May 16, 2025 Monster Online

หลอกลวงอย่างแนบเนียน การโจมตีผ่านโครงสร้างพื้นฐานของภาครัฐ

การหลอกลวงในระดับมหาศาล วิธีที่ผู้โจมตีใช้โครงสร้างพื้นฐานของรัฐบาลเป็นเครื่องมือ

เพื่อสานต่อภารกิจของเราที่จะแชร์ความสามารถของ VirusTotal เพื่อช่วยนักวิจัย ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย และสาธารณชนให้เข้าใจธรรมชาติของการโจมตีไซเบอร์ได้ดียิ่งขึ้น เราขอประกาศรายงานล่าสุดของเราในชื่อ
“การหลอกลวงในระดับมหาศาล: วิธีที่ผู้โจมตีใช้โครงสร้างพื้นฐานของรัฐบาลเป็นเครื่องมือ”
โดยมีประเด็นหลักดังนี้:

โดเมนที่เกี่ยวข้องกับรัฐบาล เป็นหนึ่งในหมวดหมู่ยอดนิยมที่ผู้โจมตีนำมาใช้แพร่กระจายมัลแวร์ในปี 2022
เราพบว่า มีโดเมนที่เกี่ยวข้องกับรัฐบาลจำนวนมากถูกใช้ในการโฮสต์มัลแวร์ หลากหลายประเภท เช่น โทรจัน, แรนซัมแวร์, ฟิชชิง, ขุดเหรียญดิจิทัล, มัลแวร์ด้านการเงิน และเครื่องมือเคลื่อนที่ในเครือข่าย
แม้บางโดเมนจะดูเหมือนตกเป็นเหยื่อจากการโจมตีแบบฉวยโอกาส แต่ก็มีหลักฐานบ่งชี้ว่าหลายกรณีเป็นการโจมตีโดยผู้ไม่ประสงค์ดีที่มีความสามารถสูง ซึ่งใช้โครงสร้างพื้นฐานของหน่วยงานรัฐเพื่อกระจายเครื่องมือโจมตีของตน
การใช้ โดเมนรัฐบาลที่ดูน่าเชื่อถือ ในการโฮสต์มัลแวร์ ทำให้ผู้โจมตีสามารถเพิ่มประสิทธิภาพของการโจมตีแบบ social engineering และหลบเลี่ยงระบบป้องกันที่พึ่ง deny/allow lists
เรายังพบ เว็บเชลล์ (Webshell) หลายรูปแบบ ที่ฝังอยู่ในโดเมนของรัฐบาลหลายแห่ง
โดยภาพรวม เราสังเกตได้ถึงการเพิ่มขึ้นของการโจมตีแบบฟิชชิงในปี 2022 พร้อมกับการแจกจ่าย PDF ที่น่าสงสัยจำนวนมาก อีกทั้งยังพบว่าไฟล์ XLSX ที่สร้างขึ้นใหม่เริ่มเข้ามาแทนที่ DOCX ในฐานะเครื่องมือยอดนิยมในการแพร่กระจายมัลแวร์

หมวดหมู่โดเมนที่ผู้โจมตีใช้ในทางที่ผิด
โดเมนและ URL ที่ประมวลผลโดย VirusTotal จะถูกจัดหมวดหมู่โดยโซลูชันของบุคคลที่สาม ข้อมูลนี้โดยทั่วไปสามารถพบได้ในแท็บ “Details”

สามารถใช้คำสั่งค้นหา (query) ง่ายๆ ต่อไปนี้เพื่อดูโดเมนที่จัดอยู่ในหมวดหมู่ เช่น military (การทหาร)

entity:domain category:military

น่าเสียดายที่หมวดหมู่ระหว่างผู้ให้บริการ (vendors) ต่างๆ อาจแตกต่างกันมาก เนื่องจากพวกเขาใช้เกณฑ์และการสะกดคำที่แตกต่างกัน โดยภาพรวม หมวดหมู่สามารถแบ่งออกเป็นสองชุด: ชุดหนึ่งเกี่ยวข้องกับกิจกรรมทางธุรกิจของโดเมน และอีกชุดหนึ่งอธิบายประเภทของภัยคุกคามที่ตรวจพบ นี่เป็นประเด็นสำคัญที่ต้องจำไว้ในขณะที่ทำงานกับคำสั่งค้นหา VT Intelligence ของคุณเอง

สามารถเพิ่มตัวปรับแต่ง (modifiers) เพิ่มเติมให้กับคำสั่งค้นหาของเราได้ ตัวอย่างเช่น คำสั่งค้นหาต่อไปนี้จะดึง URL (แทนที่จะเป็นโดเมน) ที่ตรงตามรูปแบบเฉพาะ

entity:url category:military url:"*.navy.*"

