กลุ่มแฮกเกอร์ UNC2891 ใช้ระบบลินุกซ์บุกโจมตีความปลอดภัยธนาคาร
กลุ่มภัยคุกคามไซเบอร์ UNC2891 ซึ่งถูกติดตามโดยบริษัท Mandiant ได้กลายเป็นภัยร้ายแรงต่อภาคการเงิน โดยเฉพาะอย่างยิ่งในอุตสาหกรรมธนาคาร โดยกลุ่มนี้ใช้โครงสร้างพื้นฐานที่ตั้งอยู่บนระบบปฏิบัติการลินุกซ์ในการดำเนินการโจมตีแบบ “wrenching” ซึ่งหมายถึงการโจมตีที่มุ่งเป้าไปยังการเข้าถึงบัญชีและการฉ้อโกงทางการเงินขนาดใหญ่ รายงานจาก LinuxSecurity.com เผยให้เห็นว่ากลุ่ม UNC2891 อาศัยเครื่องมือและเซิร์ฟเวอร์ที่รันบนลินุกซ์ เพื่อหลีกเลี่ยงการตรวจจับและเพิ่มประสิทธิภาพในการโจมตี
ลักษณะการโจมตีและเครื่องมือที่ใช้
UNC2891 มีความเชี่ยวชาญในการใช้เครื่องมือที่พัฒนาบนลินุกซ์ โดยเฉพาะอย่างยิ่ง CraxsRAT ซึ่งเป็น Remote Access Trojan (RAT) เวอร์ชันสำหรับลินุกซ์ เครื่องมือนี้ถูกใช้ในการควบคุมเซิร์ฟเวอร์ Command-and-Control (C2) ที่โฮสต์บนผู้ให้บริการ VPS (Virtual Private Server) จากผู้ให้บริการในรัสเซีย เช่น mvps.net และ firstvds.ru นอกจากนี้ กลุ่มยังใช้เซิร์ฟเวอร์ C2 ที่ตั้งอยู่ในประเทศตุรกีและเนเธอร์แลนด์ โดยปรับแต่งเว็บเชลล์เพื่อติดต่อกับเซิร์ฟเวอร์หลัก
การโจมตีมักเริ่มต้นด้วยการเจาะระบบผ่านช่องโหว่หรือการหลอกลวงทางสังคม (social engineering) จากนั้นจะติดตั้งโหลเดอร์ (loader) ที่เขียนด้วยภาษา Go บนระบบลินุกซ์ เพื่อดาวน์โหลด RAT เพิ่มเติม โหลเดอร์เหล่านี้ถูกออกแบบให้ทำงานแบบไม่ต้องมีปฏิสัมพันธ์ (headless) และสามารถหลีกเลี่ยงการตรวจจับด้วยการใช้เทคนิค obfuscation เช่น การเข้ารหัสสตริงและการใช้ dynamic API resolution
Mandiant ระบุว่า UNC2891 มีความเชื่อมโยงกับกลุ่ม UNC3944 (Scattered Spider) ซึ่งเป็นกลุ่มที่เน้นการโจมตีแบบ account takeover โดยเฉพาะในภาคการเงิน ตัวอย่างเช่น การโจมตีธนาคารในลาตินอเมริกาเมื่อปลายปี 2023 ซึ่งนำไปสู่การสูญเสียทางการเงินหลายล้านดอลลาร์
โครงสร้างพื้นฐานลินุกซ์ในห่วงโซ่การโจมตี
โครงสร้างพื้นฐานหลักของ UNC2891 ประกอบด้วยเซิร์ฟเวอร์ลินุกซ์หลายตัวที่ทำหน้าที่เป็นจุดเริ่มต้น (initial access brokers) และเซิร์ฟเวอร์ C2 หลัก โดยเซิร์ฟเวอร์เหล่านี้มักใช้ผู้ให้บริการ bulletproof hosting ซึ่งต้านทานการปิดกั้นได้ดี ตัวอย่าง IP ที่ถูกระบุ ได้แก่ 185.100.157[.]60, 185.193.32[.]60 และอื่นๆ ที่เชื่อมโยงกับ CraxsRAT Linux
