นักวิจัยด้านความปลอดภัยเปิดเผยรายละเอียดของแคมเปญจารกรรมไซเบอร์ที่เชื่อมโยงกับจีน โดยพุ่งเป้าไปที่ภาครัฐและกลาโหมในเอเชียใต้ เอเชียตะวันออก และเอเชียตะวันออกเฉียงใต้ รวมถึงประเทศในยุโรปหนึ่งประเทศที่เป็นสมาชิก NATO

Trend Micro ระบุว่ากลุ่มที่ใช้ชื่อว่า SHADOW-EARTH-053 เริ่มปฏิบัติการตั้งแต่เดือนธันวาคม 2024 โดยใช้ประโยชน์จากช่องโหว่ N-day ในเซิร์ฟเวอร์ Microsoft Exchange และ Internet Information Services (IIS) ที่เชื่อมต่ออินเทอร์เน็ต เช่น ProxyLogon จากนั้นติดตั้ง web shell (Godzilla) เพื่อเข้าถึงแบบถาวร และใช้เทคนิค DLL sideloading เพื่อฝังแบ็คดอร์ ShadowPad เป้าหมายรวมถึงปากีสถาน ไทย มาเลเซีย อินเดีย เมียนมา ศรีลังกา ไต้หวัน และโปแลนด์

ที่มา: The Hacker News

คำศัพท์เทคนิคที่น่าสนใจ

• N-day vulnerability – ช่องโหว่ที่เปิดเผยแล้วแต่ยังไม่ได้รับการแก้ไข
• Web shell – สคริปต์ที่ให้ผู้โจมตีควบคุมเซิร์ฟเวอร์ผ่านเว็บเบราว์เซอร์
• DLL sideloading – เทคนิคโหลด DLL ที่เป็นอันตรายโดยใช้โปรแกรมที่เชื่อถือได้
• ShadowPad – แบ็คดอร์ที่ใช้ในการจารกรรมข้อมูล
• ProxyLogon – ช่องโหว่ใน Microsoft Exchange ที่ถูกใช้โจมตีอย่างกว้างขวาง