ปฏิบัติการเงียบจากแดนมังกร: แฮกเกอร์จีนแฝงตัวในองค์กรนโยบายสหรัฐฯ นานนับเดือน
การสืบสวนล่าสุดโดยทีม Broadcom Threat Hunter เผยให้เห็นการโจมตีไซเบอร์ที่ซับซ้อนจากกลุ่ม APT (Advanced Persistent Threat) ที่เชื่อมโยงกับรัฐบาลจีน โดยเจาะเข้าองค์กรไม่แสวงกำไรในสหรัฐฯ ที่มีบทบาทด้านนโยบายระหว่างประเทศ
การโจมตีเริ่มต้นในเดือนเมษายน 2025 ด้วยการสแกนช่องโหว่ที่รู้จักกันดี เช่น Log4j, Apache Struts และ Atlassian OGNL Injection ก่อนจะเข้าสู่ขั้นตอนการแฝงตัวอย่างแนบเนียนผ่าน Scheduled Task และการใช้โปรแกรมระบบ Windows เช่น msbuild.exe และ csc.exe เพื่อรันโค้ดอันตรายโดยไม่ถูกตรวจจับ
หนึ่งในเทคนิคที่โดดเด่นคือ DLL Sideloading โดยใช้ไฟล์ vetysafe.exe จาก Vipre Antivirus เพื่อโหลด DLL ปลอมชื่อ sbamres.dll ซึ่งเคยถูกใช้ในแคมเปญของกลุ่มแฮกเกอร์จีนหลายกลุ่ม เช่น Space Pirates, Kelp (Salt Typhoon) และ Earth Longzhi (กลุ่มย่อยของ APT41)
เสริมความรู้: DLL Sideloading และ Living-off-the-Land คืออะไร?
DLL Sideloading คือการใช้โปรแกรมที่ถูกต้องตามกฎหมายเพื่อโหลด DLL ปลอมที่แฮกเกอร์สร้างขึ้น ทำให้ระบบเข้าใจผิดว่าเป็นส่วนหนึ่งของโปรแกรมจริง
Living-off-the-Land (LOTL) คือการใช้เครื่องมือหรือโปรแกรมที่มีอยู่ในระบบอยู่แล้ว เช่น msbuild.exe, certutil.exe เพื่อหลีกเลี่ยงการตรวจจับจากโปรแกรมป้องกันไวรัส
กลุ่มผู้โจมตี
เป็นกลุ่ม APT ที่เชื่อมโยงกับรัฐบาลจีน เช่น APT41, Space Pirates, Kelp
มีเป้าหมายเพื่อสอดแนมนโยบายต่างประเทศของสหรัฐฯ
เทคนิคที่ใช้
สแกนช่องโหว่ที่รู้จักกันดี เช่น Log4j, Apache Struts
ใช้ msbuild.exe และ csc.exe เพื่อรันโค้ดอันตรายแบบ LOTL
สร้าง Scheduled Task ที่รันทุกชั่วโมงในระดับ SYSTEM
ใช้ DLL Sideloading ผ่าน vetysafe.exe เพื่อโหลด sbamres.dll
ความสามารถของมัลแวร์
สร้าง C2 connection เพื่อควบคุมเครื่องจากระยะไกล
ใช้ msascui.exe ปลอมตัวเป็น MicrosoftRuntime เพื่อรัน payload
ใช้ DCSync เพื่อขโมยข้อมูลจาก Active Directory
ใช้ Imjpuexc.exe เพื่อหลบซ่อนในระบบ
ความเสี่ยงต่อองค์กร
องค์กรที่เกี่ยวข้องกับนโยบายหรือการทูตมีความเสี่ยงสูง
การใช้โปรแกรมระบบทำให้การตรวจจับยากขึ้น
การโจมตีแบบยาวนานอาจทำให้ข้อมูลสำคัญรั่วไหลโดยไม่รู้ตัว
คำแนะนำด้านความปลอดภัย
ตรวจสอบ Scheduled Task ที่รันในระดับ SYSTEM
ตรวจสอบการใช้โปรแกรมระบบที่ผิดปกติ เช่น msbuild.exe
ใช้ระบบ EDR ที่สามารถตรวจจับ DLL Sideloading และ LOTL ได้
https://securityonline.info/china-apt-infiltrates-us-policy-nonprofit-in-months-long-espionage-campaign-using-dll-sideloading/