เราสามารถเพิ่มตัวปรับแต่งการค้นหาสำหรับเนื้อหา HTML, ข้อมูลเมตา (metadata) และอื่นๆ อีกมากมาย คุณสามารถค้นหารายการคำค้นหา (search keywords) ทั้งหมดสำหรับโดเมนและ URL ได้จากลิงก์ต่อไปนี้

แต่ละรายการ (entity) สามารถถูกแท็กด้วยหลายหมวดหมู่พร้อมกันได้ ดังนั้นคุณจึงสามารถรวมหมวดหมู่เหล่านั้นเพื่อค้นหาใน VT Intelligence ได้ ด้านล่างนี้คือตัวอย่างบางส่วน

กิจกรรมที่เป็นอันตรายบนโดเมน CDN
entity:domain category:"known infection source" category:"content delivery networks"

URL/โดเมนที่น่าสงสัยว่าเป็นฟิชชิ่ง/เป็นอันตราย
entity:url title:"Google" category:malicious
entity:domain fuzzy_domain:”yandex.ru” category:"known infection source"
entity:url title:"banking" category:"phishing and other frauds"

URL ล็อกอินของ Command and Control (C2) ที่น่าสงสัย
entity:url title:"login" category:"bot networks"

การโจมตีแบบ Waterhole ที่น่าสงสัย
entity:domain AND (category:religion OR category:news OR category:politics) AND downloaded_files_max_detections:30+

เว็บไซต์ที่เผยแพร่โปรแกรมแคร็ก (cracks) สำหรับวิดีโอเกม
entity:url category:games category:"spyware and malware" title:crack

เราพยายามอย่างเต็มที่ในการรวมเกณฑ์ต่างๆ เข้าด้วยกันเพื่อทำความเข้าใจว่าหมวดหมู่ใดบ้างที่เป็นแหล่งเผยแพร่เนื้อหาที่เป็นอันตรายมากที่สุด เราประหลาดใจที่เห็น “Government” (หน่วยงานรัฐ) ติดอันดับต้นๆ ตามจำนวนโดเมน

โครงสร้างพื้นฐานที่เกี่ยวข้องกับรัฐบาล
เราพบตัวอย่างที่น่าสนใจหลายกรณีเมื่อวิเคราะห์กิจกรรมที่น่าสงสัยบนโครงสร้างพื้นฐานของรัฐบาล อินโฟกราฟิกต่อไปนี้แสดง TLDs (Top-Level Domains) ยอดนิยมสำหรับโดเมนที่เกี่ยวข้องกับรัฐบาลที่น่าสงสัยที่เราพบใน VirusTotal ในปี 2022 เราตัดสินใจที่จะไม่รวม TLDs ที่ไม่เฉพาะเจาะจง (เช่น .com, .net, .org เป็นต้น) ออกจากรายการนี้

เราได้ตรวจสอบกรณีต่างๆ ที่เราพบว่าน่าสนใจด้วยตนเองอีกครั้ง ซึ่งมีรายละเอียดดังต่อไปนี้

การโฮสต์มัลแวร์
เราพบเนื้อหาที่เป็นอันตรายทุกประเภทที่โฮสต์โดยโดเมนของรัฐ รวมถึงฟิชชิ่ง, โปรแกรมดาวน์โหลดและโทรจัน, แรนซัมแวร์, เครื่องมือสำหรับการเคลื่อนที่ในเครือข่าย, โปรแกรมขุดเหรียญดิจิทัล และมัลแวร์ธนาคาร เพื่อให้ได้รายการเบื้องต้นสำหรับเริ่มทำงาน เราใช้คำสั่งค้นหาที่คล้ายกับที่อธิบายไว้ก่อนหน้านี้ เพื่อค้นหาโครงสร้างพื้นฐานของรัฐที่อาจถูกบุกรุก ตามด้วยการกรองเพิ่มเติมและการตรวจสอบด้วยตนเอง

ด้านล่างนี้ เราจะอธิบายกรณีที่น่าสนใจบางส่วนที่เราพบ

ตัวอย่างของโทรจันธนาคารบน Android ชื่อ Coper ถูกโฮสต์บนเว็บไซต์ของหน่วยงานรัฐบาลอินโดนีเซีย
มัลแวร์ที่มีความสามารถในการดักจับการกดแป้นพิมพ์ (keylogger) และจับภาพหน้าจอ (screenshot) ถูกโฮสต์ในเว็บไซต์สำนักงานรัฐบาลในบังกลาเทศเป็นเวลาประมาณสามเดือน ตามข้อมูล telemetry
เว็บไซต์ของรัฐบาลเปรูโฮสต์ตัวอย่างของ njRAT ที่เป็นอันตราย ตัวอย่างนี้ถูกพบครั้งแรกในเดือนพฤศจิกายน 2021 และเว็บไซต์ดังกล่าวได้ทำการล้างข้อมูลไปแล้ว ณ เวลาที่เขียนรายงาน อย่างไรก็ตาม เราพบตัวอย่างเพิ่มเติมที่ยังคงใช้งานอยู่ในช่วงเวลาเดียวกันและใช้เซิร์ฟเวอร์ C2 เดียวกัน
เรายังพบร่องรอยของการโจมตีแบบกำหนดเป้าหมายและเครื่องมือสำหรับการเคลื่อนที่ในเครือข่ายที่โฮสต์อยู่ในเหยื่อบางราย
ร่องรอยของ Mimikatz ที่โฮสต์อยู่ในโดเมนย่อยของโรงพยาบาลรัฐแห่งหนึ่งในอินโดนีเซีย (ซึ่งน่าจะถูกบุกรุกแล้ว)
ตัวอย่าง Cobalt Strike ถูกโฮสต์ในหน่วยงานรัฐบาลศรีลังกาเมื่อเดือนกรกฎาคม 2022 ที่ผ่านมาภายใต้ชื่อที่ไม่น่าสงสัย
สำหรับแรนซัมแวร์ พบว่าโดเมนของหน่วยงานรัฐระดับภูมิภาคในฟิลิปปินส์โฮสต์ตัวอย่าง AgentTesla ในช่วงกลางปี 2021 ดูเหมือนว่าผู้โจมตีได้ใช้ช่องโหว่ใน CMS (ระบบจัดการเนื้อหา) เพื่อติดตั้งตัวอย่างของตนภายใต้ URL ที่เห็นได้ชัดว่าใช้สำหรับการทำวิศวกรรมสังคม ซึ่งเพิ่มโอกาสในการแพร่กระจายอย่างมาก

เว็บเชลล์ที่น่าสงสัย
เราพยายามค้นหาเว็บไซต์ที่เกี่ยวข้องกับรัฐบาล (ที่อาจถูกบุกรุก) ที่โฮสต์เว็บเชลล์ นี่ไม่ใช่งานง่าย ดังนั้นเราจึงทดลองใช้แนวคิดบางอย่าง ตัวอย่างเช่น เราค้นหาชื่อทั่วไปที่เว็บเชลล์ใช้ในโดเมนของรัฐบาลที่ถูกตรวจจับว่าน่าสงสัยโดยโปรแกรมป้องกันไวรัส เรายังรวมการค้นหาเนื้อหาทั่วไปในไฟล์เว็บเชลล์เข้ากับการตัดสินของโปรแกรมป้องกันไวรัสด้วย น่าเสียดายที่คำสั่งค้นหาเหล่านี้ยังคงให้ผลบวกลวง (false positives) มากเกินไป ดังนั้นเราจึงต้องตรวจสอบด้วยตนเองอีกครั้ง ด้านล่างนี้เป็นรายละเอียดของสิ่งที่น่าสนใจบางส่วนที่เราพบ ทั้งหมดนี้พบในโครงสร้างพื้นฐานของรัฐบาล

ไฟล์ JPG นี้ฝังโค้ด PHP ไว้ในส่วนความคิดเห็น (comment section) นี่เป็นเทคนิคเก่าที่รู้จักกันดีซึ่งดูเหมือนจะยังคงมีประสิทธิภาพในการหลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัส

URL ส่วนใหญ่ที่เผยแพร่มัลแวร์นี้ในโลกความเป็นจริง (ITW - In The Wild) ที่แสดงอยู่ในแท็บ Relations มีผลการตรวจจับเป็น 0 ซึ่งน่าจะเป็นเว็บไซต์ที่ถูกกฎหมายแต่ถูกบุกรุก
เว็บเชลล์ PHP นี้ ซึ่งนำเสนอในรูปแบบไฟล์ PDF ถูกพบครั้งแรกใน VirusTotal ในปี 2013 ตั้งแต่นั้นมา มัลแวร์นี้ได้ถูกเผยแพร่ในโลกความเป็นจริง (ITW) โดยโดเมนที่แตกต่างกันอย่างน้อย 29 แห่ง น่าสนใจคือ เมื่อถูกโปรแกรมรวบรวมข้อมูล (bot) ของเครื่องมือค้นหาใดๆ เข้าถึง มันจะส่งคืนค่าข้อผิดพลาด 404 เพื่อหลีกเลี่ยงการถูกจัดทำดัชนี
เว็บเชลล์ PHP อำพรางตัวเองเป็นไฟล์ภาพโดยใช้เทคนิคต่างๆ ในกรณีนี้ เว็บเชลล์นี้จะเพิ่มสตริง “GIF89GHZ” ที่จุดเริ่มต้นของไฟล์เพื่อทำให้การตรวจจับประเภทไฟล์เข้าใจผิด รายการ URL ในโลกความเป็นจริง (ITW) ที่เผยแพร่ตัวอย่างนี้น่าประทับใจมาก นอกจากนี้ยังแสดงให้เห็นว่าส่วนใหญ่แล้วเว็บเชลล์นี้ถูกโฮสต์เป็นไฟล์ภาพ GIF โค้ดที่ถอดรหัสแล้ว
โปรแกรมอัปโหลด PHP แบบง่ายๆ ที่บางครั้งโฮสต์ในชื่อ "favicon.ico" แท็บเนื้อหา (content tab) สำหรับเว็บเชลล์นี้ใน VirusTotal แสดงรหัสผ่านที่มันคาดหวังจากผู้ควบคุม

เมื่อเนื้อหาของเว็บเชลล์พร้อมใช้งาน เราสามารถใช้มันเพื่อเชื่อมโยง (pivot) (โดยการคลิก) ไปยังไฟล์อื่นๆ ที่มีเนื้อหาเดียวกัน (ซึ่งน่าจะเป็นเว็บเชลล์เพิ่มเติม!) ด้วยวิธีนี้ เราสามารถค้นหาไฟล์เพิ่มเติมอีกเก้าไฟล์ได้อย่างง่ายดาย ซึ่งยังให้สตริงรหัสผ่านใหม่เพื่อใช้ในการเชื่อมโยงต่อไป
เรายังพบเว็บเชลล์ที่เข้ารหัสตัวที่สอง (พบครั้งแรกในปี 2016 และฝังสคริปต์ Perl ที่เข้ารหัสแบบ base64 สองตัว) ซึ่งรหัสผ่านสำหรับการถอดรหัสสามารถพบได้ในรูปแบบข้อความธรรมดา (clear text) ในแท็บเนื้อหา ซึ่งเป็นแหล่งข้อมูลที่ยอดเยี่ยมสำหรับการเชื่อมโยงเสมอ
ไฟล์นี้มี AuraCMS ซึ่งเป็นบริการจัดการเนื้อหาของอินโดนีเซียในเวอร์ชันที่ถูกฝังโทรจัน (trojanized) สามารถพบเว็บเชลล์ได้ภายใต้พาธ "files/siswa/be.php"
น่าสนใจ ไฟล์นี้มีข้อความปฏิเสธความรับผิดชอบ (disclaimer) ที่มองเห็นได้ในแท็บเนื้อหา:

อย่างไรก็ตาม มันมีบล็อกโค้ดที่ถูกทำให้สับสน (obfuscated) และเข้ารหัส ซึ่งสามารถใช้เพื่อเชื่อมโยงไปยังตัวอย่างอื่นๆ ที่คล้ายกันได้ เนื้อหาที่ถอดรหัสแล้วแสดงให้เห็นว่าเว็บเชลล์นี้มีความสามารถในการนำทางในระบบไฟล์, การรันคำสั่งในเครื่อง, การอ่าน/เขียนไฟล์, การดาวน์โหลด/อัปโหลด, การเชื่อมต่อ MySQL, การแสดงรายการโปรเซส ฯลฯ นอกจากนี้ยังมีบล็อกโค้ดที่เข้ารหัสที่แตกต่างกันสี่บล็อก สองบล็อกในนั้นสร้างการเชื่อมต่อแบ็คดอร์ (backdoor) ทั่วไป: $port_bind_bd_pl (Perl) และ $port_bind_bd_c (โค้ด C สำหรับคอมไพล์ในเครื่อง) อีกสองบล็อกของโค้ดใช้สำหรับสร้าง reverse shells: $back_connect (Perl) และ $back_connect_c (C)
เว็บเชลล์นี้มีพื้นฐานมาจากโปรเจกต์ WSO Webshell (ปัจจุบันถูกลบออกจาก Github แล้ว แต่มีสำเนาของ repository ดั้งเดิมอยู่ที่นี่) น่าเสียดาย นี่ไม่ใช่เว็บเชลล์ที่ใช้ WSO เพียงตัวเดียวที่เราพบในโดเมนของรัฐบาล (มีอีกตัวอย่างหนึ่งที่นี่) แท็บเนื้อหาแสดงรหัสผ่านและอีเมลที่จะช่วยให้เราค้นหาตัวอย่างอื่นๆ ได้ เราสามารถใช้ข้อมูลนี้สำหรับคำสั่งค้นหา VTI ที่อิงตามเนื้อหาได้