เมื่อแฮกเกอร์รัสเซียอัปเกรดมัลแวร์ “Kazuar”
ให้ฉลาดขึ้น แอบฝังตัวขโมยข้อมูลแบบไร้ร่องรอย
ในโลกของ Cybersecurity ชื่อของ "Turla" (หรือที่รู้จักในชื่อ Secret Blizzard, Venomous Bear และอีกหลายชื่อ) คือกลุ่มแฮกเกอร์ระดับแถวหน้าที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย (คาดว่าเป็นหน่วย Center 16 ของรัสเซีย หรือ FSB) กลุ่มนี้มีประวัติการโจมตีเป้าหมายระดับโครงสร้างพื้นฐาน ไม่ว่าจะเป็นหน่วยงานรัฐ การทูต และภาคส่วนการป้องกันประเทศในแถบยุโรปและเอเชียกลางมาอย่างยาวนาน
ล่าสุด ทีม Microsoft Threat Intelligence ได้ออกมารายงานความเคลื่อนไหวที่น่าสะพรึงกลัวของกลุ่มนี้ เมื่อพวกเขายกระดับ "Kazuar" มัลแวร์ประตูลับ (Backdoor) ที่ใช้มาตั้งแต่ปี 2017 จากเดิมที่เป็นซอฟต์แวร์ชิ้นเดียวเบ็ดเสร็จ (Monolithic) ให้กลายเป็น "บอตเน็ตแบบ Peer-to-Peer (P2P) ที่ทำงานแบบแยกส่วน (Modular)" เพื่อเน้นการฝังตัวเก็บข้อมูลในระยะยาวโดยไม่ให้ระบบตรวจจับได้
ทำไมการอัปเกรดครั้งนี้ถึงน่ากลัว
โดยปกติแล้ว แฮกเกอร์ยุคใหม่มักนิยมใช้วิธี Living-off-the-land (LOLBins) หรือการหยิบยืมเครื่องมือที่มีอยู่แล้วในระบบปฏิบัติการของเหยื่อมาใช้โจมตีเพื่อไม่ให้สะดุดตา แต่ Turla กลับเลือกทางที่ท้าทายกว่า ด้วยการออกแบบและสร้างความสามารถในการพรางตัวรวมถึงความยืดหยุ่นเข้าไปในตัวมัลแวร์ Kazuar โดยตรง
สถาปัตยกรรมใหม่ของ Kazuar ถูกแบ่งออกเป็น 3 โมดูลหลักที่ทำงานสอดประสานกันอย่างเป็นระบบ ดังนี้
1. Kernel (ผู้บัญชาการสูงสุด)
ทำหน้าที่เป็นศูนย์กลางคุมระบบทั้งหมด คอยสั่งการโมดูลอื่น บันทึกประวัติ และที่สำคัญคือมีระบบ "Anti-analysis" เพื่อตรวจจับว่าตัวเองกำลังถูกนักวิเคราะห์แกะรหัสอยู่หรือไม่ นอกจากนี้ยังเป็นตัวกำหนดค่าการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2) และเวลาที่จะแอบส่งข้อมูลออกไป
2. Bridge (สะพานเชื่อม)
ทำหน้าที่เป็นพร็อกซี (Proxy) หรือตัวกลางคอยส่งผ่านข้อมูลระหว่าง Kernel ที่เป็นหัวหน้า กับเซิร์ฟเวอร์ C2 ของแฮกเกอร์
3. Worker (หน่วยปฏิบัติการภาคสนาม)
รับหน้าที่ทั้งหมด ตั้งแต่บันทึกการกดแป้นพิมพ์ (Keylogger) ดักจับเหตุการณ์ใน Windows และรวบรวมข้อมูลระบบ รายการไฟล์ รวมถึงข้อมูลอีเมลและระบบข้อความ (MAPI)
กลไกเพื่อลดการตรวจจับ
