Cybercrime

OceanLotus: Watering Hole Attack ในภูมิภาคเอเชียตะวันออกเฉียงใต้

เว็บไซต์ในประเทศในแถบเอเชียตะวันออกเฉียงใต้ตกเป็นเป้าของกลุ่มแฮกเกอร์ OceanLotus

นักวิจัยของ ESET พบ 21 เว็บไซต์ที่ถูกเจาะ บางเว็บไซต์เป็นของรัฐบาลและสื่อ ซึ่งพบว่าเป็นแผนการที่เรียกว่า Watering Hole ในแถบภูมิภาคเอเชียตะวันออกเฉียงใต้ เชื่อว่าแผนการเริ่มมาตั้งแต่เดือนกันยายน 2018 ในบรรดาเว็บไซต์ที่โดนเล่นงานมี เว็บไซต์กระทรวงกลาโหมของกัมพูชา เว็บไซต์ของกระทรวงต่างปะเทศและความร่วมมือระหว่างประเทศของกัมพูชา รวมถึงเว็บไซต์หนังสือพิมพ์และบล็อกต่างๆ

จากการวิเคราะห์ เราค่อนข้างมั่นใจว่านี่เป็นแผนการของกลุ่มอาชญากรไซเบอร์ OceanLotus หรือในชื่ออื่นๆอย่าง APT32 และ APT-C-00 ซึ่งเริ่มปฏิบัติการมาตั้งแต่ปี 2012 โดยมีเป้าหมายหลักเป็นรัฐบาลและฝ่ายค้าน

โดยกลุ่มแฮกเกอร์นี้ใช้เครื่องมือที่พัฒนาขึ้นมาใหม่ OceanLotus Framework B และใช้ประโยชน์จากระบบการเข้ารหัสการสื่อสาร เพื่อป้องกันตัวเองจากโปรแกรมรักษาความปลอดภัย และยังสามารถสลับ HTTP เป็น WebSocket เป็นซ่อนการติดต่อสื่อสารที่เป็นอันตรายได้

นอกจากนี้นักวิจัยยังพบอีกว่าเว็บไซต์ทั้ง 21 เว็บไซต์ที่ถูกเล่นงาน มาจากโดเมนที่ควบคุมโดยแฮกเกอร์

ตำแหน่งของเว็บไซต์ที่ตกเป็นเป้าหมาย

โดเมนส่วนมากที่ถูกเล่นงานมักมีความเกี่ยวข้องกับรัฐบาลกัมพูชา เราแจ้งเตือนกับทางเจ้าของโดเมนทั้งหมด ตั้งแต่เดือนตุลาคม 2018 แต่ยังไม่มีอะไรเปลี่ยนแปลง ดังนั้นเราจึงอยากให้หลีกเลี่ยงการใข้งานเว็บไซต์เหล่านี้

Compromised domainDescription
baotgm[.]netMedia in Vietnamese (based in Arlington, Texas)
cnrp7[.]orgCambodia National Rescue Party
conggiaovietnam[.]netRelated to Religion – In Vietnamese
daichungvienvinhthanh[.]comRelated to Religion – In Vietnamese
danchimviet[.]infoMedia in Vietnamese
danviet[.]vnMedia in Vietnamese
danviethouston[.]comMedia in Vietnamese
fvpoc[.]orgFormer Vietnamese Prisoners of Conscience
gardencityclub[.]comGolf club in Phnom Penh, Kingdom of Cambodia
lienketqnhn[.]orgMedia in Vietnamese
mfaic.gov[.]khMinistry of Foreign Affairs and International Cooperation of Cambodia
mod.gov[.]khMinistry of Defense of Cambodia
mtgvinh[.]netRelated to Religion – In Vietnamese
nguoitieudung.com[.]vnMedia in Vietnamese
phnompenhpost[.]comCambodian newspaper in English
raovatcalitoday[.]comUnknown – In Vietnamese
thongtinchongphandong[.]comOpposition media in Vietnamese
tinkhongle[.]comMedia in Vietnamese
toithichdoc.blogspot[.]comBlog in Vietnamese
trieudaiviet[.]comUnknown – In Vietnamese
triviet[.]newsMedia in Vietnamese

โดยทั่วไปแล้วการโจมตี Watering Hole คือการโจมตีเว็บไซต์คู่แข่งของตัวเอง แต่ในกรณีนี้ OceanLotus โจมตีเว็บไซต์ที่มีผู้เข้าใช้จำนวนมาก สังเกตได้จากอันดับความนิยม Alexa Rank ยิ่งเลขน้อยแสดงว่ามีผู้เข้าใช้มาก เช่น เว็บไซต์ Dan Viet newspaper (danviet[.]vn) ที่เป็นเว็บไซต์ที่มีผู้ใช้มากที่สุดอันดับ 116 ในประเทศเวียดนาม

DomainAlexa rank (global)Alexa rank (in the most popular country)
danviet[.]vn12,887116
phnompenhpost[.]com85,91018,880
nguoitieudung.com[.]vn261,8012,397
danchimviet[.]info287,852144,884
baotgm[.]net675,669119,737
toithichdoc.blogspot[.]com700,47011,532
mfaic.gov[.]kh978,1652,149
conggiaovietnam[.]net1,040,54815,368
thongtinchongphandong[.]com1,134,69121,575
tinkhongle[.]com1,301,72215,224
daichungvienvinhthanh[.]com1,778,41823,428
triviet[.]news2,767,289Not available
mod.gov[.]kh4,247,6493,719
raovatcalitoday[.]com8,180,358Not available
cnrp7[.]org8,411,693Not available
mtgvinh[.]net8,415,468Not available
danviethouston[.]com8,777,564Not available
lienketqnhn[.]org16,109,635Not available
gardencityclub[.]com16,109,635Not available
trieudaiviet[.]com16,969,048Not available
fvpoc[.]orgNot availableNot available

แม้ว่า OceanLotus จะถูกติดตามโดยนักวิจัยจำนวนมาก แต่ OceanLotus ยังคงยุ่งกับการโจมตีเป้าหมายในภูมิภาคเอเชียตะวันออกเฉียงใต้ และพวกเขาก็พัฒนาเครื่องมือของตัวเองอย่างสม่ำเสมอ ทั้ง Watering Hole Framework และมัลแวร์ Windows กับ iOS ของพวกเขา

Author: Matthieu Faou
Source:
https://www.welivesecurity.com/2018/11/20/oceanlotus-new-watering-hole-attack-southeast-asia/
Translated by: Worapon H.

%d bloggers like this: