ที่มาภาพ: The Hacker News
Google รายงาน Backdoor .NET ชื่อ STOCKSTAY ของกลุ่ม Turla ที่โจมตียูเครนและอิตาลี
⚡ สรุป 30 วิ
Google Threat Intelligence Group เปิดเผยว่า Turla ใช้ backdoor .NET ใหม่ชื่อ STOCKSTAY เพื่อโจมตีหน่วยงานรัฐบาลและกองทัพยูเครน รวมถึงองค์กรด้านการทูตของอิตาลี…
การโจมตีแบบสปายเวร์ของกลุ่ม Turla ที่มุ่งเป้าไปยังหน่วยงานรัฐบาลและกองทัพของยูเครน รวมถึงองค์กรที่เกี่ยวข้องกับนโยบายต่างประเทศของอิตาลี ถูกเปิดเผยโดย Google Threat Intelligence Group (GTIG) เมื่อเร็ว ๆ นี้ รายงานระบุว่ากลุ่มอาชญากรไซเบอร์นี้ได้พัฒนาและใช้งาน Backdoor .NET ใหม่ที่ชื่อ STOCKSTAY ซึ่งเป็นโค้ดที่ยังไม่เคยปรากฏในฐานข้อมูลการวิเคราะห์ใด ๆ มาก่อน การเปิดเผยนี้ทำให้ผู้ปกป้องโครงข่ายด้านความมั่นคงของประเทศต้องเผชิญกับความเสี่ยงใหม่ที่ซับซ้อนยิ่งขึ้น
Overview
Google Threat Intelligence Group รายงานว่า STOCKSTAY เป็น backdoor ที่เขียนด้วยภาษา .NET** และถูกออกแบบให้ทำงานบนระบบปฏิบัติการ Windows อย่างต่อเนื่อง กลุ่ม Turla ที่ได้รับการสนับสนุนจากรัฐรัสเซียมีประวัติการใช้เครื่องมือสปายเวร์แบบเดียวกันในการเก็บข้อมูลและทำการสอดแนมเป็นเวลาหลายปีแล้ว การพัฒนาตัวใหม่นี้แสดงให้เห็นถึงความสามารถในการอัปเดตและปรับตัวของกลุ่มต่อการป้องกันใหม่ ๆ ของฝ่ายรับ
การโจมตีที่ได้รับการบันทึกพบว่า STOCKSTAY ถูกส่งไปยังเป้าหมายผ่านอีเมลฟิชชิงและไฟล์ที่แนบมาซึ่งอาจดูเหมือนเอกสารหรือโปรแกรมที่เป็นประโยชน์ต่อผู้รับ การเข้าถึงระบบสำเร็จแล้ว malware จะทำการดาวน์โหลดและรันโมดูลเพิ่มเติมเพื่อขยายการควบคุมและเก็บข้อมูลสำคัญ เช่น รายชื่อผู้ใช้ รหัสผ่าน และไฟล์ที่เกี่ยวข้องกับโครงการรัฐ
Technical Details
จากการวิเคราะห์ของ GTIG พบว่า STOCKSTAY ใช้เทคนิคหลายอย่างเพื่อรักษาการทำงานต่อเนื่องบนเครื่องเป้าหมาย ได้แก่
- การสร้าง Scheduled Tasks เพื่อให้มั่นใจว่าโค้ดจะถูกเรียกใช้ทุกครั้งที่ระบบเริ่มทำงาน
- การสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2) ผ่านช่องทาง HTTP/HTTPS โดยข้อมูลที่ส่งจะถูกเข้ารหัสเพื่อหลีกเลี่ยงการตรวจจับของระบบ IDS/IPS
- ความสามารถในการดาวน์โหลด DLL หรือ .NET assemblies** เพิ่มเติมจากเซิร์ฟเวอร์ C2 เพื่อเพิ่มฟังก์ชันการทำงานตามที่โจมตีต้องการ
นอกจากนี้ malware ยังใช้วิธี Process Injection เพื่อซ่อนตัวอยู่ในกระบวนการของระบบที่เป็นที่รู้จัก เช่น explorer.exe หรือ svchost.exe ทำให้การตรวจจับโดยเครื่องมือแอนตี้ไวรัสแบบดั้งเดิมทำได้ยาก
Attribution & Context