ความอัจฉริยะของ Kazuar เวอร์ชันใหม่นี้คือ เมื่อมัลแวร์แพร่กระจายเข้าสู่ระบบผ่านตัวปล่อย (Dropper) อย่าง Pelmeni หรือ ShadowLoader แล้ว โมดูล Kernel หลาย ๆ ตัวที่กระจายอยู่จะไม่ได้ติดต่อกับแฮกเกอร์พร้อมกันทั้งหมด แต่พวกมันจะทำปฏิสัมพันธ์กันภายในระบบและ "จัดเลือกตั้ง" ขึ้นมา
เกณฑ์การเลือกตั้งผู้นำ: ผู้นำจะถูกเลือกจากโมดูล Kernel ที่ทำผลงานได้ดีที่สุด โดยคำนวณจาก "ระยะเวลาที่ระบบเปิดทำงานต่อเนื่อง หารด้วยจำนวนครั้งที่ระบบถูกขัดจังหวะ" (เช่น การรีบูต หรือสั่งปิดโปรเซส)
เมื่อได้ "Kernel ผู้นำ" แล้ว มันจะสั่งให้ Kernel ตัวอื่น ๆ เปลี่ยนสถานะเป็น "เงียบ" (Silent) ทั้งหมด โดยจะมีเพียง Kernel ผู้นำตัวเดียวเท่านั้นที่ทำหน้าที่คุยกับโมดูล Bridge เพื่อส่งข้อมูล และรับคำสั่งใหม่จากแฮกเกอร์ วิธีนี้ช่วยลดทราฟฟิกและการปฏิสัมพันธ์กับภายนอก ทำให้ระบบรักษาความปลอดภัยตรวจจับได้ยากมาก
การจัดเก็บข้อมูลที่เป็นระเบียบเพื่อความแนบเนียน
เป้าหมายสุดท้ายของ Kernel คือการดึงคำสั่งใหม่จากเซิร์ฟเวอร์ สั่งงานให้ Worker ไปคัดลอกข้อมูล จากนั้นข้อมูลที่ถูกขโมยจะถูกส่งมารวมกัน เข้ารหัส และเขียนลงใน Working Directory บนฮาร์ดดิสก์ของเหยื่อ
Microsoft ระบุว่า Kazuar มีการจัดการพื้นที่เก็บข้อมูลบนดิสก์ที่ฉลาดมาก โดยมันจะแยกโฟลเดอร์ตามหน้าที่ชัดเจน เช่น โฟลเดอร์เก็บคำสั่ง ผลลัพธ์ข้อมูล ประวัติการทำงาน และไฟล์ตั้งค่า การแยกโครงสร้างแบบนี้ทำให้มัลแวร์สามารถ
- แยกส่วนการทำงานและการส่งออกข้อมูลออกจากกันอย่างอิสระ
- คงสถานะการทำงานเอาไว้ได้ แม้ว่าเครื่องคอมพิวเตอร์ของเหยื่อจะถูกรีสตาร์ต
- ประสานงานระหว่างโมดูลต่าง ๆ ได้อย่างราบรื่น โดยไม่จำเป็นต้องเชื่อมต่ออินเทอร์เน็ตกับแฮกเกอร์ตลอดเวลา
บทสรุป
การเปลี่ยนโฉมของ Kazuar ในครั้งนี้สะท้อนให้เห็นว่า กลุ่มแฮกเกอร์ระดับรัฐบาลรัสเซียอย่าง Turla ไม่เคยหยุดพัฒนา เครื่องมือของพวกเขามีความยืดหยุ่น และทนทานต่อการถูกทำลาย ซึ่งนี่คือโจทย์ใหญ่ที่ผู้ดูแลระบบและนักความปลอดภัยทางไซเบอร์ทั่วโลก จำเป็นต้องยกระดับการเฝ้าระวังให้ทันเกมอยู่เสมอ
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: info@baycoms.com
Website: www.baycoms.com
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity #CyberAttack #Botnet #Kazuar #Turla
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2026 Blockdit
