January 27, 2021
ข่าวไอที ข่าวไอทีคอมทั่วไป คอมพิวเตอร์ PC

กลุ่ม แฮ็กเกอร์ชาวจีน TA416 มุ่งเป้าโจมตีวาติกัน ที่กลับมาสร้างรูปแบบมัลแวร์ใหม่ที่เป็นอันตรายอีกครั้ง

แฮ็กเกอร์ชาวจีน TA416

แฮ็กเกอร์ชาวจีน TA416 พุ่งเป้าไปที่วาติกันด้วยมัลแวร์รูปแบบใหม่ ซึ่งแคมเปญฟิชชิ่งใหม่ดังกล่าวกำหนดเป้าหมายไปที่กลุ่มคริสเตียนเช่นเดียวกับหน่วยงานในเมียนมาร์และองค์กรในแอฟริกานักวิจัยจาก Proofpoint ได้สังเกตเห็น กลุ่ม แฮ็กเกอร์ APT (ภัยคุกคามต่อเนื่องขั้นสูง) ของจีน TA416 หรือที่เรียกว่า Mustang Panda และ  Red Delta กลับมาสร้างรูปแบบมัลแวร์ใหม่ที่เป็นอันตรายอีกครั้งหลังจากการผ่อนผันสั้น ๆ ซึ่งตรงกับวันหยุดวันชาติจีนในเดือนกันยายน

แฮ็กเกอร์ชาวจีน  TA416

แฮ็กเกอร์ชาวจีน TA416 มีชื่อเสียงในการปรับเปลี่ยนชุดเครื่องมือเพื่อหลีกเลี่ยงการตรวจจับ

TA416 ใช้ตัวโหลดมัลแวร์ PlugX ในแคมเปญเป้าหมาย ซึ่งแฮ็กเกอร์กลุ่มนี้มีชื่อเสียงในการปรับเปลี่ยนชุดเครื่องมือเพื่อหลีกเลี่ยงการตรวจจับและทำการวิเคราะห์โดยนักวิจัยด้านความปลอดภัยได้ยากProofpoint ได้สังเกตเห็นกิจกรรมฟิชชิ่งใหม่โดย TA416 ซึ่งกำหนดเป้าหมายหน่วยงานที่เกี่ยวข้องกับความสัมพันธ์ทางการทูตระหว่างวาติกันและพรรคคอมมิวนิสต์จีน (CCP) กลุ่มนี้ยังกำหนดเป้าหมายหน่วยงานในเมียนมาร์รวมทั้งองค์กรที่ดำเนินการด้านการทูตในแอฟริกา

กลุ่ม แฮ็กเกอร์ชาวจีน  TA416 มุ่งเป้าโจมตีวาติกัน

แคมเปญฟิชชิ่งล่าสุดของ TA416 อ้างอิงถึงข้อตกลงชั่วคราวที่เรียกว่า Vatican Holy See ซึ่งเพิ่งต่ออายุระหว่างวาติกันและ CCP นอกจากนี้ยังพบช่องส่วนหัวของอีเมลที่ปลอมแปลงซึ่งดูเหมือนจะเลียนแบบนักข่าวจาก Union of Catholic Asia News

นักวิจัยของ Proofpoint ได้ระบุไฟล์ RAR สองรายการซึ่งทำหน้าที่เป็นดรอปเปอร์มัลแวร์ PlugX ในอดีต ซึ่ง TA416 จะเพิ่ม URL ของ Google Drive หรือ Drobox ให้กับอีเมลฟิชชิ่งที่ใช้ในการจัดส่งไฟล์เก็บถาวรที่มีมัลแวร์ PlugX และส่วนประกอบที่เกี่ยวข้อง

ตามที่รายงานโดย ThreatPost เครื่องมือการเข้าถึงระยะไกล PlugX (RAT) ช่วยให้ผู้ใช้ระยะไกลสามารถขโมยข้อมูลและแม้แต่ควบคุมระบบที่ได้รับผลกระทบโดยไม่ต้องได้รับอนุญาต และ PlugX ช่วยให้ผู้โจมตีสามารถคัดลอกไฟล์ ,ย้าย,เปลี่ยนชื่อเรียกใช้งานและลบไฟล์ตลอดจนบันทึกการกดแป้นพิมพ์ลายนิ้วมือระบบที่ติดไวรัสและอื่น ๆได้อีกด้วย

แฮ็กเกอร์ชาวจีน  TA416-ภัยคุกคามต่อเนื่องขั้นสูง

Proofpoint ระบุว่ามัลแวร์ PlugX ของ TA416 เป็นไบนารี Golang ซึ่งกลุ่มไม่เคยใช้ไฟล์ประเภทนี้มาก่อน แต่การทำงานของมัลแวร์ยังคงเหมือนเดิม นอกจากนี้ทีมวิจัย Proofpoint ให้ข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับสิ่งที่ค้นพบในรายงานฉบับใหม่โดยกล่าวว่า

แฮ็กเกอร์กลุ่ม TA416 ยังคงมีการดำเนินการเกี่ยวกับการดำเนินกิจกรรมแคมเปญจารกรรมกับเป้าหมายทั่วโลก และจากความพยายามในการโหลด Golang PlugX แสดงให้เห็นว่าแฮ็กเกอร์กลุ่มนี้อาจตระหนักถึงการใช้เครื่องมือตรวจจับที่เพิ่มมากขึ้นและมีการปรับตัวเพื่อหลบหลีกการถูกจับได้ซึ่งการปรับเปลี่ยนเครื่องมือเหล่านี้รวมกับการแก้ไขโครงสร้างคำสั่งอยู่ตลอดแสดงให้เห็นว่า TA416 ยังคงมุ่งมั่นที่จะทำการโจมตีโดยกำหนดเป้าหมายขององค์กรทางการทูตและศาสนา

สามารถกดติตดามข่าวสารไอทีใหม่ ๆ กับเราได้ที่นี่ ข่าวไอที2020
บทความดี ๆที่น่าสนใจโรงแรม Marriott ถูกปรับเมื่อถูกตรวจพบว่ามี การละเมิดข้อมูลส่วนบุคคลของลูกค้า ในสหราชอาณาจักร

Similar Posts