กลุ่ม Turla หรือที่รู้จักในชื่อ Snake หรือ Uroburos เป็นหนึ่งในกลุ่ม APT ที่มีประวัติการทำงานมานานกว่า 15 ปี โดยมักมุ่งเป้าไปยังหน่วยงานรัฐและองค์กรทางทหารของยุโรปและยุคเอเชีย การใช้ STOCKSTAY ในการโจมตียูเครนสอดคล้องกับแนวโน้มที่ Turla พยายามเสริมสร้างฐานข้อมูลด้านความมั่นคงของประเทศที่อยู่ในความขัดแย้งกับรัสเซีย
GTIG ชี้ว่าการเลือกเป้าหมายที่เกี่ยวข้องกับ นโยบายต่างประเทศของอิตาลี แสดงให้เห็นถึงการขยายขอบเขตของการสอดแนมไปสู่ข้อมูลทางการทูตและเศรษฐกิจ การเข้าถึงข้อมูลเหล่านี้อาจช่วยให้รัฐรัสเซียได้เปรียบในการวางแผนการทูตหรือการคบค้าสมาคมระหว่างประเทศ
Detection & Mitigation
Google Threat Intelligence Group ให้ข้อมูลการตรวจจับที่สำคัญสำหรับองค์กรที่อาจเป็นเป้าหมายของ STOCKSTAY รวมถึงการใช้ลายเซ็นของไฟล์ SHA-256 ที่เกี่ยวข้องและพฤติกรรมการสร้าง Scheduled Tasks ที่ไม่ปกติ การอัปเดตฐานข้อมูลของระบบป้องกันและการตรวจสอบเครือข่ายเพื่อหาการสื่อสารแบบ HTTP/HTTPS ไปยังโดเมนหรือ IP ที่ไม่เป็นที่รู้จักเป็นขั้นตอนที่แนะนำ
องค์กรควรดำเนินการดังต่อไปนี้
- ตรวจสอบและอัปเดตซอฟต์แวร์แอนตี้ไวรัสให้รองรับการตรวจจับ .NET**‑based malware ล่าสุด
- ใช้ระบบ EDR (Endpoint Detection and Response) เพื่อติดตามพฤติกรรมของกระบวนการที่อาจถูกฉีดโค้ด
- ปรับปรุงการฝึกอบรมพนักงานเรื่องฟิชชิงและการระบุไฟล์แนบที่อาจเป็นอันตราย
การทำตามขั้นตอนเหล่านี้จะช่วยลดความเสี่ยงจากการโจมตีของ STOCKSTAY และทำให้หน่วยงานสามารถตอบสนองต่อภัยคุกคามได้เร็วขึ้น
Impact
แม้ว่าข้อมูลเชิงตัวเลขเกี่ยวกับจำนวนเครื่องที่ได้รับผลกระทบยังไม่มีการเปิดเผยอย่างเป็นทางการ แต่การที่ STOCKSTAY ถูกใช้ต่อเนื่องเพื่อเจาะระบบของหน่วยงานรัฐบาลและกองทัพยูเครนบ่งบอกว่าผลกระทบอาจครอบคลุมข้อมูลสำคัญหลายประเภท การสอดแนมข้อมูลทูตของอิตาลีอาจส่งผลต่อการวางนโยบายระหว่างประเทศและความสัมพันธ์ทางเศรษฐกิจในยุโรป
การเปิดเผยนี้ทำให้ผู้ปกป้องโครงข่ายด้านความมั่นคงของหลายประเทศต้องประเมินความเสี่ยงใหม่และเร่งการอัปเดตระบบตรวจจับ การทำงานร่วมกันระหว่างหน่วยงานด้านความปลอดภัยไซเบอร์ของหลายประเทศอาจเป็นแนวทางสำคัญเพื่อแบ่งปันข้อมูลและร่วมกันต่อต้านกลุ่ม Turla
Summary
Google Threat Intelligence Group รายงานว่า STOCKSTAY เป็น backdoor .NET ใหม่ของกลุ่ม Turla ที่ถูกใช้โจมตีหน่วยงานรัฐบาลและกองทัพยูเครน รวมถึงองค์กรที่เกี่ยวข้องกับนโยบายต่างประเทศของอิตาลี การวิเคราะห์ชี้ให้เห็นเทคนิคการซ่อนตัวและการสื่อสารที่ซับซ้อน การตรวจจับและการป้องกันต้องอาศัยการอัปเดตฐานข้อมูลความปลอดภัยและการเฝ้าระวังพฤติกรรมของระบบอย่างต่อเนื่อง.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Google Details Turla's New STOCKSTAY Backdoor Used in Ukraine Espionage Attacks
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 26 มิถุนายน 2569 เวลา 14:15
