Adwind แพลตฟอร์มสร้างมัลแวร์สุดอันตราย

Picture2

ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (Global Research and Analysis Team) ได้เปิดเผยผลงานวิจัยเกี่ยวกับ Adwind Remote Access Tool (RAT) ซึ่งเป็นมัลแวร์โปรแกรมที่สามารถทำงานข้ามแพลตฟอร์มที่ต่างกันและทำงานได้หลายรูปแบบ หรือเป็นที่รู้จักกันในชื่ออื่นๆ อาทิ AlienSpy, Frutas, Unrecom, Sockrat, JSocket และ jRat มัลแวร์โปรแกรมเหล่านี้แพร่กระจายผ่านแพลตฟอร์มเดี่ยว malware-as-a-service platform จากผลของการตรวจสอบระหว่างปี 2013- 2016 พบมัลแวร์ Adwind หลากหลายเวอร์ชั่นได้ถูกนำมาใช้ในการจู่โจมผู้ใช้ส่วนบุคคลถึงอย่างน้อย 443,000 ราย องค์กรทั่วไปและองค์กรธุรกิจทั่วโลก ทั้งแพลตฟอร์มและมัลแวร์ยังคงปฏิบัติการอยู่

 

เมื่อปลายปี 2015 นักวิจัยของแคสเปอร์สกี้ แลปได้พบมัลแวร์โปรแกรมแปลกๆ ในระหว่างความพยายามของปฏิบัติการจู่โจมแบบมีเป้าหมายรุกเข้าธนาคารแห่งหนึ่งที่สิงคโปร์ พบไฟล์ JAR แนบมาในอีเมลที่ทำหน้าที่เป็น spear-phishing email ส่งเข้ามาหาพนักงานที่เป็นเหยื่อเป้าหมายภายในธนาคาร มัลแวร์นี้มีสมรรถนะในการโจมตีสูง สามารถทำงานได้บนแพลตฟอร์มหลากหลาย และสามารถหลบหลีกการตรวจจับของแอนตี้ไวรัสโซลูชั่นได้ จึงเป็นที่จับตาของนักวิจัยในทันที

 

Adwind RAT

พบว่ามีองค์กรที่ถูกจู่โจมโดย Adwind RAT ซึ่งเป็นแบคดอร์ที่เขียนด้วยภาษา Java ทั้งหมดและมีไว้ขาย ซึ่งทำให้มีสมรรถนะทำงานข้ามแพลตฟอร์มได้นั่นเอง ไม่ว่าจะเป็น Windows, OS X, Linux หรือ Android จึงสามารถที่จะปฏิบัติการแบบควบคุมจากระยะไกล เก็บรวบรวมข้อมูล การรั่วไหลของข้อมูลและอื่นๆ หากผู้ใช้ที่เป็นเหยื่อเป้าหมายเปิดไฟล์ JAR ที่แนบมา มัลแวร์จะทำการติดตั้งตัวเอง และพยายามสื่อสารกับเซิร์ฟเวอร์คอมมานด์และคอนโทรล รายการฟังก์ชั่นของมัลแวร์นี้ ได้แก่:

  • เก็บรวบรวมการเคาะแป้นพิมพ์
  • ขโมยพาสเวิร์ดแคช และจับข้อมูลจากแบบฟอร์มบนเว็บ
  • จับรูปภาพถ่ายหน้าจอ
  • ถ่ายรูปและบันทึกวิดีโอจากเว็บแคม
  • บันทึกเสียงจากไมโครโฟน
  • ส่งต่อไฟล์
  • เก็บรวบรวมข้อมูลทั่วไปของระบบและของผู้ใช้
  • ขโมยคีย์ผ่านเข้ากระเป๋าสตางค์ cryptocurrency
  • จัดการ SMS (สำหรับ Android)
  • ขโมยใบรับรอง VPN

 

แม้จะถูกใช้อยู่บ่อยในหมู่พวกที่ชอบฉวยโอกาสและใช้วิธีแพร่กระจายผ่านสแปมเคมเปญขนาดใหญ่ แต่ก็มีกรณีที่ใช้ Adwind ในการจู่โจมแบบมีเป้าหมาย เมื่อเดือนสิงหาคมปี 2015 ที่ผ่านมา Adwind กลายเป็นข่าวเกี่ยวพันกับการก่อจารกรรมไซเบอร์กับอัยการชาวอาร์เจนติน่าผู้ถูกพบเสียชีวิตเมื่อเดือนมกราคมปี 2015 กรณีของธนาคารที่สิงคโปร์ตกเป็นเป้าหมายนั้นเป็นอีกตัวอย่างหนึ่งของการจู่โจมแบบมีเป้าหมาย และไม่ใช่เป็นเพียงเป้าหมายเดียวของการใช้ Adwind RAT เป็นเครื่องมือ

 

เป้าหมายที่อาชญากรจับจ้อง

ระหว่างการตรวจสอบ นักวิจัยของแคสเปอร์สกี้ แลปยังได้ทำการวิเคราะห์เกือบ 200 ตัวอย่างของการจู่โจมแบบ spear-phishing ที่ดำเนินการโดยอาชญากรที่ยังไม่เป็นที่เปิดเผย แพร่กระจายมัลแวร์ Adwind และยังได้ระบุกลุ่มอุตสาหกรรมที่มีเหยื่อเป้าหมายส่วนมากทำงานอยู่:

  • อุตสาหกรรมการผลิต
  • การเงิน
  • วิศวกรรม
  • การออกแบบ
  • การค้าปลีก
  • หน่วยงานภาครัฐ
  • การขนส่งสินค้าทางเรือ
  • โทรคมนาคม
  • ซอฟต์แวร์
  • การศึกษา
  • การผลิตอาหาร
  • การดูแลสุขภาพ
  • สื่อ
  • พลังงาน

 

อ้างอิงจากข้อมูลของระบบเครือข่ายความปลอดภัยของแคสเปอร์สกี้ แลปหรือ Kaspersky Security Network พบว่าการจู่โจมผ่านอีเมลแบบ spear-phishing จากตัวอย่าง 200 รายการที่เฝ้าสังเกตในช่วงหกเดือนระหว่างเดือนสิงหาคม 2015 ถึงเดือนมกราคม 2016 นั้นมีมัลแวร์ Adwind RAT ที่ส่งผลกระทบต่อเหยื่อมากกว่า 680,000 ราย

Map_of_adwind_final

การแพร่กระจายทางภูมิศาสตร์ที่พบจากผู้ใช้ที่ถูกจู่โจมและลงทะเบียนไว้กับ KSN ในช่วงนี้แสดงให้เห็นว่า กว่าครึ่งของเหยื่อ (49%) มีถิ่นพำนักอยู่ในประเทศต่างๆ ดังนี้: สหรัฐอาหรับเอมิเรตส์ เยอรมัน อินเดีย สหรัฐอเมริกา อิตาลี รัสเซีย เวียตนาม ฮ่องกง ตุรกี และไต้หวัน

 

อ้างอิงจากข้อมูลสัณฐานของเหยื่อเป้าหมายที่ถูกระบุไว้ได้นั้น นักวิจัยของแคสเปอร์สกี้ แลปเชื่อว่าพอจะจัดแบ่งกลุ่มลูกค้าของแพลตฟอร์ม Adwind ได้เป็นหมวดหมู่ดังต่อไปนี้: สแกมเมอร์ที่ต้องการขยับขยายขึ้นไปขั้นสูงกว่า (โดยใช้มัลแวร์ในการสร้างกลโกงที่ซับซ้อนยิ่งขึ้นไปอีก) คู่แข่งที่เล่นไม่ซื่อ ทหารไซเบอร์รับจ้าง (สายลับรับจ้าง) และบุคคลที่มีความต้องการสอดแนมเรื่องบุคคลอื่นที่ตนรู้จัก

Adwind_timeline_vertical

Threat-as-a-Service

หนึ่งในฟีเจอร์หลักที่แยกให้ Adwind RAT โดดเด่นออกมาจากมัลแวร์ที่วางขายแบบคอมเมอร์เชียลตัวอื่นคือ ถูกแพร่กระจายอย่างเปิดเผยในรูปแบบการซื้อบริการ ซึ่ง “ลูกค้า” จ่ายค่าธรรมเนียมเพื่อแลกกับการใช้งานโปรแกรมวายร้ายนี้ อ้างอิงการตรวจสอบกิจกรรมการใช้งานของยูสเซอร์บนกระดานข้อความภายใน และการสังเกตการณ์รูปแบบต่างๆ นักวิจัยของแคสเปอร์สกี้ แลปกะประมาณจำนวนผู้ใช้ในระบบถึงประมาณ 1,800 รายเมื่อสิ้นปี 2015 จึงกลายเป็นหนึ่งในมัลแวร์แพลตฟอร์มที่ใหญ่ที่สุดที่ยังคงออกอาละวาดอยู่ในทุกวันนี้

“ด้วยสมรรถนะของแพลตฟอร์ม Adwind ในปัจจุบันนี้ ทำให้คนที่อยากจะเข้ามาเป็นอาชญากรไซเบอร์ไม่จำเป็นต้องมีความรู้พื้นฐานขั้นต่ำสูงมากมายแต่อย่างใด สิ่งที่เราสามารถพูดได้โดยอ้างอิงข้อมูลที่พบจากการตรวจสอบการจู่โจมธนาคารในสิงคโปร์ คือ อาชญากรผู้อยู่เบื้องหลังนั้นห่างไกลจากการเป็นแฮคเกอร์มืออาชีพอย่างมาก และเราคิดว่าลูกค้าของแพลตฟอร์ม Adwind ส่วนมากแล้วก็จะมีพื้นฐานความรู้ด้านคอมพิวเตอร์ในระดับเท่าๆ กัน ซึ่งเป็นทิศทางพัฒนาการที่น่าเป็นห่วงอย่างมากทีเดียว” อเล็กซานเดอร์ กอสเตฟ หัวหน้าทีมงานผู้เชี่ยวชาญความปลอดภัยของแคสเปอร์สกี้ แลป กล่าว

 

“แม้จะมีรายงานหลายฉบับเกี่ยวกับเจเนเรชั่นต่างกันไปของทูลนี้ ตามที่ซีเคียวริตี้เวนเดอร์หลายรายได้ออกรายงานในช่วงหลายปีที่ผ่านมา แพลตฟอร์มนี้ก็ยังคงปฏิบัติการอยู่ต่อเนื่อง และครองใจอาชญากรประเภทต่างๆ เราได้ทำการวิจัยนี้ขึ้นมาเพื่อดึงความสนใจของกลุ่มคนด้านซีเคียวริตี้และหน่วยงานผู้บังคับใช้กฎหมาย และเพื่อดำเนินขั้นตอนที่จำเป็นในการหยุดยั้งทูลนี้อย่างสิ้นเชิง” วิตาลี คามลัค ผู้อำนวยการทีมวิเคราะห์และวิจัย แคสเปอร์สกี้ แลป ภูมิภาคเอเชียแปซิฟิก กล่าว

 

แคสเปอร์สกี้ แลป รายงานข้อมูลที่ค้นพบเกี่ยวกับแพลตฟอร์ม Adwind ไปยังหน่วยงานผู้บังคับใช้กฎหมายด้วยเช่นกัน เพื่อเป็นการป้องกันตนเองและองค์กรให้พ้นจากภัยคุกคามเช่นนี้ แคสเปอร์สกี้ แลปขอแนะนำให้พิจารณาวัตถุประสงค์ของการใช้แพลตฟอร์ม Java และเพื่อพิจารณายกเลิกการใช้งานกับแหล่งที่ไม่ได้รับอนุญาต

Related posts:

ยามาฮ่าพัฒนา Motobot หุ่นยนต์นักบิดที่เรียนรู้ทักษะการขี่มอเตอร์ไซค์ได้เหมือนมนุษย์
The Field Trip To Mars เที่ยวดาวอังคารด้วยรถบัส Virtual Reality
Hewlett Packard Enterprise Switch Selector เครื่องมือเพื่อการเลือกใช้สวิตช์จาก HP
“เอเชีย” ขึ้นแท่นทวีปผู้นำการลงทุน IoT ที่มีค่า ROI สูง
โฮโลกราฟิกแชทเกิดแล้วด้วย “HoloBeam”
AIS ผนึก พระจอมเกล้าพระนครเหนือ ร่วมพัฒนา Smart Meter ด้วยนวัตกรรม IoT สำเร็จเป็นรายแรกในไทย

Leave a Reply

Top
ปิดโหมดสีเทา