“Symantec แฉแคมเปญจารกรรมจีน – ใช้ Zingdoor, ShadowPad และ KrustyLoader เจาะหน่วยงานทั่วโลก!”
Symantec เปิดเผยแคมเปญจารกรรมไซเบอร์ระดับโลกที่มีความเชื่อมโยงกับกลุ่ม APT ของจีนหลายกลุ่ม โดยพบการใช้เครื่องมือมัลแวร์ที่ซับซ้อน ได้แก่ Zingdoor, ShadowPad และ KrustyLoader ซึ่งเคยถูกใช้โดยกลุ่ม Glowworm (Earth Estries) และ UNC5221 มาก่อน
แคมเปญนี้เจาะระบบของหน่วยงานรัฐบาลในอเมริกาใต้และมหาวิทยาลัยในสหรัฐฯ โดยใช้ช่องโหว่ใน SQL Server และ Apache HTTP เป็นจุดเริ่มต้น จากนั้นฝัง DLL อันตรายผ่าน binary ที่ดูเหมือนซอฟต์แวร์ของ Symantec เพื่อหลบการตรวจจับ
Zingdoor เป็น backdoor ที่เขียนด้วย Go สามารถเก็บข้อมูลระบบ, อัปโหลด/ดาวน์โหลดไฟล์ และรันคำสั่งได้ โดยถูก sideload ผ่าน binary ของ Trend Micro เพื่อให้ดูเหมือนโปรแกรมปกติ
ShadowPad เป็น Remote Access Trojan (RAT) แบบ modular ที่สามารถโหลดโมดูลใหม่ได้ตามต้องการ ใช้ DLL sideloading เพื่อซ่อนตัว และถูกใช้โดยหลายกลุ่ม APT ของจีน เช่น APT41, Blackfly และ Grayfly
KrustyLoader เป็น dropper ที่เขียนด้วย Rust มีฟีเจอร์ anti-analysis และ self-delete ก่อนจะโหลด payload ขั้นที่สอง เช่น Sliver C2 framework ซึ่งใช้ควบคุมระบบจากระยะไกล
นอกจากมัลแวร์เฉพาะทางแล้ว แฮกเกอร์ยังใช้เครื่องมือทั่วไปของ Windows เช่น Certutil, Procdump, Revsocks และ PetitPotam เพื่อขโมย credentials และยกระดับสิทธิ์ในระบบ
Symantec ระบุว่าการโจมตีนี้เกี่ยวข้องกับการใช้ช่องโหว่ ToolShell ที่ Microsoft เคยรายงาน โดยพบว่ามีการใช้จากกลุ่มอื่นนอกเหนือจาก Budworm, Sheathminer และ Storm-2603 ซึ่งแสดงให้เห็นถึง ecosystem การโจมตีที่กว้างกว่าที่เคยคิด
เครื่องมือมัลแวร์ที่ใช้ในแคมเปญ
Zingdoor – backdoor เขียนด้วย Go ใช้ sideload ผ่าน Trend Micro
ShadowPad – modular RAT ที่โหลดโมดูลใหม่ได้ ใช้ DLL sideloading
KrustyLoader – Rust-based dropper ที่โหลด Sliver C2 framework
ใช้เครื่องมือทั่วไปของ Windows เช่น Certutil, Revsocks, Procdump
ใช้ PetitPotam เพื่อขโมย credentials จาก domain controller
กลุ่ม APT ที่เกี่ยวข้อง
Glowworm (Earth Estries), FamousSparrow
UNC5221 – กลุ่มที่มีความเชื่อมโยงกับจีน
APT41, Blackfly, Grayfly – ใช้ ShadowPad
REF3927 – กลุ่มใหม่ที่ใช้ ToolShell ร่วมกับกลุ่มอื่น
เป้าหมายของการโจมตี
หน่วยงานรัฐบาลในอเมริกาใต้
มหาวิทยาลัยในสหรัฐฯ
ระบบ SharePoint ที่มีช่องโหว่
เป้าหมายเชิงยุทธศาสตร์ที่มีข้อมูลสำคัญ
สร้างการเข้าถึงระยะยาวและขโมยข้อมูลอย่างต่อเนื่อง
https://securityonline.info/symantec-exposes-chinese-apt-overlap-zingdoor-shadowpad-and-krustyloader-used-in-global-espionage/