เซิร์ฟเวอร์ C2 ถูกกำหนดค่าให้ใช้โปรโตคอล HTTP/HTTPS โดยมีพารามิเตอร์เฉพาะ เช่น /images/Nikolock.png? เพื่อส่งคำสั่งและรับข้อมูล telemetry นอกจากนี้ ยังมีการใช้ SSH tunneling เพื่อซ่อนทราฟฟิกและเพิ่มชั้นความปลอดภัยจากการตรวจจับ
Mandiant วิเคราะห์ว่าเครื่องมืออย่าง CraxsRAT Linux มีความสามารถในการ:
- รวบรวมข้อมูลระบบ เช่น ชื่อผู้ใช้ เวอร์ชันเคอร์เนล และรายการ process
- ดาวน์โหลดและรันโมดูลเพิ่มเติม
- สร้าง persistence ผ่าน cron jobs หรือ systemd services
- ลบร่องรอยด้วยการใช้ shred หรือ wipe commands
การเชื่อมโยงกับอาชญากรรมไซเบอร์อื่นๆ
UNC2891 ไม่ได้จำกัดเฉพาะภาคการเงิน แต่ยังมีส่วนเกี่ยวข้องกับการโจมตี ransomware โดยใช้ NIKOLOCK ซึ่งเป็น ransomware ที่พัฒนาบนลินุกซ์เช่นกัน แม้จะยังไม่มีการใช้งานจริงในแคมเปญใหญ่ แต่โค้ดที่รั่วไหลแสดงให้เห็นถึงความสามารถในการเข้ารหัสไฟล์บนระบบลินุกซ์ x64 โดยใช้ ChaCha20 และ Curve25519 สำหรับการถอดรหัส
กลุ่มนี้ยังใช้เทคนิค living-off-the-land โดยอาศัยเครื่องมือในตัวของลินุกซ์ เช่น nc (netcat), wget และ curl เพื่อลดการพึ่งพาเครื่องมือภายนอก นอกจากนี้ การใช้ Go-based tools ทำให้สามารถคอมไพล์แบบ cross-platform ได้ง่าย สนับสนุนทั้ง Windows และ Linux
มาตรการป้องกันที่แนะนำ
องค์กรทางการเงินควรเพิ่มการตรวจสอบเซิร์ฟเวอร์ลินุกซ์ โดยเฉพาะ VPS ที่มาจากผู้ให้บริการนอก主流 เช่น รัสเซียหรือตุรกี การใช้ EDR (Endpoint Detection and Response) ที่รองรับลินุกซ์ และการตรวจสอบ IOCs (Indicators of Compromise) เช่น IP addresses และ hashes ของ CraxsRAT เป็นสิ่งจำเป็น
นอกจากนี้ ควรฝึกอบรมพนักงานเกี่ยวกับ phishing และ MFA (Multi-Factor Authentication) ที่แข็งแกร่ง รวมถึงการ segment เครือข่ายเพื่อจำกัดการเคลื่อนไหวด้านข้าง (lateral movement)
สรุปภัยคุกคาม
การที่ UNC2891 ใช้ลินุกซ์อย่างชำนาญแสดงให้เห็นถึงวิวัฒนาการของภัยคุกคามไซเบอร์ที่มุ่งเป้าไปยังโครงสร้างพื้นฐานเปิดกว้าง องค์กรต้องตื่นตัวและอัปเดตการป้องกันอย่างต่อเนื่องเพื่อรับมือกับการโจมตีที่ซับซ้อนนี้
(จำนวนคำประมาณ 720 คำ)
This Article is sponsored by Gnoppix AI (https://www.gnoppix.org)