ESET ได้ค้นพบกลุ่มภัยคุกคามขั้นสูงแบบต่อเนื่อง APT (Advanced persistent threat) กลุ่มใหม่ที่ชื่อว่า CeranaKeeper ซึ่งมีความเชื่อมโยงกับกลุ่มแฮกเกอร์จากประเทศจีนอย่าง Mustang Panda โดยกลุ่มนี้ได้พุ่งเป้าโจมตีหน่วยงานรัฐบาลไทยมาตั้งแต่ต้นปี 2023 โดยมีเป้าหมายที่จะลักลอบขโมยข้อมูลจำนวนมหาศาลจากเครือข่ายของรัฐบาลไทย
กลุ่ม CeranaKeeper ได้เริ่มปฏิบัติการโจมตีทางไซเบอร์ โดยมุ่งเป้าไปยังหน่วยงานรัฐบาลในประเทศเอเชีย เช่น เมียนมา, ฟิลิปปินส์, ญี่ปุ่น, และไต้หวัน และรัฐบาลไทย เป็นกลุ่มที่มีความโดดเด่นในด้านการโจมตีด้วยเทคนิคที่หลากหลายและพัฒนาตัวเองอย่างต่อเนื่อง กลุ่มนี้มีการใช้เครื่องมือที่ได้รับการปรับแต่งเป็นพิเศษเพื่อเจาะระบบเครือข่าย และผ่านบริการคลาวด์อย่าง Pastebin, Dropbox, OneDrive, และ GitHub
ในงานประชุม Virus Bulletin เมื่อวันที่ 2 ตุลาคม 2024 นักวิจัยจาก ESET ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับกลุ่ม CeranaKeeper รวมถึงเครื่องมือที่พัฒนาขึ้นใหม่ซึ่งไม่เคยมีการบันทึกมาก่อน นอกจากนี้ ในรายงาน ESET Rechsearch ได้แยกการโจมตีของกลุ่ม CeranaKeeper ออกจากกลุ่ม Mustang Panda เนื่องจากทั้งสองกลุ่มแม้จะมีบางส่วนที่คล้ายคลึงกัน แต่มีการใช้เครื่องมือที่แตกต่างกัน (อ่าน ESET Rechsearch: Ceranakeeper เพิ่มเติมได้ที่นี่ )
การโจมตีของกลุ่ม CeranaKeeper
กลุ่ม CeranaKeeper CeranaKeeper ได้ใช้เครื่องมือเฉพาะของกลุ่มที่เรียกว่า TONEINS, TONESHELL, และ PUBLOAD เพื่อดำเนินการโจมตีและเก็บข้อมูลจากเครือข่ายที่ถูกเจาะ เครื่องมือเหล่านี้ได้รับการพัฒนาอย่างต่อเนื่องและมีการใช้เวอร์ชันที่ปรับปรุงใหม่ รวมถึงการใช้บริการคลาวด์อย่าง Pastebin, Dropbox, OneDrive, และ GitHub เพื่อขโมยข้อมูลไปยังบริการเหล่านี้อีกด้วย
การโจมตีรัฐบาลไทยในปี 2023
ในช่วงกลางปี 2023 กลุ่ม CeranaKeeper ได้ทำการโจมตีหน่วยงานรัฐบาลในประเทศไทย โดยเริ่มต้นจากการเข้าถึงเครื่องที่ถูกเจาะในเครือข่ายด้วยการใช้การโจมตี brute-force บนเซิร์ฟเวอร์ domain controller ของหน่วยงานนั้น หลังจากได้สิทธิ์เข้าถึงระบบแล้ว ผู้โจมตีได้ติดตั้ง TONESHELL backdoor พร้อมทั้งใช้เครื่องมือในการดึงข้อมูลประจำตัวผู้ใช้ และใช้ไดรเวอร์ Avast ที่ถูกต้องตามกฎหมายเพื่อปิดการทำงานของระบบรักษาความปลอดภัย