การสืบสวนล่าสุดโดยทีม Broadcom Threat Hunter เผยให้เห็นการโจมตีไซเบอร์ที่ซับซ้อนจากกลุ่ม APT (Advanced Persistent Threat) ที่เชื่อมโยงกับรัฐบาลจีน โดยเจาะเข้าองค์กรไม่แสวงกำไรในสหรัฐฯ ที่มีบทบาทด้านนโยบายระหว่างประเทศ
การโจมตีเริ่มต้นในเดือนเมษายน 2025 ด้วยการสแกนช่องโหว่ที่รู้จักกันดี เช่น Log4j, Apache Struts และ Atlassian OGNL Injection ก่อนจะเข้าสู่ขั้นตอนการแฝงตัวอย่างแนบเนียนผ่าน Scheduled Task และการใช้โปรแกรมระบบ Windows เช่น msbuild.exe และ csc.exe เพื่อรันโค้ดอันตรายโดยไม่ถูกตรวจจับ
หนึ่งในเทคนิคที่โดดเด่นคือ DLL Sideloading โดยใช้ไฟล์ vetysafe.exe จาก Vipre Antivirus เพื่อโหลด DLL ปลอมชื่อ sbamres.dll ซึ่งเคยถูกใช้ในแคมเปญของกลุ่มแฮกเกอร์จีนหลายกลุ่ม เช่น Space Pirates, Kelp (Salt Typhoon) และ Earth Longzhi (กลุ่มย่อยของ APT41)
เสริมความรู้: DLL Sideloading และ Living-off-the-Land คืออะไร?
DLL Sideloading คือการใช้โปรแกรมที่ถูกต้องตามกฎหมายเพื่อโหลด DLL ปลอมที่แฮกเกอร์สร้างขึ้น ทำให้ระบบเข้าใจผิดว่าเป็นส่วนหนึ่งของโปรแกรมจริง
Living-off-the-Land (LOTL) คือการใช้เครื่องมือหรือโปรแกรมที่มีอยู่ในระบบอยู่แล้ว เช่น msbuild.exe, certutil.exe เพื่อหลีกเลี่ยงการตรวจจับจากโปรแกรมป้องกันไวรัส
กลุ่มผู้โจมตี
เป็นกลุ่ม APT ที่เชื่อมโยงกับรัฐบาลจีน เช่น APT41, Space Pirates, Kelp
มีเป้าหมายเพื่อสอดแนมนโยบายต่างประเทศของสหรัฐฯ
เทคนิคที่ใช้
สแกนช่องโหว่ที่รู้จักกันดี เช่น Log4j, Apache Struts
ใช้ msbuild.exe และ csc.exe เพื่อรันโค้ดอันตรายแบบ LOTL
สร้าง Scheduled Task ที่รันทุกชั่วโมงในระดับ SYSTEM
ใช้ DLL Sideloading ผ่าน vetysafe.exe เพื่อโหลด sbamres.dll
ความสามารถของมัลแวร์
สร้าง C2 connection เพื่อควบคุมเครื่องจากระยะไกล
ใช้ msascui.exe ปลอมตัวเป็น MicrosoftRuntime เพื่อรัน payload
ใช้ DCSync เพื่อขโมยข้อมูลจาก Active Directory
ใช้ Imjpuexc.exe เพื่อหลบซ่อนในระบบ
ความเสี่ยงต่อองค์กร
องค์กรที่เกี่ยวข้องกับนโยบายหรือการทูตมีความเสี่ยงสูง
การใช้โปรแกรมระบบทำให้การตรวจจับยากขึ้น
การโจมตีแบบยาวนานอาจทำให้ข้อมูลสำคัญรั่วไหลโดยไม่รู้ตัว
คำแนะนำด้านความปลอดภัย
ตรวจสอบ Scheduled Task ที่รันในระดับ SYSTEM
ตรวจสอบการใช้โปรแกรมระบบที่ผิดปกติ เช่น msbuild.exe
ใช้ระบบ EDR ที่สามารถตรวจจับ DLL Sideloading และ LOTL ได้
https://securityonline.info/china-apt-infiltrates-us-policy-nonprofit-in-months-long-espionage-campaign-using-dll-sideloading/
🧨 ปฏิบัติการเงียบจากแดนมังกร: แฮกเกอร์จีนแฝงตัวในองค์กรนโยบายสหรัฐฯ นานนับเดือน
