Blog Game NEWS AND EVENTS April 30, 2025

Borderlands 4 ประกาศเปิดตัวเร็ว! พร้อมเผยจักรวาลใหม่ใน Kairos

NEWS AND EVENTS Programming Protect Website Security Technology April 30, 2025

เปิดแผนลับ Earth Kurma แฮก Southeast Asia

Blog Game NEWS AND EVENTS April 30, 2025

รู้ก่อนใคร! Lost Soul Aside โชว์คุณภาพจัดเต็ม ก่อนเปิดจริง

AI Blog Marketing Agency เอเจนซี่การตลาด NEWS AND EVENTS Technology April 30, 2025

ChatGPT Shopping มาแล้ว! เปลี่ยนโลก E-Commerce แบบไร้โฆษณา

AFRA APACHE | KHET PRAWET BANGKOK | MUEANG KHONKAEN THAILAND

  1. Home
  2. NEWS AND EVENTS
  3. เปิดแผนลับ Earth Kurma แฮก Southeast Asia ด้วย Cloud Tools แบบไม่ให้รู้ตัว
NEWS AND EVENTS Programming Protect Website Security Technology

เปิดแผนลับ Earth Kurma แฮก Southeast Asia ด้วย Cloud Tools แบบไม่ให้รู้ตัว

  • April 30, 2025

Earth Kurma ภัยคุกคามไซเบอร์ที่ซ่อนตัวในเงามืดของเอเชียตะวันออกเฉียงใต้

ในช่วงไม่กี่ปีที่ผ่านมา ภูมิภาคเอเชียตะวันออกเฉียงใต้กลายเป็นเป้าหมายสำคัญของการโจมตีทางไซเบอร์ที่มีความซับซ้อน โดยเฉพาะจากกลุ่มแฮกเกอร์ที่รู้จักในชื่อ Earth Kurma กลุ่มนี้เริ่มปฏิบัติการตั้งแต่เดือนมิถุนายน 2567 โดยมุ่งเป้าไปที่หน่วยงานรัฐบาลและภาคโทรคมนาคมในประเทศอย่างฟิลิปปินส์ เวียดนาม ไทย และมาเลเซีย ด้วยการใช้มัลแวร์ที่พัฒนาขึ้นเอง รูทคิตที่ซ่อนตัวได้อย่างแนบเนียน และบริการคลาวด์สาธารณะ เช่น Dropbox และ OneDrive เพื่อขโมยข้อมูล

Earth Kurma คือใคร และทำไมถึงน่ากลัว

Earth Kurma เป็นกลุ่มแฮกเกอร์ที่ถูกจัดอยู่ในประเภท Advanced Persistent Threat (APT) ซึ่งหมายถึงกลุ่มที่มีความสามารถสูงและมุ่งเน้นการโจมตีอย่างต่อเนื่องเพื่อจุดประสงค์ด้านการจารกรรมข้อมูล

ตามรายงานของ Trend Micro กลุ่มนี้เริ่มปฏิบัติการตั้งแต่เดือนพฤศจิกายน 2563 แต่การโจมตีที่เข้มข้นขึ้นเกิดขึ้นในช่วงกลางปี 2567 โดยมุ่งเป้าไปที่หน่วยงานที่เกี่ยวข้องกับความมั่นคงของชาติและโครงสร้างพื้นฐานด้านโทรคมนาคม

สิ่งที่ทำให้ Earth Kurma น่ากลัวคือความสามารถในการปรับตัวและซ่อนตัว กลุ่มนี้ใช้เครื่องมือที่หลากหลาย เช่น TESDAT, SIMPOBOXSPY, KRNRAT และ MORIYA ซึ่งเป็นรูทคิตที่ฝังตัวในระดับเคอร์เนลของระบบปฏิบัติการ ทำให้ตรวจจับได้ยาก

นอกจากนี้ พวกเขายังใช้เทคนิคที่เรียกว่า “Living-off-the-Land” โดยใช้เครื่องมือที่ติดตั้งอยู่ในระบบ เช่น Windows Management Instrumentation (WMI) และ Server Message Block (SMB) เพื่อเคลื่อนไหวภายในเครือข่ายโดยไม่ทิ้งร่องรอย

กลยุทธ์การโจมตีของ Earth Kurma

การโจมตีของ Earth Kurma มีความซับซ้อนและแบ่งออกเป็นหลายขั้นตอน ดังนี้

การเจาะระบบเริ่มต้น: แม้ว่าจะยังไม่ทราบวิธีการเจาะระบบที่แน่ชัด แต่คาดว่ากลุ่มนี้อาจใช้เทคนิคฟิชชิงหรือช่องโหว่ในซอฟต์แวร์เพื่อเข้าถึงเครือข่ายเป้าหมาย

การเคลื่อนไหวภายในเครือข่าย: Earth Kurma ใช้เครื่องมือ เช่น NBTSCAN, LADON และ ICMPinger เพื่อสแกนโครงสร้างเครือข่ายและระบุเป้าหมายที่มีค่า พวกเขายังใช้ WMIHACKER และ FRPC เพื่ออำนวยความสะดวกในการเคลื่อนย้ายข้อมูล

