UNC1549 ขยายการโจมตีสู่อุตสาหกรรมการบินและอวกาศ
ตั้งแต่กลางปี 2024 กลุ่ม UNC1549 ได้เพิ่มการโจมตีที่มุ่งเป้าไปยังบริษัทด้านการบินและอวกาศ รวมถึงผู้รับเหมาด้านกลาโหม โดยใช้วิธีการที่ซับซ้อน เช่น การเจาะผ่านซัพพลายเชน และ การส่ง spear-phishing แบบเจาะจงบุคคล เพื่อเข้าถึงระบบที่มีการป้องกันสูง
เทคนิคที่ใช้: DLL Hijacking และ VDI Breakouts
UNC1549 ใช้ DLL search order hijacking เพื่อรันมัลแวร์ที่ซ่อนอยู่ในซอฟต์แวร์ที่เชื่อถือได้ เช่น Citrix, VMware และ Microsoft นอกจากนี้ยังใช้ VDI Breakouts เพื่อหลบหนีข้อจำกัดของระบบ virtualization เช่น Citrix Virtual Desktop และ Azure Virtual Desktop ทำให้สามารถเคลื่อนย้ายภายในระบบได้อย่างลับๆ
มัลแวร์เฉพาะทางที่ถูกพัฒนา
นักวิจัยพบมัลแวร์หลายตัวที่ UNC1549 ใช้ เช่น TWOSTROKE, MINIBIKE, DEEPROOT, LIGHTRAIL, CRASHPAD, SIGHTGRAB โดยแต่ละตัวมีความสามารถเฉพาะ เช่น การขโมย credential, การจับภาพหน้าจอ, การสร้าง backdoor ผ่าน Azure WebSocket และการใช้ Golang เพื่อสร้าง backdoor บน Linux จุดเด่นคือ ทุก payload มี hash ที่ไม่ซ้ำกัน ทำให้การตรวจสอบทางนิติวิทยาศาสตร์ยากขึ้นมาก
ความเสี่ยงและผลกระทบ
การโจมตีนี้สะท้อนถึงความเสี่ยงของการพึ่งพาซัพพลายเชนและซอฟต์แวร์ที่เชื่อถือได้ เพราะแม้ระบบหลักจะมีการป้องกันเข้มงวด แต่การเจาะผ่านพันธมิตรหรือผู้รับเหมาที่เชื่อมต่อกับระบบก็สามารถเปิดช่องให้ผู้โจมตีเข้าถึงข้อมูลสำคัญ เช่น เอกสารด้าน IT, ทรัพย์สินทางปัญญา และอีเมลภายในองค์กร
สรุปสาระสำคัญ
การโจมตีของ UNC1549
มุ่งเป้าไปที่อุตสาหกรรมการบิน, อวกาศ และกลาโหม
ใช้ spear-phishing และการเจาะผ่านซัพพลายเชน
เทคนิคที่ใช้
DLL Hijacking บนซอฟต์แวร์ที่เชื่อถือได้ (Citrix, VMware, Microsoft)
VDI Breakouts เพื่อหลบหนีข้อจำกัด virtualization
มัลแวร์ที่พบ
TWOSTROKE: backdoor ที่เข้ารหัส SSL
LIGHTRAIL: tunneler ผ่าน Azure WebSocket
DEEPROOT: Golang backdoor บน Linux
CRASHPAD และ SIGHTGRAB: ขโมย credential และจับภาพหน้าจอ
คำเตือนจากเหตุการณ์
การพึ่งพาซัพพลายเชนที่เชื่อมต่อกับระบบหลักเป็นช่องโหว่สำคัญ
Payload ที่มี hash ไม่ซ้ำกันทำให้การตรวจสอบยากขึ้น
องค์กรควรเสริมการตรวจสอบซอฟต์แวร์ที่เชื่อถือได้และระบบ virtualization
https://securityonline.info/iranian-apt-unc1549-infiltrates-aerospace-by-hijacking-trusted-dlls-and-executing-vdi-breakouts/