Symantec เปิดเผยแคมเปญจารกรรมไซเบอร์ระดับโลกที่มีความเชื่อมโยงกับกลุ่ม APT ของจีนหลายกลุ่ม โดยพบการใช้เครื่องมือมัลแวร์ที่ซับซ้อน ได้แก่ Zingdoor, ShadowPad และ KrustyLoader ซึ่งเคยถูกใช้โดยกลุ่ม Glowworm (Earth Estries) และ UNC5221 มาก่อน
แคมเปญนี้เจาะระบบของหน่วยงานรัฐบาลในอเมริกาใต้และมหาวิทยาลัยในสหรัฐฯ โดยใช้ช่องโหว่ใน SQL Server และ Apache HTTP เป็นจุดเริ่มต้น จากนั้นฝัง DLL อันตรายผ่าน binary ที่ดูเหมือนซอฟต์แวร์ของ Symantec เพื่อหลบการตรวจจับ
Zingdoor เป็น backdoor ที่เขียนด้วย Go สามารถเก็บข้อมูลระบบ, อัปโหลด/ดาวน์โหลดไฟล์ และรันคำสั่งได้ โดยถูก sideload ผ่าน binary ของ Trend Micro เพื่อให้ดูเหมือนโปรแกรมปกติ
ShadowPad เป็น Remote Access Trojan (RAT) แบบ modular ที่สามารถโหลดโมดูลใหม่ได้ตามต้องการ ใช้ DLL sideloading เพื่อซ่อนตัว และถูกใช้โดยหลายกลุ่ม APT ของจีน เช่น APT41, Blackfly และ Grayfly
KrustyLoader เป็น dropper ที่เขียนด้วย Rust มีฟีเจอร์ anti-analysis และ self-delete ก่อนจะโหลด payload ขั้นที่สอง เช่น Sliver C2 framework ซึ่งใช้ควบคุมระบบจากระยะไกล
นอกจากมัลแวร์เฉพาะทางแล้ว แฮกเกอร์ยังใช้เครื่องมือทั่วไปของ Windows เช่น Certutil, Procdump, Revsocks และ PetitPotam เพื่อขโมย credentials และยกระดับสิทธิ์ในระบบ
Symantec ระบุว่าการโจมตีนี้เกี่ยวข้องกับการใช้ช่องโหว่ ToolShell ที่ Microsoft เคยรายงาน โดยพบว่ามีการใช้จากกลุ่มอื่นนอกเหนือจาก Budworm, Sheathminer และ Storm-2603 ซึ่งแสดงให้เห็นถึง ecosystem การโจมตีที่กว้างกว่าที่เคยคิด
เครื่องมือมัลแวร์ที่ใช้ในแคมเปญ
Zingdoor – backdoor เขียนด้วย Go ใช้ sideload ผ่าน Trend Micro
ShadowPad – modular RAT ที่โหลดโมดูลใหม่ได้ ใช้ DLL sideloading
KrustyLoader – Rust-based dropper ที่โหลด Sliver C2 framework
ใช้เครื่องมือทั่วไปของ Windows เช่น Certutil, Revsocks, Procdump
ใช้ PetitPotam เพื่อขโมย credentials จาก domain controller
กลุ่ม APT ที่เกี่ยวข้อง
Glowworm (Earth Estries), FamousSparrow
UNC5221 – กลุ่มที่มีความเชื่อมโยงกับจีน
APT41, Blackfly, Grayfly – ใช้ ShadowPad
REF3927 – กลุ่มใหม่ที่ใช้ ToolShell ร่วมกับกลุ่มอื่น
เป้าหมายของการโจมตี
หน่วยงานรัฐบาลในอเมริกาใต้
มหาวิทยาลัยในสหรัฐฯ
ระบบ SharePoint ที่มีช่องโหว่
เป้าหมายเชิงยุทธศาสตร์ที่มีข้อมูลสำคัญ
สร้างการเข้าถึงระยะยาวและขโมยข้อมูลอย่างต่อเนื่อง
https://securityonline.info/symantec-exposes-chinese-apt-overlap-zingdoor-shadowpad-and-krustyloader-used-in-global-espionage/
🕵️♀️ “Symantec แฉแคมเปญจารกรรมจีน – ใช้ Zingdoor, ShadowPad และ KrustyLoader เจาะหน่วยงานทั่วโลก!”