การสืบสวนล่าสุดโดยทีม Broadcom Threat Hunter เผยให้เห็นการโจมตีไซเบอร์ที่ซับซ้อนจากกลุ่ม APT (Advanced Persistent Threat) ที่เชื่อมโยงกับรัฐบาลจีน โดยเจาะเข้าองค์กรไม่แสวงกำไรในสหรัฐฯ ที่มีบทบาทด้านนโยบายระหว่างประเทศ
การโจมตีเริ่มต้นในเดือนเมษายน 2025 ด้วยการสแกนช่องโหว่ที่รู้จักกันดี เช่น Log4j, Apache Struts และ Atlassian OGNL Injection ก่อนจะเข้าสู่ขั้นตอนการแฝงตัวอย่างแนบเนียนผ่าน Scheduled Task และการใช้โปรแกรมระบบ Windows เช่น msbuild.exe และ csc.exe เพื่อรันโค้ดอันตรายโดยไม่ถูกตรวจจับ
หนึ่งในเทคนิคที่โดดเด่นคือ DLL Sideloading โดยใช้ไฟล์ vetysafe.exe จาก Vipre Antivirus เพื่อโหลด DLL ปลอมชื่อ sbamres.dll ซึ่งเคยถูกใช้ในแคมเปญของกลุ่มแฮกเกอร์จีนหลายกลุ่ม เช่น Space Pirates, Kelp (Salt Typhoon) และ Earth Longzhi (กลุ่มย่อยของ APT41)
🧠 เสริมความรู้: DLL Sideloading และ Living-off-the-Land คืออะไร?
🎗️ DLL Sideloading คือการใช้โปรแกรมที่ถูกต้องตามกฎหมายเพื่อโหลด DLL ปลอมที่แฮกเกอร์สร้างขึ้น ทำให้ระบบเข้าใจผิดว่าเป็นส่วนหนึ่งของโปรแกรมจริง
🎗️ Living-off-the-Land (LOTL) คือการใช้เครื่องมือหรือโปรแกรมที่มีอยู่ในระบบอยู่แล้ว เช่น msbuild.exe, certutil.exe เพื่อหลีกเลี่ยงการตรวจจับจากโปรแกรมป้องกันไวรัส
✅ กลุ่มผู้โจมตี
➡️ เป็นกลุ่ม APT ที่เชื่อมโยงกับรัฐบาลจีน เช่น APT41, Space Pirates, Kelp
➡️ มีเป้าหมายเพื่อสอดแนมนโยบายต่างประเทศของสหรัฐฯ
✅ เทคนิคที่ใช้
➡️ สแกนช่องโหว่ที่รู้จักกันดี เช่น Log4j, Apache Struts
➡️ ใช้ msbuild.exe และ csc.exe เพื่อรันโค้ดอันตรายแบบ LOTL
➡️ สร้าง Scheduled Task ที่รันทุกชั่วโมงในระดับ SYSTEM
➡️ ใช้ DLL Sideloading ผ่าน vetysafe.exe เพื่อโหลด sbamres.dll
✅ ความสามารถของมัลแวร์
➡️ สร้าง C2 connection เพื่อควบคุมเครื่องจากระยะไกล
➡️ ใช้ msascui.exe ปลอมตัวเป็น MicrosoftRuntime เพื่อรัน payload
➡️ ใช้ DCSync เพื่อขโมยข้อมูลจาก Active Directory
➡️ ใช้ Imjpuexc.exe เพื่อหลบซ่อนในระบบ
‼️ ความเสี่ยงต่อองค์กร
⛔ องค์กรที่เกี่ยวข้องกับนโยบายหรือการทูตมีความเสี่ยงสูง
⛔ การใช้โปรแกรมระบบทำให้การตรวจจับยากขึ้น
⛔ การโจมตีแบบยาวนานอาจทำให้ข้อมูลสำคัญรั่วไหลโดยไม่รู้ตัว
‼️ คำแนะนำด้านความปลอดภัย
⛔ ตรวจสอบ Scheduled Task ที่รันในระดับ SYSTEM
⛔ ตรวจสอบการใช้โปรแกรมระบบที่ผิดปกติ เช่น msbuild.exe
⛔ ใช้ระบบ EDR ที่สามารถตรวจจับ DLL Sideloading และ LOTL ได้
https://securityonline.info/china-apt-infiltrates-us-policy-nonprofit-in-months-long-espionage-campaign-using-dll-sideloading/
0 ความคิดเห็น
0 การแบ่งปัน
26 มุมมอง
0 รีวิว
English