TTC-CERT ตรวจพบกลุ่ม Mustang Panda เปลี่ยนแปลงรูปแบบและวิธีการที่ใช้ในการโจมตีประเทศเมียนมา

By TTC-CERT Contributor on Tag: TTC-CERT, Malware, Cybersecurity, In-Depth
TTC-CERT

ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงานการตรวจพบไฟล์ RAR ที่เกี่ยวข้องกับกลุ่มผู้โจมตีที่รู้จักในชื่อ “Mustang Panda” ซึ่งเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลและมีฐานปฏิบัติการอยู่ในประเทศที่ใช้ภาษาจีนในการสื่อสาร โดยมีเป้าหมายการโจมตีต่อหน่วยงานต่าง ๆ ทั่วโลก โดยเฉพาะประเทศในแถบเอเชียตะวันออกเฉียงใต้ สหรัฐอเมริกา และยุโรป

จากเอกสารรายงานของ TTC-CERT  (การแจ้งเตือน-รายงานการวิเคราะห์กรณีพบกลุ่ม Mustang Panda เปลี่ยนแปลงรูปแบบและวิธีการที่ใช้ในการโจมตีประเทศเมียนมา) ได้ระบุถึงการตรวจพบไฟล์ RAR ซึ่งประกอบด้วยไฟล์ที่น่าสนใจจำนวน 3 ไฟล์ (รายละเอียดตามภาพที่ 1) เช่น ไฟล์ Windows Shortcut (LNK) ชื่อ လမ်းညွှန်ချက်များ.pdf.lnk ซึ่งเป็นชื่อไฟล์ในภาษาเมียนมามีความหมายว่า “Guideline” หรือ “Instructions” เป็นไฟล์ที่กลุ่มผู้โจมตีใช้สำหรับลวงเหยื่อให้เชื่อว่าเป็นไฟล์ชนิด PDF และให้เหยื่อ Excute ไฟล์ดังกล่าวเพื่ออ่านข้อมูลเพิ่มเติมที่อยู่ในไฟล์ นอกจากนี้ในไฟล์ RAR ดังกล่าวยังมีไฟล์ที่ถูกทำให้ดูเหมือนเป็นไฟล์รูปภาพ เช่น jl.jpg และ pic.gif ซึ่งเป็นไฟล์ที่กลุ่มผู้โจมตีได้ฝังไฟล์ชนิด Portable Executable (PE) และ Dynamic Link Library (DLL) เอาไว้ และเป็นไฟล์ที่มี Payload ที่เป็นอันตรายที่สร้างโดยกลุ่มผู้โจมตี

Imgur

ภาพที่ 1 ไฟล์จำนวน 3 รายการ ที่ผู้โจมตีใช้ในการโจมตีครั้งนี้ โดยหนึ่งในนั้นเป็นไฟล์ประเภท Windows Shortcut File (LNK) ที่ปลอมแปลงให้ดูเหมือนกับไฟล์ประเภท PDF 

นอกจากนี้ ในเอกสารรายงานฉบับดังกล่าวยังกล่าวถึงไฟล์ GetCurrentRollback.exe และ GetCurrentDeploy.dll ที่เป็น Stager ที่งถูกฝังอยู่ในไฟล์ที่ถูกทำให้ดูเหมือนเป็นไฟล์รูปภาพที่สร้างโดยกลุ่มผู้โจมตีซึ่งถูกนำไปใช้ในการสร้างกระบวนการ Persistence เพื่อให้กลุ่มผู้โจมตีนี้สามารถคงอยู่ในระยะยาวบนระบบของเหยื่อเพื่อจารกรรมข้อมูล ตลอดจน ในเอกสารรายงานฉบับดังกล่าวยังได้ระบุรายละเอียดของรูปแบบวิธีการ (Tactics, Techniques, and Procedures - TTPs) ในการโจมตีของกลุ่ม Mustang Panda ที่ใช้ในการโจมตีในครั้งนี้ ซึ่งมุ่งเน้นการล่อลวงเหยื่อผ่านอีเมลฟิชชิ่ง และใช้ Stager เป็นหลักในการสร้างกระบวนการ Persistence

Imgur

ภาพที่ 2 แสดงภาพรวมของ Infection Chain ของกลุ่ม Mustang Panda ที่ใช้ในการโจมตีในครั้งนี้