ตั้งแต่กลางปี 2024 กลุ่ม UNC1549 ได้เพิ่มการโจมตีที่มุ่งเป้าไปยังบริษัทด้านการบินและอวกาศ รวมถึงผู้รับเหมาด้านกลาโหม โดยใช้วิธีการที่ซับซ้อน เช่น การเจาะผ่านซัพพลายเชน และ การส่ง spear-phishing แบบเจาะจงบุคคล เพื่อเข้าถึงระบบที่มีการป้องกันสูง
เทคนิคที่ใช้: DLL Hijacking และ VDI Breakouts
UNC1549 ใช้ DLL search order hijacking เพื่อรันมัลแวร์ที่ซ่อนอยู่ในซอฟต์แวร์ที่เชื่อถือได้ เช่น Citrix, VMware และ Microsoft นอกจากนี้ยังใช้ VDI Breakouts เพื่อหลบหนีข้อจำกัดของระบบ virtualization เช่น Citrix Virtual Desktop และ Azure Virtual Desktop ทำให้สามารถเคลื่อนย้ายภายในระบบได้อย่างลับๆ
มัลแวร์เฉพาะทางที่ถูกพัฒนา
นักวิจัยพบมัลแวร์หลายตัวที่ UNC1549 ใช้ เช่น TWOSTROKE, MINIBIKE, DEEPROOT, LIGHTRAIL, CRASHPAD, SIGHTGRAB โดยแต่ละตัวมีความสามารถเฉพาะ เช่น การขโมย credential, การจับภาพหน้าจอ, การสร้าง backdoor ผ่าน Azure WebSocket และการใช้ Golang เพื่อสร้าง backdoor บน Linux จุดเด่นคือ ทุก payload มี hash ที่ไม่ซ้ำกัน ทำให้การตรวจสอบทางนิติวิทยาศาสตร์ยากขึ้นมาก
ความเสี่ยงและผลกระทบ
การโจมตีนี้สะท้อนถึงความเสี่ยงของการพึ่งพาซัพพลายเชนและซอฟต์แวร์ที่เชื่อถือได้ เพราะแม้ระบบหลักจะมีการป้องกันเข้มงวด แต่การเจาะผ่านพันธมิตรหรือผู้รับเหมาที่เชื่อมต่อกับระบบก็สามารถเปิดช่องให้ผู้โจมตีเข้าถึงข้อมูลสำคัญ เช่น เอกสารด้าน IT, ทรัพย์สินทางปัญญา และอีเมลภายในองค์กร
สรุปสาระสำคัญ
การโจมตีของ UNC1549
มุ่งเป้าไปที่อุตสาหกรรมการบิน, อวกาศ และกลาโหม
ใช้ spear-phishing และการเจาะผ่านซัพพลายเชน
เทคนิคที่ใช้
DLL Hijacking บนซอฟต์แวร์ที่เชื่อถือได้ (Citrix, VMware, Microsoft)
VDI Breakouts เพื่อหลบหนีข้อจำกัด virtualization
มัลแวร์ที่พบ
TWOSTROKE: backdoor ที่เข้ารหัส SSL
LIGHTRAIL: tunneler ผ่าน Azure WebSocket
DEEPROOT: Golang backdoor บน Linux
CRASHPAD และ SIGHTGRAB: ขโมย credential และจับภาพหน้าจอ
คำเตือนจากเหตุการณ์
การพึ่งพาซัพพลายเชนที่เชื่อมต่อกับระบบหลักเป็นช่องโหว่สำคัญ
Payload ที่มี hash ไม่ซ้ำกันทำให้การตรวจสอบยากขึ้น
องค์กรควรเสริมการตรวจสอบซอฟต์แวร์ที่เชื่อถือได้และระบบ virtualization
https://securityonline.info/iranian-apt-unc1549-infiltrates-aerospace-by-hijacking-trusted-dlls-and-executing-vdi-breakouts/
✈️ UNC1549 ขยายการโจมตีสู่อุตสาหกรรมการบินและอวกาศ
