Adwind แพลตฟอร์มสร้างมัลแวร์สุดอันตราย

Picture2

ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (Global Research and Analysis Team) ได้เปิดเผยผลงานวิจัยเกี่ยวกับ Adwind Remote Access Tool (RAT) ซึ่งเป็นมัลแวร์โปรแกรมที่สามารถทำงานข้ามแพลตฟอร์มที่ต่างกันและทำงานได้หลายรูปแบบ หรือเป็นที่รู้จักกันในชื่ออื่นๆ อาทิ AlienSpy, Frutas, Unrecom, Sockrat, JSocket และ jRat มัลแวร์โปรแกรมเหล่านี้แพร่กระจายผ่านแพลตฟอร์มเดี่ยว malware-as-a-service platform จากผลของการตรวจสอบระหว่างปี 2013- 2016 พบมัลแวร์ Adwind หลากหลายเวอร์ชั่นได้ถูกนำมาใช้ในการจู่โจมผู้ใช้ส่วนบุคคลถึงอย่างน้อย 443,000 ราย องค์กรทั่วไปและองค์กรธุรกิจทั่วโลก ทั้งแพลตฟอร์มและมัลแวร์ยังคงปฏิบัติการอยู่

 

เมื่อปลายปี 2015 นักวิจัยของแคสเปอร์สกี้ แลปได้พบมัลแวร์โปรแกรมแปลกๆ ในระหว่างความพยายามของปฏิบัติการจู่โจมแบบมีเป้าหมายรุกเข้าธนาคารแห่งหนึ่งที่สิงคโปร์ พบไฟล์ JAR แนบมาในอีเมลที่ทำหน้าที่เป็น spear-phishing email ส่งเข้ามาหาพนักงานที่เป็นเหยื่อเป้าหมายภายในธนาคาร มัลแวร์นี้มีสมรรถนะในการโจมตีสูง สามารถทำงานได้บนแพลตฟอร์มหลากหลาย และสามารถหลบหลีกการตรวจจับของแอนตี้ไวรัสโซลูชั่นได้ จึงเป็นที่จับตาของนักวิจัยในทันที

 

Adwind RAT

พบว่ามีองค์กรที่ถูกจู่โจมโดย Adwind RAT ซึ่งเป็นแบคดอร์ที่เขียนด้วยภาษา Java ทั้งหมดและมีไว้ขาย ซึ่งทำให้มีสมรรถนะทำงานข้ามแพลตฟอร์มได้นั่นเอง ไม่ว่าจะเป็น Windows, OS X, Linux หรือ Android จึงสามารถที่จะปฏิบัติการแบบควบคุมจากระยะไกล เก็บรวบรวมข้อมูล การรั่วไหลของข้อมูลและอื่นๆ หากผู้ใช้ที่เป็นเหยื่อเป้าหมายเปิดไฟล์ JAR ที่แนบมา มัลแวร์จะทำการติดตั้งตัวเอง และพยายามสื่อสารกับเซิร์ฟเวอร์คอมมานด์และคอนโทรล รายการฟังก์ชั่นของมัลแวร์นี้ ได้แก่:

  • เก็บรวบรวมการเคาะแป้นพิมพ์
  • ขโมยพาสเวิร์ดแคช และจับข้อมูลจากแบบฟอร์มบนเว็บ
  • จับรูปภาพถ่ายหน้าจอ
  • ถ่ายรูปและบันทึกวิดีโอจากเว็บแคม
  • บันทึกเสียงจากไมโครโฟน
  • ส่งต่อไฟล์
  • เก็บรวบรวมข้อมูลทั่วไปของระบบและของผู้ใช้
  • ขโมยคีย์ผ่านเข้ากระเป๋าสตางค์ cryptocurrency
  • จัดการ SMS (สำหรับ Android)
  • ขโมยใบรับรอง VPN

 

