“Jewelbug จากจีนล้วงข้อมูลบริษัท IT รัสเซีย 5 เดือนเต็ม” — ใช้ Yandex Cloud และ Microsoft Graph API พรางตัวแบบแนบเนียน
ในรายงานล่าสุดจากทีม Symantec Threat Hunter ได้เปิดเผยการโจมตีไซเบอร์ที่น่าตกใจโดยกลุ่ม APT จากจีนชื่อ “Jewelbug” ซึ่งสามารถแทรกซึมเข้าไปในระบบของบริษัท IT สัญชาติรัสเซียได้นานถึง 5 เดือนในช่วงต้นปี 2025 โดยใช้เทคนิคที่ซับซ้อนและแอบแฝงผ่านบริการคลาวด์ที่ได้รับความนิยมในรัสเซียอย่าง Yandex Cloud รวมถึงใช้ Microsoft Graph API และ OneDrive เป็นช่องทางควบคุมมัลแวร์ (C2) เพื่อหลบเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัยทั่วไป
การโจมตีครั้งนี้ถือเป็นการเปลี่ยนแปลงเชิงยุทธศาสตร์ของจีนในด้านการจารกรรมไซเบอร์ โดยก่อนหน้านี้กลุ่ม APT จากจีนมักไม่โจมตีเป้าหมายในรัสเซีย แต่หลังจากสงครามยูเครนเริ่มต้น ความร่วมมือระหว่างสองประเทศในโลกไซเบอร์เริ่มสั่นคลอน และ Jewelbug ก็เป็นหนึ่งในกลุ่มที่แสดงให้เห็นถึงการเปลี่ยนแปลงนี้
Jewelbug ใช้เทคนิคหลากหลาย เช่น การเปลี่ยนชื่อไฟล์ cdb.exe เป็น “7zup.exe” เพื่อหลบ whitelist, การใช้ scheduled tasks เพื่อคงการเข้าถึงระบบ, การล้าง log เพื่อลบร่องรอย และการใช้ไฟล์ “yandex2.exe” ในการส่งข้อมูลออกไปยัง Yandex Cloud
นอกจากนี้ยังพบมัลแวร์รุ่นใหม่ที่ยังอยู่ในระหว่างการพัฒนา ซึ่งใช้ Microsoft Graph API และ OneDrive เป็นช่องทางควบคุม โดยมีการสร้างโฟลเดอร์ลับในระบบ, อัปโหลดรายการไฟล์, และเก็บข้อมูลระบบ เช่น IP และเวอร์ชัน Windows
ในแคมเปญก่อนหน้านี้ Jewelbug ยังใช้เทคนิค BYOVD (Bring-Your-Own-Vulnerable-Driver) โดยนำไดรเวอร์จากระบบป้องกันเกม ECHOAC มาใช้เจาะระดับ kernel และใช้เครื่องมือเช่น KillAV, ShadowPad, Mimikatz และ Earthworm เพื่อเคลื่อนย้ายภายในระบบ
การโจมตีครั้งนี้ไม่เพียงแต่แสดงถึงความสามารถของ Jewelbug แต่ยังชี้ให้เห็นถึงความเสี่ยงด้านซัพพลายเชนที่อาจส่งผลกระทบต่อบริษัทลูกค้าของผู้ให้บริการ IT รัสเซียจำนวนมาก
ข้อมูลในข่าว
Jewelbug เป็นกลุ่ม APT จากจีนที่แฮกระบบบริษัท IT รัสเซียได้นานถึง 5 เดือน
ใช้ Yandex Cloud ในการส่งข้อมูลออกเพื่อหลบเลี่ยงการตรวจจับ
ใช้ไฟล์ “7zup.exe” ซึ่งเป็น cdb.exe ที่ถูกเปลี่ยนชื่อเพื่อหลบ whitelist
ใช้ scheduled tasks, credential dumping, log clearing และไฟล์ “yandex2.exe” ในการโจมตี
พบมัลแวร์ใหม่ที่ใช้ Microsoft Graph API และ OneDrive เป็นช่องทางควบคุม (C2)
มัลแวร์สามารถสร้างโฟลเดอร์ลับ, อัปโหลดไฟล์, และเก็บข้อมูลระบบ
ในแคมเปญก่อนหน้านี้ Jewelbug ใช้เทคนิค BYOVD โดยนำไดรเวอร์ ECHOAC มาใช้เจาะระดับ kernel
ใช้เครื่องมือเช่น KillAV, ShadowPad, Mimikatz, SMBExec และ Earthworm
มัลแวร์ถูกฝังใน mspaint.exe ซึ่งเป็นเทคนิคเฉพาะของ Jewelbug
