วันศุกร์ที่ 8 พฤษภาคม พ.ศ. 2563

แคสเปอร์สกี้เปิดเผย PhantomLance แคมเปญโจมตีแอนดรอย์ดีไวซ์หลายประเทศในอาเซียน




นักวิจัยของแคสเปอร์สกี้ตรวจพบ “แฟนท่อมแลนซ์” (PhantomLance) แคมเปญร้ายมีความซับซ้อนที่จ้องโจมตีผู้ใช้งานดีไวซ์ระบบแอนดรอยด์ซึ่งเชื่อมโยงกับผู้ก่อการร้ายไซเบอร์กลุ่มโอเชียนโลตัส (OceanLotus) แคมเปญนี้เริ่มต้นปฏิบัติการตั้งแต่ปี 2015 เป็นอย่างน้อย และปัจจุบันยังดำเนินการอยู่ ใช้สปายแวร์ซับซ้อนหลากหลายเวอร์ชั่นที่ทำหน้าที่เก็บข้อมูลของเหยื่อ และมีกลวิธีแพร่กระจายอย่างชาญฉลาดหลายวิธี เช่น ผ่านแอปพลิเคชั่นจำนวนมากใน Google Play 

ในเดือนกรกฏาคม ปี 2019 ผู้เชี่ยวชาญด้านความปลอดภัยแห่งหนึ่งได้ออกรายงานเรื่องสปายแวร์ตัวใหม่ที่พบใน Google Play แคสเปอร์สกี้สนใจรายงานนี้อย่างมากด้วยสปายแวร์มีฟีเจอร์ที่คาดไม่ถึง คือมีระดับความซับซ้อนและพฤติกรรมที่แตกต่างจากโทรจันทั่วไปในแอปสโตร์ นักวิจัยของแคสเปอร์สกี้ยังได้ค้นพบมัลแวร์อีกตัวหนึ่งที่คล้ายคลึงกันใน Google Play อีกด้วย โดยปกติแล้วผู้ออกแบบมัลแวร์จะอัพโหลดแอปร้ายไว้ในแอปสโตร์ แล้วลงทุนโปรโมทแอปพลิเคชั่นเพื่อเพิ่มยอดดาวน์โหลด ซึ่งก็คือการเพิ่มยอดเหยื่อนั่นเอง แต่ในกรณีนี้กลับต่างออกไป ผู้ก่อภัยคุกคามกลับไม่สนใจที่จะแพร่กระจายการติดเชื้อนี้ในวงกว้าง ทำให้นักวิจัยคาดว่าจะเป็นการโจมตีแบบเจาะจงเป้าหมาย การวิจัยเพิ่มเติมทำให้พบมัลแวร์นี้อีกหลายเวอร์ชั่นที่มีโค้ดสอดคล้องเชื่อมโยงกัน 

ฟังก์ชั่นการทำงานก็คล้ายคลึงกัน หน้าที่หลักของสปายแวร์คือการเก็บรวบรวมข้อมูล หน้าที่พื้นฐานอื่นๆ ได้แก่ การระบุตำแหน่ง การเข้าถึงข้อมูลการโทร ข้อมูลติดต่อ ข้อความ SMS และแอปพลิเคชั่นนี้ยังได้เก็บข้อมูลชื่อแอปอื่นๆ ที่ติดตั้งลงในดีไวซ์ ข้อมูลสำคัญของตัวเครื่อง เช่น โมเดลและเวอร์ชั่น OS นอกจากนี้ผู้ก่อภัยคุกคามยังสามารถดาวน์โหลด ทำเพย์โหลด และดัดแปลงเพย์โหลดให้เหมาะสมกับสภาพแวดล้อมของดีไวซ์ เช่น เวอร์ชั่นแอนดรอยด์ และแอปที่ติดตั้งในดีไวซ์แล้ว วิธีนี้ผู้ก่อเหตุจึงสามารถหลีกเลี่ยงการโอเวอร์โหลดแอปด้วยฟีเจอร์ที่ไม่จำเป็น แต่ยังสามารถเก็บข้อมูลได้ด้วย 

การวิจัยเพิ่มเติมระบุว่า “แฟนท่อมแลนซ์” แพร่กระจายในแพลตฟอร์มและตลาดสินค้าที่หลากหลาย เช่น Google Play และ APKpure การทำให้แอปดูเหมือนถูกกฎหมาย ผู้ก่อภัยคุกคามจะปลอมโปรไฟล์นักพัฒนาโดยการสร้างแอ็คเคาท์ Github นอกจากนี้ตลาดสินค้าจะมีขั้นตอนการกรองแอป ผู้ก่อภัยคุกคามก็จะอัพโหลดแอปเวอร์ชั่นแรกที่ยังไม่มีเพย์โหลดร้าย แต่เมื่อทำการอัพเดทในภายหลัง ก็จะมีทั้งเพย์โหลดมุ่งร้ายและโค้ดที่ใช้สั่งการเพย์โหลด 

จากข้อมูลของ Kaspersky Security Network ตั้งแต่ปี 2016 มีการสังเกตุความพยายามโจมตีมากถึง 300 ครั้งในดีไวซ์ระบบแอนดรอยด์ในประเทศอินเดีย เวียดนาม บังคลาเทศ และอินโดนีเซีย โดยเวียดนามมีจำนวนการพยายามโจมตีสูงสุดเป็นอันดับหนึ่ง และพบว่าแอปร้ายบางตัวในแคมเปญ “แฟนท่อมแลนซ์” นี้ใช้ภาษาเวียดนามโดยเฉพาะ 

การใช้ทูลเพื่อหาความคล้ายคลึงของโค้ดอันตรายต่างๆ ทำให้นักวิจัยสามารถระบุได้ว่าเพย์โหลดของแฟนท่อมแลนซ์นั้นมีความคล้ายคลึงกับแคมเปญโจมดีแอนดรอยด์ของกลุ่มโอเชียนโลตัส ซึ่งเป็นผู้ก่อภัยคุกคามตั้งแต่ปี 2013 เป็นอย่างน้อย และมีเป้าหมายโจมตีเน้นภูมิภาคเอเชียตะวันออกเฉียงใต้ นอกจากนี้ ยังพบความคาบเกี่ยวสำคัญในกิจกรรมร้ายในระบบ Windows และ MacOS โดยโอเชียนโลตัสอีกด้วย นักวิจัยของแคสเปอร์สกี้จึงเชื่อว่าแฟนท่อมแลนซ์เกี่ยวโยงกับโอเชียนโลตัส 

แคสเปอร์สกี้ได้รายงานการค้นพบทั้งหมดนี้แก่แอปสโตร์ต่างๆ แล้ว โดย Google Play ยืนยันแล้วว่าได้ลบแอปทั้งหมดออกเรียบร้อยแล้ว 

อเล็กซี่ เฟิร์ช นักวิจัยด้านความปลอดภัย ทีมวิเคราะห์และวิจัยระดับโลกของแคสเปอร์สกี้ กล่าวว่า “แฟนท่อมแลนซ์เป็นตัวอย่างที่โดดเด่นอย่างมากที่แสดงให้เห็นความก้าวหน้าของผู้ก่อภัยคุกคามที่เคลื่อนไหวเงียบเชียบและหาตัวจับยาก แคมเปญนี้ปฏิบัติการนานกว่าห้าปี ผู้ก่อภัยคุกคามสามารถบายพาสขั้นตอนการกรองของแอปสโตร์ได้หลายครั้ง โดยใช้เทคนิคขั้นสูงเพื่อบรรลุเป้าหมาย เราได้เห็นว่าการใช้โมบายแพลตฟอร์มเป็นจุดแพร่กระจายหลักนั้นเป็นวิธีที่นิยมใช้กันมากขึ้น พัฒนาการทางร้ายของภัยคุกคามนี้ ทำให้คลังข้อมูลอัจฉริยะหรือ Threat Intelligence รวมถึงบริการสนับสนุนต่างๆ ยิ่งมีความสำคัญมากขึ้น เพื่อช่วยติดตามผู้ก่อภัยคุกคามและหาแคมเปญที่เกี่ยวโยงกัน” 

อ่านรายงาน “แฟนท่อมแลนซ์” ฉบับเต็มได้ที่ https://securelist.com/apt-phantomlance/96772/

แคสเปอร์สกี้แนะนำวิธีการหลีกเลี่ยงการตกเป็นเหยื่อการโจมตีแบบเจาะจงเป้าหมายสำหรับบุคคลทั่วไปและองค์กรธุรกิจ ดังนี้ 

บุคคลทั่วไป: 

  • ใช้โซลูชั่นเพื่อความปลอดภัยที่น่าเชื่อถือ เช่น Kaspersky Security Cloud เพื่อป้องกันภัยคุกคามวงกว้าง และ Kaspersky Secure Connection เพื่อป้องกันการติดตามสอดส่องกิจกรรมออนไลน์ ใช้ซ่อนไอพีแอดเดรสและตำแหน่งที่ตั้ง และช่วยให้ส่งข้อมูลผ่านช่องทาง VPN ที่ปลอดภัย 

องค์กรธุรกิจ: 

  • โซลูชั่นเอ็นพอยต์ที่ใช้อยู่จะต้องสามารถปกป้องความปลอดภัยให้โมบายดีไวซ์ได้ สามารถควบคุมจัดการแอป ควบคุมการติดตั้งเฉพาะแอปที่ถูกกฏหมายในดีไวซ์ขององค์กรเท่านั้น รวมถึงการจัดการจากระยะไกลเพื่อบล็อกดีไวซ์และลบข้อมูลบริษัทออกจากดีไวซ์ได้ ยกตัวอย่างโซลูชั่นเช่น Kaspersky Security for Mobile
  • ศูนย์ปฏิบัติการรักษาความปลอดภัย หรือ Security Operations Center (SOC) ควรได้เข้าถึงคลังข้อมูลอัจฉริยะ (Threat Intelligence) และศึกษาข้อมูลเกี่ยวกับเครื่องมือ เทคนิค และกลยุทธ์ที่ออกใหม่ของผู้ก่อภัยคุกคามและอาชญากรไซเบอร์อย่างสม่ำเสมอ 
  • การตรวจจับ การสืบสวน และการฟื้นฟูจากการโดนโจมตีอย่างทันท่วงทีในระดับเอ็นพอยต์ ควรใช้โซลูชั่นเพื่อรับมือกับภัยคุกคามโดยเฉพาะ เช่น Kaspersky Endpoint Detection and Response
  • การเสริมการป้องกันเอ็นพอยต์ที่สำคัญ แนะนำให้ใช้โซลูชั่นระดับองค์กรที่สามารถตรวจจับและสกัดกั้นภัยคุกคามขั้นสูงได้ที่ระดับเน็ตเวิร์กตั้งแต่เริ่มต้น เช่น Kaspersky Anti Targeted Attack Platform