แม้จะถูกใช้อยู่บ่อยในหมู่พวกที่ชอบฉวยโอกาสและใช้วิธีแพร่กระจายผ่านสแปมเคมเปญขนาดใหญ่ แต่ก็มีกรณีที่ใช้ Adwind ในการจู่โจมแบบมีเป้าหมาย เมื่อเดือนสิงหาคมปี 2015 ที่ผ่านมา Adwind กลายเป็นข่าวเกี่ยวพันกับการก่อจารกรรมไซเบอร์กับอัยการชาวอาร์เจนติน่าผู้ถูกพบเสียชีวิตเมื่อเดือนมกราคมปี 2015 กรณีของธนาคารที่สิงคโปร์ตกเป็นเป้าหมายนั้นเป็นอีกตัวอย่างหนึ่งของการจู่โจมแบบมีเป้าหมาย และไม่ใช่เป็นเพียงเป้าหมายเดียวของการใช้ Adwind RAT เป็นเครื่องมือ

 

เป้าหมายที่อาชญากรจับจ้อง

ระหว่างการตรวจสอบ นักวิจัยของแคสเปอร์สกี้ แลปยังได้ทำการวิเคราะห์เกือบ 200 ตัวอย่างของการจู่โจมแบบ spear-phishing ที่ดำเนินการโดยอาชญากรที่ยังไม่เป็นที่เปิดเผย แพร่กระจายมัลแวร์ Adwind และยังได้ระบุกลุ่มอุตสาหกรรมที่มีเหยื่อเป้าหมายส่วนมากทำงานอยู่:

  • อุตสาหกรรมการผลิต
  • การเงิน
  • วิศวกรรม
  • การออกแบบ
  • การค้าปลีก
  • หน่วยงานภาครัฐ
  • การขนส่งสินค้าทางเรือ
  • โทรคมนาคม
  • ซอฟต์แวร์
  • การศึกษา
  • การผลิตอาหาร
  • การดูแลสุขภาพ
  • สื่อ
  • พลังงาน

 

อ้างอิงจากข้อมูลของระบบเครือข่ายความปลอดภัยของแคสเปอร์สกี้ แลปหรือ Kaspersky Security Network พบว่าการจู่โจมผ่านอีเมลแบบ spear-phishing จากตัวอย่าง 200 รายการที่เฝ้าสังเกตในช่วงหกเดือนระหว่างเดือนสิงหาคม 2015 ถึงเดือนมกราคม 2016 นั้นมีมัลแวร์ Adwind RAT ที่ส่งผลกระทบต่อเหยื่อมากกว่า 680,000 ราย

Map_of_adwind_final

การแพร่กระจายทางภูมิศาสตร์ที่พบจากผู้ใช้ที่ถูกจู่โจมและลงทะเบียนไว้กับ KSN ในช่วงนี้แสดงให้เห็นว่า กว่าครึ่งของเหยื่อ (49%) มีถิ่นพำนักอยู่ในประเทศต่างๆ ดังนี้: สหรัฐอาหรับเอมิเรตส์ เยอรมัน อินเดีย สหรัฐอเมริกา อิตาลี รัสเซีย เวียตนาม ฮ่องกง ตุรกี และไต้หวัน

 

อ้างอิงจากข้อมูลสัณฐานของเหยื่อเป้าหมายที่ถูกระบุไว้ได้นั้น นักวิจัยของแคสเปอร์สกี้ แลปเชื่อว่าพอจะจัดแบ่งกลุ่มลูกค้าของแพลตฟอร์ม Adwind ได้เป็นหมวดหมู่ดังต่อไปนี้: สแกมเมอร์ที่ต้องการขยับขยายขึ้นไปขั้นสูงกว่า (โดยใช้มัลแวร์ในการสร้างกลโกงที่ซับซ้อนยิ่งขึ้นไปอีก) คู่แข่งที่เล่นไม่ซื่อ ทหารไซเบอร์รับจ้าง (สายลับรับจ้าง) และบุคคลที่มีความต้องการสอดแนมเรื่องบุคคลอื่นที่ตนรู้จัก

Adwind_timeline_vertical

Threat-as-a-Service

หนึ่งในฟีเจอร์หลักที่แยกให้ Adwind RAT โดดเด่นออกมาจากมัลแวร์ที่วางขายแบบคอมเมอร์เชียลตัวอื่นคือ ถูกแพร่กระจายอย่างเปิดเผยในรูปแบบการซื้อบริการ ซึ่ง “ลูกค้า” จ่ายค่าธรรมเนียมเพื่อแลกกับการใช้งานโปรแกรมวายร้ายนี้ อ้างอิงการตรวจสอบกิจกรรมการใช้งานของยูสเซอร์บนกระดานข้อความภายใน และการสังเกตการณ์รูปแบบต่างๆ นักวิจัยของแคสเปอร์สกี้ แลปกะประมาณจำนวนผู้ใช้ในระบบถึงประมาณ 1,800 รายเมื่อสิ้นปี 2015 จึงกลายเป็นหนึ่งในมัลแวร์แพลตฟอร์มที่ใหญ่ที่สุดที่ยังคงออกอาละวาดอยู่ในทุกวันนี้