การขโมยข้อมูล: กลุ่มนี้ใช้คีย์ล็อกเกอร์ที่ชื่อ KMLOG เพื่อบันทึกการกดแป้นพิมพ์และขโมยข้อมูลประจำตัว ข้อมูลที่มีค่าจะถูกบีบอัดด้วย WinRAR และอัปโหลดไปยัง Dropbox หรือ OneDrive โดยใช้เครื่องมืออย่าง SIMPOBOXSPY และ ODRIZ

การคงอยู่อย่างถาวร: รูทคิต MORIYA และ KRNRAT ช่วยให้ Earth Kurma ฝังตัวในระบบได้อย่างเงียบเชียบ โดย MORIYA มีความสามารถในการสกัดกั้นการรับส่งข้อมูล TCP และฉีดเพย์โหลดที่เข้ารหัส AES เข้าไปในกระบวนการของระบบ

การใช้โครงสร้างพื้นฐานของเหยื่อ: ในบางกรณี กลุ่มนี้ใช้ Distributed File System Replication (DFSR) ของ Active Directory เพื่อซิงโครไนซ์ข้อมูลที่ถูกขโมยไปยังเซิร์ฟเวอร์หลายเครื่อง ทำให้การขโมยข้อมูลมีประสิทธิภาพและยากต่อการตรวจจับ

ผลกระทบต่อเอเชียตะวันออกเฉียงใต้

การโจมตีของ Earth Kurma สร้างความเสี่ยงอย่างมากต่อหน่วยงานรัฐบาลและภาคโทรคมนาคมในภูมิภาค ข้อมูลที่ถูกขโมย เช่น เอกสาร .pdf, .doc และ .xls มักเกี่ยวข้องกับนโยบายของรัฐ ความมั่นคง และข้อมูลลูกค้า ซึ่งอาจถูกนำไปใช้ในการจารกรรมหรือการโจมตีครั้งต่อไป

การที่กลุ่มนี้สามารถคงอยู่ในระบบได้นานโดยไม่ถูกตรวจจับ บ่งชี้ถึงความเปราะบางของโครงสร้างพื้นฐานด้านไซเบอร์ในภูมิภาค

นอกจากนี้ การใช้บริการคลาวด์ที่ถูกต้องตามกฎหมาย เช่น Dropbox และ OneDrive ทำให้การตรวจจับและป้องกันเป็นเรื่องยาก เนื่องจากองค์กรส่วนใหญ่ไม่สงสัยการรับส่งข้อมูลไปยังแพลตฟอร์มเหล่านี้ สถานการณ์นี้เน้นย้ำถึงความจำเป็นในการปรับปรุงมาตรการรักษาความปลอดภัยในยุคที่เทคโนโลยีคลาวด์ถูกใช้อย่างแพร่หลาย

เปรียบเทียบ Earth Kurma กับกลุ่ม APT อื่น ๆ

Earth Kurma มีความเหมือนและแตกต่างจากกลุ่ม APT อื่น ๆ เช่น ToddyCat และ Operation TunnelSnake

รูทคิต MORIYA ที่ Earth Kurma ใช้มีรหัสพื้นฐานเดียวกับที่พบใน Operation TunnelSnake ซึ่งโจมตีภูมิภาคเดียวกันในปี 2564 ขณะที่ SIMPOBOXSPY มีความเชื่อมโยงกับ ToddyCat ซึ่งเริ่มปฏิบัติการในปี 2563

อย่างไรก็ตาม นักวิจัยจาก Trend Micro ระบุว่า Earth Kurma มีพฤติกรรมและเทคนิคที่แตกต่าง ทำให้ไม่สามารถยืนยันได้ว่าเป็นกลุ่มเดียวกัน การตั้งชื่อ Earth Kurma เป็นกลุ่มใหม่จึงช่วยแยกแยะลักษณะเฉพาะของภัยคุกคามนี้

สิ่งที่ทำให้ Earth Kurma โดดเด่นคือความสามารถในการปรับแต่งเครื่องมือให้เข้ากับสภาพแวดล้อมของเหยื่อ และการใช้โครงสร้างพื้นฐานของเหยื่อเองเพื่อดำเนินการโจมตี ซึ่งแสดงถึงความเข้าใจอย่างลึกซึ้งในระบบเป้าหมายและความชำนาญในการหลบเลี่ยงการตรวจจับ

วิธีป้องกันภัยคุกคามจาก Earth Kurma

เพื่อลดความเสี่ยงจาก Earth Kurma และภัยคุกคามที่คล้ายกัน องค์กรในเอเชียตะวันออกเฉียงใต้ควรดำเนินการดังต่อไปนี้

  • จำกัดการติดตั้งไดรเวอร์ที่ไม่ได้รับการรับรอง: บังคับใช้กฎที่อนุญาตเฉพาะไดรเวอร์ที่มีลายเซ็นดิจิทัลเพื่อป้องกันการติดตั้งรูทคิต

