ภัยคุกคามใหม่ Harvester โจมตีเอเชียใต้ด้วยแบ็กดอร์ Linux GoGra ผ่าน Microsoft Graph API

กลุ่มผู้คุกคามไซเบอร์ที่ใช้ชื่อว่า Harvester ได้เปิดตัวแบ็กดอร์รุ่นใหม่ที่ทำงานบนระบบปฏิบัติการ Linux โดยมีเป้าหมายโจมตีองค์กรในภูมิภาคเอเชียใต้

แบ็กดอร์ที่มีชื่อว่า GoGra นี้ใช้เทคนิคอันชาญฉลาดในการหลบเลี่ยงการตรวจจับ โดยอาศัยบริการ Microsoft Graph API และ Outlook Mailbox ที่ถูกกฎหมายเป็นช่องทางสื่อสารกับเซิร์ฟเวอร์ควบคุม

เทคนิคการหลบเลี่ยงขั้นสูง

ความน่ากลัวของแบ็กดอร์ GoGra อยู่ที่การออกแบบให้ใช้โครงสร้างพื้นฐานของไมโครซอฟท์เป็นช่องทางซ่อนเร้น แทนที่จะสร้างเซิร์ฟเวอร์ควบคุมแบบดั้งเดิมที่容易被ตรวจจับ

การสื่อสารทั้งหมดจะถูกปลอมแปลงให้ดูเหมือนการใช้งาน Microsoft Graph API ปกติ ทำให้ระบบรักษาความปลอดภัยแบบดั้งเดิมที่ตรวจสอบเฉพาะการเชื่อมต่อที่น่าสงสัยอาจมองข้ามภัยคุกคามนี้ไป

เป้าหมายในเอเชียใต้

จากการวิเคราะห์ของนักล่าแร่ขุมภัยคุกคามจาก Symantec และ Carbon Black พบว่าการโจมตีครั้งนี้มุ่งเป้าไปที่องค์กรในภูมิภาคเอเชียใต้เป็นหลัก

แม้ว่าจะยังไม่มีการเปิดเผยรายชื่อองค์กรที่ถูกโจมตีอย่างชัดเจน แต่รูปแบบการโจมตีบ่งชี้ว่าอาจเกี่ยวข้องกับหน่วยงานภาครัฐหรือองค์กรที่มีข้อมูลสำคัญทางยุทธศาสตร์

ความสามารถของแบ็กดอร์ GoGra

แบ็กดอร์ Linux เวอร์ชันนี้พัฒนาต่อยอดจากรุ่นเดิมที่ทำงานบน Windows โดยรักษาความสามารถหลักในการรวบรวมข้อมูลและควบคุมระบบจากระยะไกล

มันสามารถดาวน์โหลดและอัปโหลดไฟล์ รันคำสั่งบนระบบเป้าหมาย และขยับขยายไปยังระบบอื่นภายในเครือข่ายเดียวกันได้ ซึ่งเป็นภัยคุกคามที่องค์กรต้องจับตาอย่างใกล้ชิด

บทเรียนด้านความปลอดภัย

กรณีนี้สอนให้รู้ว่าแฮกเกอร์กำลังปรับเปลี่ยนยุทธศาสตร์ โดยหันมาใช้บริการคลาวด์และ API ที่ถูกกฎหมายเป็นเครื่องมือในการโจมตีมากขึ้น

องค์กรจำเป็นต้องปรับปรุงกลยุทธ์การรักษาความปลอดภัย ไม่เพียงแต่ตรวจสอบการเชื่อมต่อจากภายนอกเท่านั้น แต่ต้องเฝ้าระวังการใช้งาน API และบริการคลาวด์ภายในองค์กรด้วยเช่นกัน การใช้โซลูชันรักษาความปลอดภัยแบบครบวงจรสามารถช่วยลดความเสี่ยงจากภัยคุกคามรูปแบบใหม่นี้ได้

Reference

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th