“ด้วยสมรรถนะของแพลตฟอร์ม Adwind ในปัจจุบันนี้ ทำให้คนที่อยากจะเข้ามาเป็นอาชญากรไซเบอร์ไม่จำเป็นต้องมีความรู้พื้นฐานขั้นต่ำสูงมากมายแต่อย่างใด สิ่งที่เราสามารถพูดได้โดยอ้างอิงข้อมูลที่พบจากการตรวจสอบการจู่โจมธนาคารในสิงคโปร์ คือ อาชญากรผู้อยู่เบื้องหลังนั้นห่างไกลจากการเป็นแฮคเกอร์มืออาชีพอย่างมาก และเราคิดว่าลูกค้าของแพลตฟอร์ม Adwind ส่วนมากแล้วก็จะมีพื้นฐานความรู้ด้านคอมพิวเตอร์ในระดับเท่าๆ กัน ซึ่งเป็นทิศทางพัฒนาการที่น่าเป็นห่วงอย่างมากทีเดียว” อเล็กซานเดอร์ กอสเตฟ หัวหน้าทีมงานผู้เชี่ยวชาญความปลอดภัยของแคสเปอร์สกี้ แลป กล่าว

 

“แม้จะมีรายงานหลายฉบับเกี่ยวกับเจเนเรชั่นต่างกันไปของทูลนี้ ตามที่ซีเคียวริตี้เวนเดอร์หลายรายได้ออกรายงานในช่วงหลายปีที่ผ่านมา แพลตฟอร์มนี้ก็ยังคงปฏิบัติการอยู่ต่อเนื่อง และครองใจอาชญากรประเภทต่างๆ เราได้ทำการวิจัยนี้ขึ้นมาเพื่อดึงความสนใจของกลุ่มคนด้านซีเคียวริตี้และหน่วยงานผู้บังคับใช้กฎหมาย และเพื่อดำเนินขั้นตอนที่จำเป็นในการหยุดยั้งทูลนี้อย่างสิ้นเชิง” วิตาลี คามลัค ผู้อำนวยการทีมวิเคราะห์และวิจัย แคสเปอร์สกี้ แลป ภูมิภาคเอเชียแปซิฟิก กล่าว

 

แคสเปอร์สกี้ แลป รายงานข้อมูลที่ค้นพบเกี่ยวกับแพลตฟอร์ม Adwind ไปยังหน่วยงานผู้บังคับใช้กฎหมายด้วยเช่นกัน เพื่อเป็นการป้องกันตนเองและองค์กรให้พ้นจากภัยคุกคามเช่นนี้ แคสเปอร์สกี้ แลปขอแนะนำให้พิจารณาวัตถุประสงค์ของการใช้แพลตฟอร์ม Java และเพื่อพิจารณายกเลิกการใช้งานกับแหล่งที่ไม่ได้รับอนุญาต

Related posts:

เครื่องวัดสัญญาณชีพแบบติดข้อมือ ช่วยอำนวยความสะดวกให้คนไข้
IBM เดินหน้าระบบวิเคราะห์ข้อมูลเพื่อเชื่อมโยงยานยนต์ IoT
พบเด็ก Gen Z ในเอเชียตะวันออกเฉียงใต้ไม่อินกับสื่อ TV-วิทยุ-สิ่งพิมพ์แล้ว
โรงพยาบาลฝรั่งเศสประยุกต์แอพพลิเคชันรักษาความปลอดภัย เพื่อถ่ายภาพทารกในตู้อบให้พ่อแม่
นักวิจัยญี่ปุ่นพบเคล็ดลับทำไอศครีมคงรูปได้นานขึ้น
เทคโนโลยีเบื้องหลังการใช้โดรน แปรขบวนในพิธีเปิดกีฬาโอลิมปิกฤดูหนาวที่เกาหลีใต้

Leave a Reply

Top
ปิดโหมดสีเทา