ตั้งแต่กลางปี 2024 กลุ่ม UNC1549 ได้เพิ่มการโจมตีที่มุ่งเป้าไปยังบริษัทด้านการบินและอวกาศ รวมถึงผู้รับเหมาด้านกลาโหม โดยใช้วิธีการที่ซับซ้อน เช่น การเจาะผ่านซัพพลายเชน และ การส่ง spear-phishing แบบเจาะจงบุคคล เพื่อเข้าถึงระบบที่มีการป้องกันสูง
🛠️ เทคนิคที่ใช้: DLL Hijacking และ VDI Breakouts
UNC1549 ใช้ DLL search order hijacking เพื่อรันมัลแวร์ที่ซ่อนอยู่ในซอฟต์แวร์ที่เชื่อถือได้ เช่น Citrix, VMware และ Microsoft นอกจากนี้ยังใช้ VDI Breakouts เพื่อหลบหนีข้อจำกัดของระบบ virtualization เช่น Citrix Virtual Desktop และ Azure Virtual Desktop ทำให้สามารถเคลื่อนย้ายภายในระบบได้อย่างลับๆ
🧩 มัลแวร์เฉพาะทางที่ถูกพัฒนา
นักวิจัยพบมัลแวร์หลายตัวที่ UNC1549 ใช้ เช่น TWOSTROKE, MINIBIKE, DEEPROOT, LIGHTRAIL, CRASHPAD, SIGHTGRAB โดยแต่ละตัวมีความสามารถเฉพาะ เช่น การขโมย credential, การจับภาพหน้าจอ, การสร้าง backdoor ผ่าน Azure WebSocket และการใช้ Golang เพื่อสร้าง backdoor บน Linux จุดเด่นคือ ทุก payload มี hash ที่ไม่ซ้ำกัน ทำให้การตรวจสอบทางนิติวิทยาศาสตร์ยากขึ้นมาก
⚠️ ความเสี่ยงและผลกระทบ
การโจมตีนี้สะท้อนถึงความเสี่ยงของการพึ่งพาซัพพลายเชนและซอฟต์แวร์ที่เชื่อถือได้ เพราะแม้ระบบหลักจะมีการป้องกันเข้มงวด แต่การเจาะผ่านพันธมิตรหรือผู้รับเหมาที่เชื่อมต่อกับระบบก็สามารถเปิดช่องให้ผู้โจมตีเข้าถึงข้อมูลสำคัญ เช่น เอกสารด้าน IT, ทรัพย์สินทางปัญญา และอีเมลภายในองค์กร
📌 สรุปสาระสำคัญ
✅ การโจมตีของ UNC1549
➡️ มุ่งเป้าไปที่อุตสาหกรรมการบิน, อวกาศ และกลาโหม
➡️ ใช้ spear-phishing และการเจาะผ่านซัพพลายเชน
✅ เทคนิคที่ใช้
➡️ DLL Hijacking บนซอฟต์แวร์ที่เชื่อถือได้ (Citrix, VMware, Microsoft)
➡️ VDI Breakouts เพื่อหลบหนีข้อจำกัด virtualization
✅ มัลแวร์ที่พบ
➡️ TWOSTROKE: backdoor ที่เข้ารหัส SSL
➡️ LIGHTRAIL: tunneler ผ่าน Azure WebSocket
➡️ DEEPROOT: Golang backdoor บน Linux
➡️ CRASHPAD และ SIGHTGRAB: ขโมย credential และจับภาพหน้าจอ
‼️ คำเตือนจากเหตุการณ์
⛔ การพึ่งพาซัพพลายเชนที่เชื่อมต่อกับระบบหลักเป็นช่องโหว่สำคัญ
⛔ Payload ที่มี hash ไม่ซ้ำกันทำให้การตรวจสอบยากขึ้น
⛔ องค์กรควรเสริมการตรวจสอบซอฟต์แวร์ที่เชื่อถือได้และระบบ virtualization
https://securityonline.info/iranian-apt-unc1549-infiltrates-aerospace-by-hijacking-trusted-dlls-and-executing-vdi-breakouts/
0 Comments
0 Shares
21 Views
0 Reviews
Thai