จากเซิร์ฟเวอร์ที่ถูกเจาะ กลุ่มนี้ได้ใช้คอนโซลควบคุมระยะไกลในการสั่งการและติดตั้ง backdoor ไปยังเครื่องคอมพิวเตอร์อื่นๆ ในเครือข่าย นอกจากนี้ยังใช้เซิร์ฟเวอร์ที่ถูกเจาะเป็นเซิร์ฟเวอร์อัปเดตสำหรับ TONESHELL ทำให้กลุ่มนี้สามารถอัปเดตเครื่องมือของพวกเขาได้อย่างต่อเนื่อง พวกเขายังใช้สคริปต์ BAT เพื่อขยายการเข้าถึงไปยังเครื่องอื่นๆ ในเครือข่ายผ่านการควบคุม domain controller เพื่อยึดสิทธิ์ domain admin ในที่สุดกลุ่ม CeranaKeeper ก็สามารถทำการขโมยข้อมูลจำนวนมหาศาลจากเครือข่ายที่ถูกโจมตี
วิธีป้องกันการโจมตีจากกลุ่ม CeranaKeeper
การป้องกันการโจมตีจากกลุ่ม CeranaKeeper จำเป็นต้องมีมาตรการความปลอดภัยที่เข้มงวด เพื่อป้องกันการขโมยข้อมูลและการบุกรุกเครือข่ายขององค์กร :
- หมั่นตรวจสอบเครือข่าย: เนื่องจากกลุ่มนี้ใช้บริการคลาวด์ที่ถูกกฎหมาย เช่น Dropbox, OneDrive, และ GitHub การตรวจสอบการเคลื่อนไหวที่ผิดปกติ โดยเฉพาะการส่งข้อมูลไปยังบัญชีที่ไม่รู้จัก เป็นสิ่งสำคัญในการตรวจจับการโจมตี
- การป้องกันการโจมตีแบบ BYOVD: CeranaKeeper ใช้ไดรเวอร์ที่มีช่องโหว่ในการปิดการทำงานของระบบความปลอดภัย การอัปเดตไดรเวอร์อย่างสม่ำเสมอจะช่วยลดความเสี่ยงนี้
- การอัปเดตซอฟต์แวร์: อัปเดตซอฟต์แวร์และแพตช์ความปลอดภัยอย่างสม่ำเสมอ เพื่อลดความเสี่ยงจากช่องโหว่ที่แฮกเกอร์อาจใช้โจมตี
- การใช้ MFA (Multi-Factor Authentication): การยืนยันตัวตนหลายขั้นตอน (MFA) ช่วยเสริมความปลอดภัยในการเข้าถึงระบบ ลดโอกาสการถูกบุกรุกจากการโจมตีแบบ brute-force
- การตรวจสอบบันทึกระบบ: วิเคราะห์บันทึกและตรวจสอบพฤติกรรมเครือข่ายเป็นประจำ เพื่อค้นหาความผิดปกติหรือการโจมตีก่อนที่จะเกิดความเสียหาย
เสริมความปลอดภัยด้วย ESET Elite Protection
ESET Elite Protection ช่วยยกระดับความปลอดภัยให้กับองค์กรของคุณอย่างเต็มรูปแบบ ด้วยระบบตรวจจับและวิเคราะห์ภัยคุกคามแบบเรียลไทม์ LiveGuard สามารถป้องกันไวรัส มัลแวร์ และการโจมตีที่อาจสร้างความเสียหายต่ออุปกรณ์และข้อมูลสำคัญของคุณได้อย่างมีประสิทธิภาพ พร้อมด้วยเทคโนโลยี AI อัจฉริยะ ที่พร้อมรับมือกับภัยคุกคามไซเบอร์หลากหลายรูปแบบ รองรับทั้งการใช้งาน On-Premise และ On-Cloud ทำให้องค์กรของคุณมั่นใจได้ในความปลอดภัยและพร้อมเผชิญกับการโจมตีไซเบอร์ทุกประเภท ทดลองใช้งานโซลูชั่น ESET Elite Protection หรือ ติดต่อSale