มีความเสี่ยงด้านซัพพลายเชนที่อาจส่งผลต่อบริษัทลูกค้าจำนวนมากในรัสเซีย
การโจมตีสะท้อนถึงการเปลี่ยนแปลงเชิงยุทธศาสตร์ของจีนหลังสงครามยูเครน
คำเตือนจากข้อมูลข่าว
การใช้บริการคลาวด์ที่ได้รับความนิยมในประเทศเป้าหมายอาจทำให้การตรวจจับยากขึ้น
การเปลี่ยนชื่อไฟล์ระบบเพื่อหลบ whitelist เป็นเทคนิคที่สามารถใช้ได้กับหลายองค์กร
การใช้ Graph API และ OneDrive เป็นช่องทางควบคุมอาจทำให้มัลแวร์พรางตัวได้ดีในทราฟฟิกปกติ
การใช้เทคนิค BYOVD และเครื่องมือเจาะระบบระดับ kernel อาจทำให้ระบบป้องกันทั่วไปไม่สามารถตรวจจับได้
ความเสี่ยงด้านซัพพลายเชนอาจขยายผลไปยังบริษัทอื่น ๆ ที่เชื่อมโยงกับผู้ให้บริการที่ถูกแฮก
การฝังมัลแวร์ในโปรแกรมทั่วไปอย่าง mspaint.exe ทำให้ผู้ใช้ไม่สงสัยและยากต่อการตรวจสอบ
https://securityonline.info/chinas-jewelbug-apt-breaches-russian-it-provider-for-5-months-using-yandex-cloud-and-graph-api-c2/
ในรายงานล่าสุดจากทีม Symantec Threat Hunter ได้เปิดเผยการโจมตีไซเบอร์ที่น่าตกใจโดยกลุ่ม APT จากจีนชื่อ “Jewelbug” ซึ่งสามารถแทรกซึมเข้าไปในระบบของบริษัท IT สัญชาติรัสเซียได้นานถึง 5 เดือนในช่วงต้นปี 2025 โดยใช้เทคนิคที่ซับซ้อนและแอบแฝงผ่านบริการคลาวด์ที่ได้รับความนิยมในรัสเซียอย่าง Yandex Cloud รวมถึงใช้ Microsoft Graph API และ OneDrive เป็นช่องทางควบคุมมัลแวร์ (C2) เพื่อหลบเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัยทั่วไป
การโจมตีครั้งนี้ถือเป็นการเปลี่ยนแปลงเชิงยุทธศาสตร์ของจีนในด้านการจารกรรมไซเบอร์ โดยก่อนหน้านี้กลุ่ม APT จากจีนมักไม่โจมตีเป้าหมายในรัสเซีย แต่หลังจากสงครามยูเครนเริ่มต้น ความร่วมมือระหว่างสองประเทศในโลกไซเบอร์เริ่มสั่นคลอน และ Jewelbug ก็เป็นหนึ่งในกลุ่มที่แสดงให้เห็นถึงการเปลี่ยนแปลงนี้
Jewelbug ใช้เทคนิคหลากหลาย เช่น การเปลี่ยนชื่อไฟล์ cdb.exe เป็น “7zup.exe” เพื่อหลบ whitelist, การใช้ scheduled tasks เพื่อคงการเข้าถึงระบบ, การล้าง log เพื่อลบร่องรอย และการใช้ไฟล์ “yandex2.exe” ในการส่งข้อมูลออกไปยัง Yandex Cloud
นอกจากนี้ยังพบมัลแวร์รุ่นใหม่ที่ยังอยู่ในระหว่างการพัฒนา ซึ่งใช้ Microsoft Graph API และ OneDrive เป็นช่องทางควบคุม โดยมีการสร้างโฟลเดอร์ลับในระบบ, อัปโหลดรายการไฟล์, และเก็บข้อมูลระบบ เช่น IP และเวอร์ชัน Windows
ในแคมเปญก่อนหน้านี้ Jewelbug ยังใช้เทคนิค BYOVD (Bring-Your-Own-Vulnerable-Driver) โดยนำไดรเวอร์จากระบบป้องกันเกม ECHOAC มาใช้เจาะระดับ kernel และใช้เครื่องมือเช่น KillAV, ShadowPad, Mimikatz และ Earthworm เพื่อเคลื่อนย้ายภายในระบบ
การโจมตีครั้งนี้ไม่เพียงแต่แสดงถึงความสามารถของ Jewelbug แต่ยังชี้ให้เห็นถึงความเสี่ยงด้านซัพพลายเชนที่อาจส่งผลกระทบต่อบริษัทลูกค้าของผู้ให้บริการ IT รัสเซียจำนวนมาก
ข้อมูลในข่าว
Jewelbug เป็นกลุ่ม APT จากจีนที่แฮกระบบบริษัท IT รัสเซียได้นานถึง 5 เดือน
ใช้ Yandex Cloud ในการส่งข้อมูลออกเพื่อหลบเลี่ยงการตรวจจับ
ใช้ไฟล์ “7zup.exe” ซึ่งเป็น cdb.exe ที่ถูกเปลี่ยนชื่อเพื่อหลบ whitelist
ใช้ scheduled tasks, credential dumping, log clearing และไฟล์ “yandex2.exe” ในการโจมตี
พบมัลแวร์ใหม่ที่ใช้ Microsoft Graph API และ OneDrive เป็นช่องทางควบคุม (C2)
มัลแวร์สามารถสร้างโฟลเดอร์ลับ, อัปโหลดไฟล์, และเก็บข้อมูลระบบ
ในแคมเปญก่อนหน้านี้ Jewelbug ใช้เทคนิค BYOVD โดยนำไดรเวอร์ ECHOAC มาใช้เจาะระดับ kernel
ใช้เครื่องมือเช่น KillAV, ShadowPad, Mimikatz, SMBExec และ Earthworm
มัลแวร์ถูกฝังใน mspaint.exe ซึ่งเป็นเทคนิคเฉพาะของ Jewelbug
มีความเสี่ยงด้านซัพพลายเชนที่อาจส่งผลต่อบริษัทลูกค้าจำนวนมากในรัสเซีย
การโจมตีสะท้อนถึงการเปลี่ยนแปลงเชิงยุทธศาสตร์ของจีนหลังสงครามยูเครน
คำเตือนจากข้อมูลข่าว
การใช้บริการคลาวด์ที่ได้รับความนิยมในประเทศเป้าหมายอาจทำให้การตรวจจับยากขึ้น
การเปลี่ยนชื่อไฟล์ระบบเพื่อหลบ whitelist เป็นเทคนิคที่สามารถใช้ได้กับหลายองค์กร
การใช้ Graph API และ OneDrive เป็นช่องทางควบคุมอาจทำให้มัลแวร์พรางตัวได้ดีในทราฟฟิกปกติ
การใช้เทคนิค BYOVD และเครื่องมือเจาะระบบระดับ kernel อาจทำให้ระบบป้องกันทั่วไปไม่สามารถตรวจจับได้
ความเสี่ยงด้านซัพพลายเชนอาจขยายผลไปยังบริษัทอื่น ๆ ที่เชื่อมโยงกับผู้ให้บริการที่ถูกแฮก
การฝังมัลแวร์ในโปรแกรมทั่วไปอย่าง mspaint.exe ทำให้ผู้ใช้ไม่สงสัยและยากต่อการตรวจสอบ
https://securityonline.info/chinas-jewelbug-apt-breaches-russian-it-provider-for-5-months-using-yandex-cloud-and-graph-api-c2/
🕵️ “Jewelbug จากจีนล้วงข้อมูลบริษัท IT รัสเซีย 5 เดือนเต็ม” — ใช้ Yandex Cloud และ Microsoft Graph API พรางตัวแบบแนบเนียน
ในรายงานล่าสุดจากทีม Symantec Threat Hunter ได้เปิดเผยการโจมตีไซเบอร์ที่น่าตกใจโดยกลุ่ม APT จากจีนชื่อ “Jewelbug” ซึ่งสามารถแทรกซึมเข้าไปในระบบของบริษัท IT สัญชาติรัสเซียได้นานถึง 5 เดือนในช่วงต้นปี 2025 โดยใช้เทคนิคที่ซับซ้อนและแอบแฝงผ่านบริการคลาวด์ที่ได้รับความนิยมในรัสเซียอย่าง Yandex Cloud รวมถึงใช้ Microsoft Graph API และ OneDrive เป็นช่องทางควบคุมมัลแวร์ (C2) เพื่อหลบเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัยทั่วไป
การโจมตีครั้งนี้ถือเป็นการเปลี่ยนแปลงเชิงยุทธศาสตร์ของจีนในด้านการจารกรรมไซเบอร์ โดยก่อนหน้านี้กลุ่ม APT จากจีนมักไม่โจมตีเป้าหมายในรัสเซีย แต่หลังจากสงครามยูเครนเริ่มต้น ความร่วมมือระหว่างสองประเทศในโลกไซเบอร์เริ่มสั่นคลอน และ Jewelbug ก็เป็นหนึ่งในกลุ่มที่แสดงให้เห็นถึงการเปลี่ยนแปลงนี้
