พบแฮกเกอร์กลุ่ม Lotus Panda ยิงมัลแวร์ขโมยข้อมูลหน่วยงานรัฐ ทั่วเขตเอเชียตะวันออกเฉียงใต้

ในประเทศแถบเอเชียตะวันออกเฉียงใต้นั้นมักจะเป็นข่าวใหญ่ไม่ค่อยบ่อยเท่าแถบยุโรป, สหรัฐอเมริกา, จีน หรือรัสเซีย ในด้านการถูกแฮก แต่ในความเป็นจริงแล้ว แฮกเกอร์ได้มีปฏิบัติการที่เล็งโจมตีหน่วยงานต่าง ๆ ในแถบนี้อยู่ก็มิใช่น้อย ถึงแม้จะไม่ได้ตกเป็นข่าวมากนักก็ตาม

จากรายงานโดยเว็บไซต์ eSecurity Planet ได้กล่าวถึงการตรวจพบความเคลื่อนไหวของกลุ่มแฮกเกอร์ที่มีชื่อว่า Lotus Panda หรือที่รู้จักในชื่ออื่น ๆ เช่น Billbug, Bronze Elgin, Spring Dragon และ Thrip ซึ่งเป็นกลุ่มแฮกเกอร์จากประเทศจีน ในการปฏิบัติการแพร่กระจายมัลแวร์เพื่อขโมยข้อมูลจากองค์กรขนาดใหญ่ที่โด่งดัง และมีชื่อเสียงมากมายในแถบเอเชียตะวันออกเฉียงใต้ โดยการตรวจพบดังกล่าวนั้นเป็นฝีมือของทีมวิจัยจาก Symantec บริษัทผู้พัฒนาเครื่องมือรักษาความปลอดภัยไซเบอร์ ซึ่งทางทีมได้ยืนยันตรวจพบในช่วงเดือนธันวาคม ค.ศ. 2024 (พ.ศ. 2567) ที่ผ่านมา ทางทีมวิจัยได้ระบุว่า การโจมตีไม่ได้มุ่งเพียงแต่องค์กรเอกชนเท่านั้น แต่ยังครอบคลุมทั้งหน่วยงานรัฐ และรัฐวิสาหกิจอีกด้วย

สำหรับวิธีการโจมตีนั้นก็เรียกได้ว่าร้ายกาจ เนื่องจากทางทีมใช้เครื่องมือแอนตี้ไวรัสชื่อดังอย่าง TrendMicro และ Bitdefender เป็นตัวกลางในการปล่อยมัลแวร์ผ่านทางวิธีการแทนที่ไฟล์ DLL ที่แทรกโค้ดมัลแวร์เอาไว้ (DLL Sideloading) โดยไฟล์ที่ใช้แทนนั้นจะมีชื่อคล้ายคลึงกับไฟล์ DLL ที่ใช้โดยซอฟต์แวร์นั้น ๆ แต่มีการแฝงโค้ดสำหรับการรัน หรือการทำงานของมัลแวร์ไว้ภายใน

ตัวอย่างของการทำงานของมัลแวร์ดังกล่าวนั้นเช่น มัลแวร์ใช้ไฟล์ของ TrendMicro ที่มีชื่อว่า tmdbglog.exe เพื่อการรันไฟล์ tmdglog.dll ซึ่งเป็นไฟล์ที่ใช้ในการถอดรหัส และรันไฟล์มัลแวร์ชื่อว่า TmDebug.log อีกทีหนึ่ง ขณะที่การใช้งานมัลแวร์ผ่านทาง Bitdefender นั้น มัลแวร์จะใช้ไฟล์ bds.exe ในการรันไฟล์ DLL ของมัลแวร์ชื่อว่า log.dll โดยไฟล์นี้จะใช้ในการรันไฟล์มัลแวร์ชื่อ winnt.config อีกทีหนึ่ง โดยไฟล์หลังสุดจะทำหน้าที่ในการยิงโค้ดมัลแวร์แฝงไปกับ Process ของ Windows ที่มีชื่อว่า systray.exe

นอกจากนั้นทางทีมวิจัยยังได้เปิดเผยว่า แฮกเกอร์ได้มีการนำเอาเครื่องมือสำหรับใช้ในการขโมยรหัสผ่าน ร่วมกับการใช้งานมัลแวร์ดังกล่าวอีก 2 ตัวนั่นคือ 

• ChromeKatz สำหรับการขโมยรหัสผ่าน และไฟล์ Cookie จาก Chrome
• CredentialKatz สำหรับการขโมยรหัสผ่านต่าง ๆ ที่ถูกบันทึกไว้ Chrome โดยมุ่งเน้นที่รหัสผ่านต่าง ๆ แต่เพียงอย่างเดียว

ไม่เพียงเท่านั้น แฮกเกอร์ยังได้นำเอาเครื่องมืออื่น ๆ เข้ามาใช้ร่วมในปฏิบัติการครั้งนี้อีกมากมาย ไม่ว่าจะเป็น เครื่องมือสำหรับการดักฟังโปรโตคอลการติดต่อ SSH ย้อนกลับ เพื่อให้แฮกเกอร์สามารถเข้าควบคุมเครื่องที่ถูกแฮกจากระยะไกลได้ และ Sagerunex ซึ่งเป็นเครื่องมือจำเพาะของทางกลุ่มแฮกเกอร์ที่ใช้ในการเปิดประตูหลัง (Backdoor) ของระบบเพื่อเข้าควบคุมเครื่องของเหยื่ออีกด้วย