นักวิจัยของ ESET พบ 21 เว็บไซต์ที่ถูกเจาะ บางเว็บไซต์เป็นของรัฐบาลและสื่อ ซึ่งพบว่าเป็นแผนการที่เรียกว่า Watering Hole ในแถบภูมิภาคเอเชียตะวันออกเฉียงใต้ เชื่อว่าแผนการเริ่มมาตั้งแต่เดือนกันยายน 2018 ในบรรดาเว็บไซต์ที่โดนเล่นงานมี เว็บไซต์กระทรวงกลาโหมของกัมพูชา เว็บไซต์ของกระทรวงต่างปะเทศและความร่วมมือระหว่างประเทศของกัมพูชา รวมถึงเว็บไซต์หนังสือพิมพ์และบล็อกต่างๆ
จากการวิเคราะห์ เราค่อนข้างมั่นใจว่านี่เป็นแผนการของกลุ่มอาชญากรไซเบอร์ OceanLotus หรือในชื่ออื่นๆอย่าง APT32 และ APT-C-00 ซึ่งเริ่มปฏิบัติการมาตั้งแต่ปี 2012 โดยมีเป้าหมายหลักเป็นรัฐบาลและฝ่ายค้าน
โดยกลุ่มแฮกเกอร์นี้ใช้เครื่องมือที่พัฒนาขึ้นมาใหม่ OceanLotus Framework B และใช้ประโยชน์จากระบบการเข้ารหัสการสื่อสาร เพื่อป้องกันตัวเองจากโปรแกรมรักษาความปลอดภัย และยังสามารถสลับ HTTP เป็น WebSocket เป็นซ่อนการติดต่อสื่อสารที่เป็นอันตรายได้
นอกจากนี้นักวิจัยยังพบอีกว่าเว็บไซต์ทั้ง 21 เว็บไซต์ที่ถูกเล่นงาน มาจากโดเมนที่ควบคุมโดยแฮกเกอร์
ตำแหน่งของเว็บไซต์ที่ตกเป็นเป้าหมาย
โดเมนส่วนมากที่ถูกเล่นงานมักมีความเกี่ยวข้องกับรัฐบาลกัมพูชา เราแจ้งเตือนกับทางเจ้าของโดเมนทั้งหมด ตั้งแต่เดือนตุลาคม 2018 แต่ยังไม่มีอะไรเปลี่ยนแปลง ดังนั้นเราจึงอยากให้หลีกเลี่ยงการใข้งานเว็บไซต์เหล่านี้
| Compromised domain | Description |
|---|
| baotgm[.]net | Media in Vietnamese (based in Arlington, Texas) |
| cnrp7[.]org | Cambodia National Rescue Party |
| conggiaovietnam[.]net | Related to Religion – In Vietnamese |
| daichungvienvinhthanh[.]com | Related to Religion – In Vietnamese |
| danchimviet[.]info | Media in Vietnamese |
| danviet[.]vn | Media in Vietnamese |
| danviethouston[.]com | Media in Vietnamese |
| fvpoc[.]org | Former Vietnamese Prisoners of Conscience |
| gardencityclub[.]com | Golf club in Phnom Penh, Kingdom of Cambodia |
| lienketqnhn[.]org | Media in Vietnamese |
| mfaic.gov[.]kh | Ministry of Foreign Affairs and International Cooperation of Cambodia |
| mod.gov[.]kh | Ministry of Defense of Cambodia |
| mtgvinh[.]net | Related to Religion – In Vietnamese |
| nguoitieudung.com[.]vn | Media in Vietnamese |
| phnompenhpost[.]com | Cambodian newspaper in English |
| raovatcalitoday[.]com | Unknown – In Vietnamese |
| thongtinchongphandong[.]com | Opposition media in Vietnamese |
| tinkhongle[.]com | Media in Vietnamese |
| toithichdoc.blogspot[.]com | Blog in Vietnamese |
| trieudaiviet[.]com | Unknown – In Vietnamese |
| triviet[.]news | Media in Vietnamese |
โดยทั่วไปแล้วการโจมตี Watering Hole คือการโจมตีเว็บไซต์คู่แข่งของตัวเอง แต่ในกรณีนี้ OceanLotus โจมตีเว็บไซต์ที่มีผู้เข้าใช้จำนวนมาก สังเกตได้จากอันดับความนิยม Alexa Rank ยิ่งเลขน้อยแสดงว่ามีผู้เข้าใช้มาก เช่น เว็บไซต์ Dan Viet newspaper (danviet[.]vn) ที่เป็นเว็บไซต์ที่มีผู้ใช้มากที่สุดอันดับ 116 ในประเทศเวียดนาม
| Domain | Alexa rank (global) | Alexa rank (in the most popular country) |
|---|
| danviet[.]vn | 12,887 | 116 |
| phnompenhpost[.]com | 85,910 | 18,880 |
| nguoitieudung.com[.]vn | 261,801 | 2,397 |
| danchimviet[.]info | 287,852 | 144,884 |
| baotgm[.]net | 675,669 | 119,737 |
| toithichdoc.blogspot[.]com | 700,470 | 11,532 |