Jewelbug ใช้เทคนิคหลากหลาย เช่น การเปลี่ยนชื่อไฟล์ cdb.exe เป็น “7zup.exe” เพื่อหลบ whitelist, การใช้ scheduled tasks เพื่อคงการเข้าถึงระบบ, การล้าง log เพื่อลบร่องรอย และการใช้ไฟล์ “yandex2.exe” ในการส่งข้อมูลออกไปยัง Yandex Cloud
นอกจากนี้ยังพบมัลแวร์รุ่นใหม่ที่ยังอยู่ในระหว่างการพัฒนา ซึ่งใช้ Microsoft Graph API และ OneDrive เป็นช่องทางควบคุม โดยมีการสร้างโฟลเดอร์ลับในระบบ, อัปโหลดรายการไฟล์, และเก็บข้อมูลระบบ เช่น IP และเวอร์ชัน Windows
ในแคมเปญก่อนหน้านี้ Jewelbug ยังใช้เทคนิค BYOVD (Bring-Your-Own-Vulnerable-Driver) โดยนำไดรเวอร์จากระบบป้องกันเกม ECHOAC มาใช้เจาะระดับ kernel และใช้เครื่องมือเช่น KillAV, ShadowPad, Mimikatz และ Earthworm เพื่อเคลื่อนย้ายภายในระบบ
การโจมตีครั้งนี้ไม่เพียงแต่แสดงถึงความสามารถของ Jewelbug แต่ยังชี้ให้เห็นถึงความเสี่ยงด้านซัพพลายเชนที่อาจส่งผลกระทบต่อบริษัทลูกค้าของผู้ให้บริการ IT รัสเซียจำนวนมาก
✅ ข้อมูลในข่าว
➡️ Jewelbug เป็นกลุ่ม APT จากจีนที่แฮกระบบบริษัท IT รัสเซียได้นานถึง 5 เดือน
➡️ ใช้ Yandex Cloud ในการส่งข้อมูลออกเพื่อหลบเลี่ยงการตรวจจับ
➡️ ใช้ไฟล์ “7zup.exe” ซึ่งเป็น cdb.exe ที่ถูกเปลี่ยนชื่อเพื่อหลบ whitelist
➡️ ใช้ scheduled tasks, credential dumping, log clearing และไฟล์ “yandex2.exe” ในการโจมตี
➡️ พบมัลแวร์ใหม่ที่ใช้ Microsoft Graph API และ OneDrive เป็นช่องทางควบคุม (C2)
➡️ มัลแวร์สามารถสร้างโฟลเดอร์ลับ, อัปโหลดไฟล์, และเก็บข้อมูลระบบ
➡️ ในแคมเปญก่อนหน้านี้ Jewelbug ใช้เทคนิค BYOVD โดยนำไดรเวอร์ ECHOAC มาใช้เจาะระดับ kernel
➡️ ใช้เครื่องมือเช่น KillAV, ShadowPad, Mimikatz, SMBExec และ Earthworm
➡️ มัลแวร์ถูกฝังใน mspaint.exe ซึ่งเป็นเทคนิคเฉพาะของ Jewelbug
➡️ มีความเสี่ยงด้านซัพพลายเชนที่อาจส่งผลต่อบริษัทลูกค้าจำนวนมากในรัสเซีย
➡️ การโจมตีสะท้อนถึงการเปลี่ยนแปลงเชิงยุทธศาสตร์ของจีนหลังสงครามยูเครน
‼️ คำเตือนจากข้อมูลข่าว
⛔ การใช้บริการคลาวด์ที่ได้รับความนิยมในประเทศเป้าหมายอาจทำให้การตรวจจับยากขึ้น
⛔ การเปลี่ยนชื่อไฟล์ระบบเพื่อหลบ whitelist เป็นเทคนิคที่สามารถใช้ได้กับหลายองค์กร
⛔ การใช้ Graph API และ OneDrive เป็นช่องทางควบคุมอาจทำให้มัลแวร์พรางตัวได้ดีในทราฟฟิกปกติ
⛔ การใช้เทคนิค BYOVD และเครื่องมือเจาะระบบระดับ kernel อาจทำให้ระบบป้องกันทั่วไปไม่สามารถตรวจจับได้
⛔ ความเสี่ยงด้านซัพพลายเชนอาจขยายผลไปยังบริษัทอื่น ๆ ที่เชื่อมโยงกับผู้ให้บริการที่ถูกแฮก
⛔ การฝังมัลแวร์ในโปรแกรมทั่วไปอย่าง mspaint.exe ทำให้ผู้ใช้ไม่สงสัยและยากต่อการตรวจสอบ
https://securityonline.info/chinas-jewelbug-apt-breaches-russian-it-provider-for-5-months-using-yandex-cloud-and-graph-api-c2/
0 Comments
0 Shares
18 Views
0 Reviews
Thai