที่ให้การควบคุมระบบเบื้องต้น
- เครื่องมือ RDP Wrapper ที่ปรับแต่งใหม่ ซึ่งช่วยให้สามารถเข้าถึง RDP ได้อย่างต่อเนื่องและสามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัยได้
- เครื่องมือ Proxy ที่ช่วยให้สามารถเข้าถึงระบบได้แม้ว่า RDP ถูกบล็อก
เครื่องมือ RDP Wrapper ถูกออกแบบมาเพื่อเปิดใช้งานฟังก์ชัน Remote Desktop Protocol (RDP) บน Windows รุ่นที่ไม่รองรับ เช่น Windows Home โดยไม่ต้องแก้ไขไฟล์ระบบ Kimsuky ได้ปรับแต่งฟังก์ชันการส่งออกเพื่อหลีกเลี่ยงการตรวจจับของแอนตี้ไวรัส และเปลี่ยนแปลงการทำงานพอที่จะหลีกเลี่ยงการตรวจจับที่ใช้วิธีการตามลายเซ็น
ข้อดีหลักของการใช้ RDP Wrapper ที่ปรับแต่งคือการหลีกเลี่ยงการตรวจจับ เนื่องจากการเชื่อมต่อ RDP มักจะถูกมองว่าเป็นการเชื่อมต่อที่ถูกต้อง Kimsuky สามารถหลบหนีการตรวจจับได้นานขึ้น นอกจากนี้ ยังให้การควบคุมระยะไกลที่สะดวกยิ่งขึ้นเมื่อเทียบกับการเข้าถึงผ่าน shell โดยมัลแวร์ และสามารถหลีกเลี่ยงการบล็อกไฟร์วอลล์หรือ NAT ผ่านการ relay ทำให้สามารถเข้าถึง RDP ได้จากภายนอก
หลังจากที่ Kimsuky สามารถยึดที่มั่นในเครือข่ายได้แล้ว พวกเขาจะปล่อย payload รอง ซึ่งรวมถึง:
- Keylogger ที่จับการกดแป้นพิมพ์และบันทึกไว้ในไฟล์ข้อความในไดเรกทอรีระบบ
- Infostealer (forceCopy) ที่ขโมยข้อมูลประจำตัวที่บันทึกไว้ในเว็บเบราว์เซอร์
- ReflectiveLoader ที่ทำงานบน PowerShell เพื่อเรียกใช้ payload ในหน่วยความจำ
โดยรวมแล้ว Kimsuky เป็นกลุ่มแฮ็กเกอร์ที่มีความอันตรายและพัฒนาต่อเนื่อง และเป็นหนึ่งในกลุ่มที่มีการโจมตีทางไซเบอร์มากที่สุดของเกาหลีเหนือที่มุ่งเก็บรวบรวมข้อมูลทางการข่าวกรอง การวิจัยล่าสุดของ ASEC ระบุว่าผู้โจมตีเลือกใช้วิธีการเข้าถึงระยะไกลที่ซ่อนตัวมากขึ้นเพื่อการยึดที่มั่นในเครือข่ายที่ถูกโจมตีให้นานที่สุด
https://www.bleepingcomputer.com/news/security/kimsuky-hackers-use-new-custom-rdp-wrapper-for-remote-access/
กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือที่รู้จักกันในชื่อ "Kimsuky" ได้ใช้เครื่องมือ RDP Wrapper ที่ปรับแต่งขึ้นใหม่เพื่อเข้าถึงเครื่องที่ติดไวรัสได้โดยตรง นี่แสดงให้เห็นถึงการเปลี่ยนแปลงของกลยุทธ์การโจมตีของกลุ่มนี้
กลุ่ม Kimsuky ได้เริ่มต้นการโจมตีโดยการส่งอีเมลฟิชชิ่ง ซึ่งมีไฟล์ลัด (.LNK) ที่เป็นอันตรายและถูกอำพรางให้ดูเหมือนไฟล์ PDF หรือ Word เมื่อเปิดไฟล์ลัดนี้ มันจะเรียกใช้ PowerShell หรือ Mshta เพื่อดึง payload เพิ่มเติมจากเซิร์ฟเวอร์ภายนอก ซึ่งรวมถึง:
- PebbleDash ซึ่งเป็น backdoor ของ Kimsuky ที่ให้การควบคุมระบบเบื้องต้น
- เครื่องมือ RDP Wrapper ที่ปรับแต่งใหม่ ซึ่งช่วยให้สามารถเข้าถึง RDP ได้อย่างต่อเนื่องและสามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัยได้
- เครื่องมือ Proxy ที่ช่วยให้สามารถเข้าถึงระบบได้แม้ว่า RDP ถูกบล็อก
เครื่องมือ RDP Wrapper ถูกออกแบบมาเพื่อเปิดใช้งานฟังก์ชัน Remote Desktop Protocol (RDP) บน Windows รุ่นที่ไม่รองรับ เช่น Windows Home โดยไม่ต้องแก้ไขไฟล์ระบบ Kimsuky ได้ปรับแต่งฟังก์ชันการส่งออกเพื่อหลีกเลี่ยงการตรวจจับของแอนตี้ไวรัส และเปลี่ยนแปลงการทำงานพอที่จะหลีกเลี่ยงการตรวจจับที่ใช้วิธีการตามลายเซ็น
ข้อดีหลักของการใช้ RDP Wrapper ที่ปรับแต่งคือการหลีกเลี่ยงการตรวจจับ เนื่องจากการเชื่อมต่อ RDP มักจะถูกมองว่าเป็นการเชื่อมต่อที่ถูกต้อง Kimsuky สามารถหลบหนีการตรวจจับได้นานขึ้น นอกจากนี้ ยังให้การควบคุมระยะไกลที่สะดวกยิ่งขึ้นเมื่อเทียบกับการเข้าถึงผ่าน shell โดยมัลแวร์ และสามารถหลีกเลี่ยงการบล็อกไฟร์วอลล์หรือ NAT ผ่านการ relay ทำให้สามารถเข้าถึง RDP ได้จากภายนอก
หลังจากที่ Kimsuky สามารถยึดที่มั่นในเครือข่ายได้แล้ว พวกเขาจะปล่อย payload รอง ซึ่งรวมถึง:
- Keylogger ที่จับการกดแป้นพิมพ์และบันทึกไว้ในไฟล์ข้อความในไดเรกทอรีระบบ
- Infostealer (forceCopy) ที่ขโมยข้อมูลประจำตัวที่บันทึกไว้ในเว็บเบราว์เซอร์
- ReflectiveLoader ที่ทำงานบน PowerShell เพื่อเรียกใช้ payload ในหน่วยความจำ
โดยรวมแล้ว Kimsuky เป็นกลุ่มแฮ็กเกอร์ที่มีความอันตรายและพัฒนาต่อเนื่อง และเป็นหนึ่งในกลุ่มที่มีการโจมตีทางไซเบอร์มากที่สุดของเกาหลีเหนือที่มุ่งเก็บรวบรวมข้อมูลทางการข่าวกรอง การวิจัยล่าสุดของ ASEC ระบุว่าผู้โจมตีเลือกใช้วิธีการเข้าถึงระยะไกลที่ซ่อนตัวมากขึ้นเพื่อการยึดที่มั่นในเครือข่ายที่ถูกโจมตีให้นานที่สุด
https://www.bleepingcomputer.com/news/security/kimsuky-hackers-use-new-custom-rdp-wrapper-for-remote-access/
0 Comments
0 Shares
393 Views
0 Reviews
Thai