| mfaic.gov[.]kh | 978,165 | 2,149 |
| conggiaovietnam[.]net | 1,040,548 | 15,368 |
| thongtinchongphandong[.]com | 1,134,691 | 21,575 |
| tinkhongle[.]com | 1,301,722 | 15,224 |
| daichungvienvinhthanh[.]com | 1,778,418 | 23,428 |
| triviet[.]news | 2,767,289 | Not available |
| mod.gov[.]kh | 4,247,649 | 3,719 |
| raovatcalitoday[.]com | 8,180,358 | Not available |
| cnrp7[.]org | 8,411,693 | Not available |
| mtgvinh[.]net | 8,415,468 | Not available |
| danviethouston[.]com | 8,777,564 | Not available |
| lienketqnhn[.]org | 16,109,635 | Not available |
| gardencityclub[.]com | 16,109,635 | Not available |
| trieudaiviet[.]com | 16,969,048 | Not available |
| fvpoc[.]org | Not available | Not available |
แม้ว่า OceanLotus จะถูกติดตามโดยนักวิจัยจำนวนมาก แต่ OceanLotus ยังคงยุ่งกับการโจมตีเป้าหมายในภูมิภาคเอเชียตะวันออกเฉียงใต้ และพวกเขาก็พัฒนาเครื่องมือของตัวเองอย่างสม่ำเสมอ ทั้ง Watering Hole Framework และมัลแวร์ Windows กับ iOS ของพวกเขา
Author: Matthieu Faou
Source: https://www.welivesecurity.com/2018/11/20/oceanlotus-new-watering-hole-attack-southeast-asia/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
นักวิจัยของ ESET พบ 21 เว็บไซต์ที่ถูกเจาะ บางเว็บไซต์เป็นของรัฐบาลและสื่อ ซึ่งพบว่าเป็นแผนการที่เรียกว่า Watering Hole ในแถบภูมิภาคเอเชียตะวันออกเฉียงใต้ เชื่อว่าแผนการเริ่มมาตั้งแต่เดือนกันยายน 2018 ในบรรดาเว็บไซต์ที่โดนเล่นงานมี เว็บไซต์กระทรวงกลาโหมของกัมพูชา เว็บไซต์ของกระทรวงต่างปะเทศและความร่วมมือระหว่างประเทศของกัมพูชา รวมถึงเว็บไซต์หนังสือพิมพ์และบล็อกต่างๆ
จากการวิเคราะห์ เราค่อนข้างมั่นใจว่านี่เป็นแผนการของกลุ่มอาชญากรไซเบอร์ OceanLotus หรือในชื่ออื่นๆอย่าง APT32 และ APT-C-00 ซึ่งเริ่มปฏิบัติการมาตั้งแต่ปี 2012 โดยมีเป้าหมายหลักเป็นรัฐบาลและฝ่ายค้าน
โดยกลุ่มแฮกเกอร์นี้ใช้เครื่องมือที่พัฒนาขึ้นมาใหม่ OceanLotus Framework B และใช้ประโยชน์จากระบบการเข้ารหัสการสื่อสาร เพื่อป้องกันตัวเองจากโปรแกรมรักษาความปลอดภัย และยังสามารถสลับ HTTP เป็น WebSocket เป็นซ่อนการติดต่อสื่อสารที่เป็นอันตรายได้
นอกจากนี้นักวิจัยยังพบอีกว่าเว็บไซต์ทั้ง 21 เว็บไซต์ที่ถูกเล่นงาน มาจากโดเมนที่ควบคุมโดยแฮกเกอร์
โดเมนส่วนมากที่ถูกเล่นงานมักมีความเกี่ยวข้องกับรัฐบาลกัมพูชา เราแจ้งเตือนกับทางเจ้าของโดเมนทั้งหมด ตั้งแต่เดือนตุลาคม 2018 แต่ยังไม่มีอะไรเปลี่ยนแปลง ดังนั้นเราจึงอยากให้หลีกเลี่ยงการใข้งานเว็บไซต์เหล่านี้
โดยทั่วไปแล้วการโจมตี Watering Hole คือการโจมตีเว็บไซต์คู่แข่งของตัวเอง แต่ในกรณีนี้ OceanLotus โจมตีเว็บไซต์ที่มีผู้เข้าใช้จำนวนมาก สังเกตได้จากอันดับความนิยม Alexa Rank ยิ่งเลขน้อยแสดงว่ามีผู้เข้าใช้มาก เช่น เว็บไซต์ Dan Viet newspaper (danviet[.]vn) ที่เป็นเว็บไซต์ที่มีผู้ใช้มากที่สุดอันดับ 116 ในประเทศเวียดนาม
แม้ว่า OceanLotus จะถูกติดตามโดยนักวิจัยจำนวนมาก แต่ OceanLotus ยังคงยุ่งกับการโจมตีเป้าหมายในภูมิภาคเอเชียตะวันออกเฉียงใต้ และพวกเขาก็พัฒนาเครื่องมือของตัวเองอย่างสม่ำเสมอ ทั้ง Watering Hole Framework และมัลแวร์ Windows กับ iOS ของพวกเขา
Author: Matthieu Faou
Source: https://www.welivesecurity.com/2018/11/20/oceanlotus-new-watering-hole-attack-southeast-asia/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: