สรุปสั้น

กลุ่มแฮ็กเกอร์ Turla (หรือ Secret Blizzard) ซึ่งเชื่อมโยงกับ Center 16 ของ FSB หน่วยข่าวกรองรัสเซีย ได้พัฒนา backdoor ชื่อ Kazuar ให้กลายเป็น modular P2P botnet รูปแบบใหม่ จากเดิมที่เป็นเฟรมเวิร์กขนาดใหญ่ (monolithic) ตอนนี้ถูกแบ่งเป็น 3 ส่วนแยกกัน: Kernel, Bridge และ Worker แต่ละส่วนมีหน้าที่เฉพาะ สถาปัตยกรรมใหม่นี้ลดร่องรอย (footprint) บนเครื่องเป้าหมายอย่างมาก ทำให้ตรวจจับได้ยากขึ้น Microsoft Threat Intelligence เผยแพร่รายงานวิเคราะห์การเปลี่ยนแปลงนี้ พร้อมแนะนำให้องค์กรใช้ behavioral detection แทน static signatures Turla เป็นกลุ่ม APT ที่โจมตีหน่วยงานรัฐบาล การทูต และกลาโหมในยุโรปและเอเชียกลางมายาวนาน

รายละเอียดข่าว

Turla เป็นกลุ่ม APT ที่มีประวัติยาวนานกว่า 20 ปี เป็นที่รู้จักในชื่ออื่นๆ เช่น Snake, Uroburos, Venomous Bear, Waterbug และ WRAITH กลุ่มนี้เป้าหมายหลักคือหน่วยงานรัฐบาล สถานทูต และองค์กรด้านกลาโหมในยุโรปและเอเชียกลาง

Microsoft Threat Intelligence เผยแพร่รายงานใหม่ระบุว่า Turla ได้ปรับปรุง Kazuar backdoor ครั้งใหญ่ จากเฟรมเวิร์กแบบ monolithic ที่มีโค้ดทั้งหมดในไฟล์เดียว ให้กลายเป็นระบบ modular ที่ยืดหยุ่นและซ่อนตัวได้ดีกว่า

รายละเอียดช่องโหว่

สถาปัตยกรรมใหม่ของ Kazuar แบ่งเป็น 3 ส่วนหลัก:

  • Kernel — ส่วนแกนกลางที่จัดการ persistence, การสื่อสาร P2P กับ nodes อื่น และการโหลด modules
  • Bridge — ตัวกลางที่เชื่อมต่อระหว่าง Kernel กับ C2 server ภายนอก ทำหน้าที่เป็น relay ข้ามเครือข่าย
  • Worker — ส่วนที่รับคำสั่งและปฏิบัติการจริง เช่น ขโมยข้อมูล สำรวจเครือข่าย เคลื่อนย้ายข้ามเครื่อง

ข้อดีของสถาปัตยกรรมนี้สำหรับผู้โจมตี:

  • ลดขนาดโค้ดบนเครื่องเป้าหมายแต่ละเครื่อง (ไม่ต้องวาง module ทั้งหมด)
  • การสื่อสารแบบ P2P ทำให้ไม่มี single point of failure
  • การตั้งค่าที่ยืดหยุ่น (highly configurable) ทำให้ปรับพฤติกรรมได้ตาม target
  • Static signatures แทบไม่มีประโยชน์เพราะ module แต่ละตัวเปลี่ยนแปลงได้อิสระ

ผลกระทบต่อไทย

แม้ Turla จะมุ่งเป้าหลักที่ยุโรปและเอเชียกลาง แต่ประเทศไทยในฐานะประเทศที่มีบทบาทด้านการทูตในภูมิภาค มีสถานทูตหลายประเทศ และมีองค์กรระหว่างประเทศตั้งอยู่ ก็อาจเป็นเป้าหมายรองได้

นอกจากนี้ เทคนิค modular P2P botnet ที่ Turla ใช้ มีแนวโน้มจะถูก copy โดยกลุ่ม APT อื่นๆ ที่โจมตีในอาเซียน เช่น กลุ่มที่เคยโจมตีหน่วยงานไทย การเข้าใจสถาปัตยกรรมนี้จะช่วยให้ทีม SOC ในไทยเตรียมรับมือกับภัยคุกคามรูปแบบเดียวกันในอนาคต

คำแนะนำ

  • ใช้ behavioral detection แทน static signatures ในการตรวจจับ APT
  • เฝ้าระวัง lateral movement ที่ผิดปกติและการสื่อสาร P2P ภายในเครือข่าย
  • ตรวจสอบ network traffic ที่ไม่ตรงกับ baseline โดยเฉพาะ encrypted traffic ระหว่าง endpoints ภายใน
  • ติดตาม Indicators of Compromise (IOCs) จากรายงานของ Microsoft Threat Intelligence
  • พิจารณาใช้ EDR/XDR ที่รองรับ behavioral analysis เพื่อตรวจจับ lateral movement และ P2P ภายในเครือข่าย
  • จำกัดสิทธิ์ผู้ใช้และแยก segment สำหรับระบบที่มีความเสี่ยงสูง (สถานทูต, หน่วยงานระหว่างประเทศ)

แหล่งอ้างอิง