กลุ่ม Mustang Panda ซึ่งเป็นกลุ่มผู้ไม่ประสงค์ดีแบบ advanced persistent threat (APT) ที่มีความเชื่อมโยงกับรัฐบาลจีน มีการนำซอฟต์แวร์ Visual Studio Code มาใช้ในการโจมตีเพื่อขโมยข้อมูล โดยมีเป้าหมายคือ หน่วยงานของรัฐบาลในทวีปในเอเชียตะวันออกเฉียงใต้
Tom Fakterman นักวิจัยจาก Palo Alto Networks Unit 42 ระบุว่า "ผู้ไม่ประสงค์ดีรายนี้ใช้ฟีเจอร์ Reverse Shell ที่อยู่ใน Visual Studio Code เพื่อเข้าถึงในเครือข่ายเป้าหมาย โดยถือว่าเป็นเทคนิคที่ค่อนข้างใหม่ ที่ได้รับการสาธิตครั้งแรกในเดือนกันยายน 2023 โดย ทรูวิส ธอร์นตัน"
แคมเปญนี้ได้รับการประเมินว่าเป็นการสานต่อการโจมตีที่เคยมีก่อนหน้านี้ในช่วงปลายเดือนกันยายน 2023 ซึ่งมีเป้าหมายไปยังหน่วยงานรัฐในเอเชียตะวันออกเฉียงใต้ และไม่ได้มีการระบุชื่อหน่วยงาน
กลุ่ม Mustang Panda ที่รู้จักกันในชื่อ BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta และ Red Lich ได้ปฏิบัติการมาตั้งแต่ปี 2012 โดยมักจะโจมตีไปยังเป้าหมายที่เป็นหน่วยงานของรัฐ และองค์กรศาสนาทั่วทั้งยุโรป และเอเชีย โดยเฉพาะหน่วยงานที่ตั้งอยู่ในประเทศแถบทะเลจีนใต้
จากการตรวจสอบการโจมตีล่าสุด พบว่ามีการใช้ reverse shell ของ Visual Studio Code เพื่อเรียกใช้โค้ดที่ต้องการ และมีการส่ง additional payloads ในการโจมตี
Fakterman ระบุว่า หากมีการใช้ Visual Studio Code ในการโจมตี ผู้ไม่ประสงค์ดีจะทำการใช้ code.exe ในรูปแบบ portable version (ไฟล์ปฏิบัติการสำหรับ Visual Studio Code) หรืออาจใช้ซอฟต์แวร์ เวอร์ชันที่มีการติดตั้งไว้แล้ว ทำการเรียกใช้คำสั่ง code.exe ทำให้ผู้ไม่ประสงค์ดีได้รับลิงก์การเข้าสู่ระบบ GitHub ด้วยบัญชีของตนเอง
เมื่อขั้นตอนนี้เสร็จสมบูรณ์ ผู้ไม่ประสงค์ดีจะถูกเปลี่ยนเส้นทางไปยังเว็บ Visual Studio Code ที่เชื่อมต่อกับเครื่องที่ถูกโจมตี ซึ่งทำให้สามารถเรียกใช้คำสั่ง หรือสร้างไฟล์ใหม่ได้
การโจมตีที่ใช้รูปแบบ หรือเทคนิคนี้ เคยถูกแจ้งเตือนจากบริษัทความปลอดภัยทางไซเบอร์ของเนเธอร์แลนด์ที่ชื่อว่า Mnemonic เมื่อต้นปีที่ผ่านมา โดยมีความเกี่ยวข้องกับการโจมตีช่องโหว่ในผลิตภัณฑ์เกตเวย์ Network Security ของ Check Point (CVE-2024-24919, คะแนน CVSS: 8.6)
Unit 42 ระบุว่า กลุ่มผู้ไม่ประสงค์ดี Mustang Panda ใช้เทคนิคนี้เพื่อส่งมัลแวร์ รวบรวม และขโมยข้อมูลที่สำคัญ นอกจากนี้ผู้ไม่ประสงค์ดียังระบุอีกว่าได้ใช้ OpenSSH ในการเรียกใช้คำสั่ง ถ่ายโอนไฟล์ และแพร่กระจายมัลแวร์ไปทั่วเครือข่าย
ทั้งนี้ จากการวิเคราะห์ environment ระบุได้ว่า การโจมตีทั้งสองรูปแบบเกิดขึ้นพร้อม ๆ กัน และบางครั้งก็เกิดขึ้นที่เป้าหมายเดียวกัน รวมถึงมีการใช้มัลแวร์ ShadowPad ซึ่งเป็น modular backdoor ของจีนที่ใช้โจมตีกันอย่างแพร่หลาย
ปัจจุบัน ยังไม่ชัดเจนว่าการโจมตีทั้งสองรูปแบบเกี่ยวข้องกันหรือไม่ หรือเป็นกลุ่มที่แตกต่างกันสองกลุ่มคอยสนับสนุนการเข้าถึงของกันและกัน
จากข้อมูลการ forensic evidence และ timeline อาจสรุปได้ว่าการโจมตีทั้งสองรูปแบบนี้เกิดจากผู้ไม่ประสงค์ดีรายเดียวกัน (Stately Taurus) นักวิจัย Fakterman ระบุว่า อาจจะมีข้อมูลที่พอจะระบุความเกี่ยวข้องของเหตุการณ์การโจมตีนี้ได้ เช่น การพยายามร่วมมือกันระหว่างผู้ไม่ประสงค์ดี APT ของจีนทั้งสองกลุ่ม
Ref: thehackernews
ไม่มีความคิดเห็น:
แสดงความคิดเห็น