Symantec เปิดเผยแคมเปญจารกรรมไซเบอร์ระดับโลกที่มีความเชื่อมโยงกับกลุ่ม APT ของจีนหลายกลุ่ม โดยพบการใช้เครื่องมือมัลแวร์ที่ซับซ้อน ได้แก่ Zingdoor, ShadowPad และ KrustyLoader ซึ่งเคยถูกใช้โดยกลุ่ม Glowworm (Earth Estries) และ UNC5221 มาก่อน
แคมเปญนี้เจาะระบบของหน่วยงานรัฐบาลในอเมริกาใต้และมหาวิทยาลัยในสหรัฐฯ โดยใช้ช่องโหว่ใน SQL Server และ Apache HTTP เป็นจุดเริ่มต้น จากนั้นฝัง DLL อันตรายผ่าน binary ที่ดูเหมือนซอฟต์แวร์ของ Symantec เพื่อหลบการตรวจจับ
Zingdoor เป็น backdoor ที่เขียนด้วย Go สามารถเก็บข้อมูลระบบ, อัปโหลด/ดาวน์โหลดไฟล์ และรันคำสั่งได้ โดยถูก sideload ผ่าน binary ของ Trend Micro เพื่อให้ดูเหมือนโปรแกรมปกติ
ShadowPad เป็น Remote Access Trojan (RAT) แบบ modular ที่สามารถโหลดโมดูลใหม่ได้ตามต้องการ ใช้ DLL sideloading เพื่อซ่อนตัว และถูกใช้โดยหลายกลุ่ม APT ของจีน เช่น APT41, Blackfly และ Grayfly
KrustyLoader เป็น dropper ที่เขียนด้วย Rust มีฟีเจอร์ anti-analysis และ self-delete ก่อนจะโหลด payload ขั้นที่สอง เช่น Sliver C2 framework ซึ่งใช้ควบคุมระบบจากระยะไกล
นอกจากมัลแวร์เฉพาะทางแล้ว แฮกเกอร์ยังใช้เครื่องมือทั่วไปของ Windows เช่น Certutil, Procdump, Revsocks และ PetitPotam เพื่อขโมย credentials และยกระดับสิทธิ์ในระบบ
Symantec ระบุว่าการโจมตีนี้เกี่ยวข้องกับการใช้ช่องโหว่ ToolShell ที่ Microsoft เคยรายงาน โดยพบว่ามีการใช้จากกลุ่มอื่นนอกเหนือจาก Budworm, Sheathminer และ Storm-2603 ซึ่งแสดงให้เห็นถึง ecosystem การโจมตีที่กว้างกว่าที่เคยคิด
✅ เครื่องมือมัลแวร์ที่ใช้ในแคมเปญ
➡️ Zingdoor – backdoor เขียนด้วย Go ใช้ sideload ผ่าน Trend Micro
➡️ ShadowPad – modular RAT ที่โหลดโมดูลใหม่ได้ ใช้ DLL sideloading
➡️ KrustyLoader – Rust-based dropper ที่โหลด Sliver C2 framework
➡️ ใช้เครื่องมือทั่วไปของ Windows เช่น Certutil, Revsocks, Procdump
➡️ ใช้ PetitPotam เพื่อขโมย credentials จาก domain controller
✅ กลุ่ม APT ที่เกี่ยวข้อง
➡️ Glowworm (Earth Estries), FamousSparrow
➡️ UNC5221 – กลุ่มที่มีความเชื่อมโยงกับจีน
➡️ APT41, Blackfly, Grayfly – ใช้ ShadowPad
➡️ REF3927 – กลุ่มใหม่ที่ใช้ ToolShell ร่วมกับกลุ่มอื่น
✅ เป้าหมายของการโจมตี
➡️ หน่วยงานรัฐบาลในอเมริกาใต้
➡️ มหาวิทยาลัยในสหรัฐฯ
➡️ ระบบ SharePoint ที่มีช่องโหว่
➡️ เป้าหมายเชิงยุทธศาสตร์ที่มีข้อมูลสำคัญ
➡️ สร้างการเข้าถึงระยะยาวและขโมยข้อมูลอย่างต่อเนื่อง
https://securityonline.info/symantec-exposes-chinese-apt-overlap-zingdoor-shadowpad-and-krustyloader-used-in-global-espionage/
0 Comments
0 Shares
55 Views
0 Reviews
Thai