ในรายงานยังแสดง Infection Chain ที่เป็นภาพรวมของการโจมตีซึ่งมีรายละเอียดตามภาพที่ 2 อีกทั้งยังได้กล่าวถึงความสำคัญของการเฝ้าระวังและการรักษาความปลอดภัยทางไซเบอร์ นอกจากนี้ในรายงานยังมีการระบุ Indicators of Compromise (IOCs) และได้วิเคราะห์ความเชื่อมโยงเพื่อให้ได้ข้อมูลเพิ่มเติมเกี่ยวกับหมายเลข IP Address ของเครื่องแม่ข่ายเพิ่มเติมจำนวน 397 เครื่อง ที่มีความเชื่อมโยงกับ C2 ของมัลแวร์ของกลุ่ม Mustang Panda ซึ่งมีที่ตั้งอยู่ในประเทศที่สอดคล้องกับเป้าหมายการโจมตีของกลุ่มผู้โจมตี ซึ่งข้อมูลดังกล่าวสามารถนำมาใช้ในการตรวจจับและป้องกันการโจมตีจากกลุ่ม Mustang Panda 

แม้ว่ารายงานก่อนหน้านี้ที่เขียนโดยบริษัทด้านความมั่นคงปลอดภัยไซเบอร์ต่าง ๆ จะเน้นย้ำถึงกิจกรรมการโจมตีของกลุ่ม Mustang Panda ในประเทศยูเครนและ/หรือในประเทศที่เกี่ยวข้องกับข้อพิพาทในทะเลจีนใต้ แต่ในรายงานฉบับนี้ ศูนย์ TTC-CERT ได้ยกตัวอย่างเพิ่มเติมที่บ่งชี้ถึงความสนใจในการกำหนดเป้าหมายในการโจมตีไปที่หน่วยงานรัฐบาลประเทศเมียนมาและ/หรือชาวเมียนมา ซึ่งกลยุทธ์ของกลุ่มผู้โจมตีนี้อาจขยายไปยังภูมิภาคใกล้เคียงเช่นประเทศไทย จึงมีความจำเป็นอย่างยิ่งที่หน่วยงานต่าง ๆ ของประเทศไทยทั้งภาครัฐและเอกชนควรให้ความสำคัญกับภัยคุกคามทางไซเบอร์โดยเฉพาะภัยคุกคามจากกลุ่มดังกล่าว เพื่อสร้างความตระหนักรู้เท่าทันถึงภัยคุกคามทางไซเบอร์และความสำคัญของการรักษาความมั่นคงปลอดภัยไซเบอร์โดยเฉพาะภัยคุกคามทางไซเบอร์ที่กำลังเป็นประเด็นสำคัญในปัจจุบัน  

การตรวจพบไฟล์ RAR และไฟล์อื่น ๆ ที่เกี่ยวข้องที่เป็นอันตรายเหล่านี้ที่สร้างโดยกลุ่ม Mustang Panda บ่งบอกถึงกิจกรรมที่กำลังดำเนินอยู่ของกลุ่ม Mustang Panda อย่างไม่ลดละ ซึ่งสิ่งเหล่านี้เน้นย้ำถึงความจำเป็นในการเฝ้าระวังและมาตรการรักษาความปลอดภัยทางไซเบอร์ที่เข้มข้นขึ้นเพื่อลดความเสี่ยงและลดผลกระทบจากภัยคุกคามที่อาจเกิดโดยกลุ่มผู้โจมตีที่มีความต่อเนื่องและซับซ้อนรายนี้

รายงานนี้จึงมีความสำคัญในแง่ของการเฝ้าระวังและรักษาความปลอดภัยทางไซเบอร์ เพื่อลดความเสี่ยงจากกลุ่มผู้โจมตีที่มีความต่อเนื่องและซับซ้อน โดยเฉพาะอย่างยิ่งกลุ่มผู้โจมตีที่มีเป้าหมายโจมตีองค์กรต่าง ๆ ในเอเชียตะวันออกเฉียงใต้ และเพื่อสร้างความตระหนักรู้เกี่ยวกับภัยคุกคามทางไซเบอร์ในปัจจุบัน ซึ่ง IOCs ของการโจมตีในรายงานดังกล่าวจะถูกส่งไปยังระบบ MISP ขององค์กรที่เป็นสมาชิกศูนย์ TTC-CERT โดยอัตโนมัติหากเชื่อมต่อกับระบบ MISP ของศูนย์ TTC-CERT นอกจากนี้ ผู้ใช้งานที่มีระบบ MISP สามารถดาวน์โหลด MISP Event สำหรับหัวข้อในรายงานฉบับนี้ได้ที่ TTC-CERT github repository

ที่มา - TTC-CERT, การแจ้งเตือน-รายงานการวิเคราะห์กรณีพบกลุ่ม Mustang Panda เปลี่ยนแปลงรูปแบบและวิธีการที่ใช้ในการโจมตีประเทศเมียนมา

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand