กลุ่ม Evasive Panda เปลี่ยนแปลง DNS: แทนการอัปเดตซอฟต์แวร์ ผู้ใช้ดาวน์โหลดมัลแวร์แทน
กลุ่มแฮกเกอร์ชาวจีนที่รู้จักในชื่อ Evasive Panda ได้เปลี่ยนกลยุทธ์การโจมตีทางไซเบอร์ โดยการแทรกแซงการบันทึก DNS ของผู้ให้บริการโทรคมนาคมในภูมิภาคเอเชียตะวันออกเฉียงใต้ ส่งผลให้ผู้ใช้ที่พยายามดาวน์โหลดการอัปเดตซอฟต์แวร์จากแหล่งที่เชื่อถือได้ กลับได้รับมัลแวร์อันตรายแทน นักวิจัยจากบริษัท Recorded Future และ ESET ได้เปิดเผยรายละเอียดของแคมเปญนี้ ซึ่งดำเนินมาตั้งแต่ปี 2566 และยังคงมีผลกระทบต่อเนื่อง
พฤติกรรมการโจมตีที่ซับซ้อน
Evasive Panda หรือที่รู้จักในชื่ออื่นๆ เช่น WebMasters และ DNA เป็นกลุ่มภัยคุกคามขั้นสูง (Advanced Persistent Threat: APT) ที่มีต้นกำเนิดจากจีน โดยมุ่งเป้าโจมตีองค์กรในภาคโทรคมนาคม การเงิน และรัฐบาลในภูมิภาคเอเชียตะวันออกเฉียงใต้ ล่าสุด กลุ่มนี้ได้เจาะระบบเซิร์ฟเวอร์ DNS ที่มีอำนาจ (authoritative DNS servers) ของผู้ให้บริการหลักหลายราย เช่น Viettel และ VNPT ในเวียดนาม รวมถึงผู้ให้บริการในเมียนมา ฟิลิปปินส์ และไทย
แทนที่จะใช้ช่องโหว่ในซอฟต์แวร์หรือการหลอกล่อแบบ phishing ตามปกติ Evasive Panda เลือกใช้วิธีการควบคุม DNS โดยตรง ซึ่งเป็นโครงสร้างพื้นฐานที่จำเป็นสำหรับการเชื่อมต่ออินเทอร์เน็ตทุกประเภท การแทรกแซงนี้ทำให้โดเมนที่เกี่ยวข้องกับการอัปเดตซอฟต์แวร์ เช่น avg.com, avast.com, voodooshield.com และโดเมนอื่นๆ ที่เกี่ยวข้องกับโปรแกรมป้องกันไวรัสหรือเครื่องมือรักษาความปลอดภัย ถูกเปลี่ยนเส้นทางไปยังที่อยู่ IP ที่ควบคุมโดยผู้โจมตี
เมื่อผู้ใช้ดาวน์โหลดไฟล์อัปเดตจากโดเมนเหล่านี้ พวกเขาจะได้รับแพ็กเกจมัลแวร์แทน โดยเฉพาะอย่างยิ่ง Remote Access Trojan (RAT) ชื่อ MgBot สำหรับระบบปฏิบัติการ Windows และแบ็คดอร์ที่ซ่อนตัวสำหรับ macOS ซึ่งช่วยให้ผู้โจมตีสามารถเข้าถึงระบบ รวบรวมข้อมูล และขยายการโจมตีต่อไปได้
กลไกการทำงานของมัลแวร์
MgBot เป็นมัลแวร์ประเภท RAT ที่มีความสามารถหลากหลาย โดยจะติดตั้งตัวเองผ่านไฟล์อัปเดตปลอม เช่น avgntx86.exe หรือไฟล์ที่คล้ายกับโปรแกรมป้องกันไวรัสอื่นๆ หลังจากติดตั้ง มัลแวร์จะสร้างงานตามกำหนดเวลา (scheduled tasks) ในระบบ Windows เพื่อให้รันอย่างต่อเนื่อง สร้างโฟลเดอร์ปลอมเพื่อหลบเลี่ยงการตรวจจับ และเชื่อมต่อกับเซิร์ฟเวอร์บัญชาการและควบคุม (C2 servers) ที่ตั้งอยู่ในประเทศจีน
สำหรับ macOS มัลแวร์จะฝังตัวในกระบวนการที่ถูกต้องตามกฎหมาย เช่น com.apple.mdworker เพื่อหลีกเลี่ยงเครื่องมือตรวจจับแบบพฤติกรรม นอกจากนี้ ยังมีการเข้ารหัสการสื่อสารด้วย AES-256 และใช้โดเมนปลอมเพื่อซ่อนตัวตน ทำให้การตรวจสอบและบล็อกการเชื่อมต่อเป็นเรื่องยาก
นักวิจัยพบว่าการเปลี่ยนแปลง DNS นี้มีลักษณะเฉพาะ โดย IP ที่ถูกเปลี่ยนเส้นทางมักมาจากช่วงที่จัดสรรให้ผู้ให้บริการโทรคมนาคมในภูมิภาค ทำให้ดูเหมือนการอัปเดตปกติ นอกจากนี้ กลุ่มยังใช้เทคนิค DNS hijacking แบบ dynamic โดยปรับเปลี่ยนบันทึก A record และ CNAME record ตามเป้าหมายเฉพาะเจาะจง
เป้าหมายและขอบเขตการโจมตี
การโจมตีนี้มุ่งเน้นไปที่ผู้ให้บริการโทรคมนาคม ซึ่งเป็นจุดยุทธศาสตร์สำคัญในการเข้าถึงข้อมูลจำนวนมหาศาลของผู้ใช้รายย่อย แม้จะยังไม่มีหลักฐานชัดเจนว่ามีการโจมตีผู้ใช้ปลายทางจำนวนมาก แต่การควบคุม DNS ในระดับนี้เปิดโอกาสให้สามารถแจกจ่ายมัลแวร์ได้ในวงกว้าง โดยเฉพาะในประเทศที่โครงสร้างพื้นฐานเครือข่ายยังไม่แข็งแกร่ง
ตัวอย่างโดเมนที่ถูกกระทบ ได้แก่:
IP ที่ถูกใช้ในการเปลี่ยนเส้นทาง เช่น 103.172.167[.]47 และ 103.172.167[.]142 ซึ่งเชื่อมโยงกับเซิร์ฟเวอร์ C2 ในจีน นักวิจัยยืนยันว่าการโจมตีนี้ยังคงดำเนินอยู่ โดยมีการตรวจพบกิจกรรมล่าสุดในเดือนตุลาคม 2567
มาตรการป้องกันและคำแนะนำ
องค์กรและผู้ให้บริการโทรคมนาคมควรตรวจสอบบันทึก DNS อย่างสม่ำเสมอ โดยใช้เครื่องมือเช่น DNSdumpster หรือ Passive DNS เพื่อตรวจหาการเปลี่ยนแปลงที่ผิดปกติ นอกจากนี้ ควรใช้ DNSSEC เพื่อป้องกันการปลอมแปลงบันทึก และติดตั้งระบบตรวจจับการแทรกแซงแบบเรียลไทม์
สำหรับผู้ใช้รายย่อย แนะนำให้ดาวน์โหลดอัปเดตจากแหล่งทางการเท่านั้น ใช้ VPN เพื่อบังคับการเชื่อมต่อ DNS ที่ปลอดภัย (เช่น DNS over HTTPS) และติดตั้งโปรแกรมป้องกันไวรัสที่อัปเดตอยู่เสมอ หากสงสัยว่าถูกโจมตี ควรสแกนระบบด้วยเครื่องมือเช่น ESET หรือ Malwarebytes
การโจมตีของ Evasive Panda แสดงให้เห็นถึงวิวัฒนาการของภัยคุกคาม APT ที่มุ่งเป้าโครงสร้างพื้นฐานเครือข่าย ซึ่งอาจส่งผลกระทบต่อความมั่นคงทางไซเบอร์ในระดับภูมิภาค หากไม่มีการตอบสนองที่รวดเร็วและประสานงานกัน ผลกระทบอาจขยายตัวไปยังเศรษฐกิจดิจิทัลทั้งหมด
(จำนวนคำประมาณ 728 คำ)
This Article is sponsored by Gnoppix AI (https://www.gnoppix.org)