  • เสริมความปลอดภัยให้ Active Directory: ตรวจสอบและควบคุมการจำลองข้อมูลในไดเรกทอรี sysvol เพื่อป้องกันการใช้ DFSR ในทางที่ผิด

  • ตรวจสอบการรับส่งข้อมูลคลาวด์: ตั้งกฎไฟร์วอลล์เพื่อตรวจจับและจำกัดการอัปโหลดข้อมูลไปยังบริการคลาวด์ที่ไม่ได้รับอนุญาต

  • ใช้โซลูชันการตรวจจับขั้นสูง: ใช้เครื่องมืออย่าง Trend Vision One ซึ่งสามารถตรวจจับและบล็อกมัลแวร์ที่ซับซ้อน รวมถึงให้ข้อมูลเชิงลึกเกี่ยวกับภัยคุกคาม

  • ฝึกอบรมพนักงาน: เพิ่มความตระหนักเกี่ยวกับเทคนิคฟิชชิงและการโจมตีทางวิศวกรรมสังคมที่อาจเป็นช่องทางเริ่มต้นของการโจมตี

อนาคตของภัยคุกคามจาก Earth Kurma

Earth Kurma ยังคงเป็นภัยคุกคามที่เคลื่อนไหวอย่างต่อเนื่อง โดยแสดงให้เห็นถึงความสามารถในการพัฒนาเครื่องมือและกลยุทธ์ใหม่ ๆ

การที่กลุ่มนี้ใช้แพลตฟอร์มคลาวด์ที่ถูกต้องตามกฎหมาย บ่งชี้ถึงแนวโน้มที่กลุ่ม APT จะหันมาใช้เทคโนโลยีที่แพร่หลายเพื่อปกปิดการโจมตี

ในอนาคต อาจเห็น Earth Kurma ขยายเป้าหมายไปยังภาคส่วนอื่น ๆ เช่น การเงินหรือพลังงาน ซึ่งมีความสำคัญต่อเศรษฐกิจของภูมิภาค

นอกจากนี้ ความคล้ายคลึงกับกลุ่ม APT อื่น ๆ ชี้ให้เห็นถึงความเป็นไปได้ที่ Earth Kurma อาจเป็นส่วนหนึ่งของเครือข่ายจารกรรมที่ใหญ่ขึ้น ซึ่งอาจได้รับการสนับสนุนจากรัฐหรือองค์กรที่มีทรัพยากรสูง

การติดตามและวิเคราะห์พฤติกรรมของกลุ่มนี้จะเป็นสิ่งสำคัญในการป้องกันความเสียหายในระยะยาว

สรุป

Earth Kurma เป็นตัวอย่างของภัยคุกคามทางไซเบอร์ที่พัฒนาอย่างรวดเร็วและยากต่อการตรวจจับ การโจมตีที่มุ่งเป้าไปที่หน่วยงานรัฐบาลและโทรคมนาคมในเอเชียตะวันออกเฉียงใต้ เน้นย้ำถึงความสำคัญของการยกระดับความปลอดภัยทางไซเบอร์ในภูมิภาค

ด้วยการใช้รูทคิตและบริการคลาวด์ที่ถูกต้องตามกฎหมาย กลุ่มนี้แสดงให้เห็นถึงความท้าทายใหม่ที่องค์กรต้องเผชิญในการปกป้องข้อมูลที่มีค่า

คุณคิดว่าเอเชียตะวันออกเฉียงใต้ควรมีมาตรการใดเพิ่มเติมเพื่อรับมือกับภัยคุกคามอย่าง Earth Kurma?

แชร์ความคิดเห็นของคุณในช่องคอมเมนต์ด้านล่าง! หากบทความนี้ช่วยให้คุณเข้าใจภัยคุกคามนี้มากขึ้น อย่าลืมแชร์ให้เพื่อนร่วมงานหรือสมัครรับจดหมายข่าวของเราเพื่อรับข้อมูลล่าสุดเกี่ยวกับความปลอดภัยทางไซเบอร์

Post Views: 38
Post ID: 28127 | TTT-WEBSITE | AFRA APACHE
ราคา รับทำเว็บไซต์ TTT-WEBSITE
ราคา รับออกแบบเว็บไซต์ คุณภาพ เว็บไซต์บริษัท TTT-WEBSITE
รับทำ SEO บริการรับทำ SEO
Content ดี ดันเว็บปัง! Great Content Great Rankings! rampagesoft
รับออกแบบเว็บไซต์ พัฒนาเว็บไซต์ rampagesoft
รับพัฒนาระบบ เพิ่มประสิทธิภาพการบริการ

Recommended For You

Game NEWS AND EVENTS

ยอดขายพุ่ง! Earth Defense Force 6 ติดอันดับเกมขายดีทั่วโลก

Earth Defense Force 6 ทำยอดขายทะลุ 600,000 ชุดทั่วโลก เกม Earth Defense Force 6 หรือ EDF 6 ที่พัฒนาโดย Sandlot และจัดจำหน่ายโดย D3 Publisher
AI NEWS AND EVENTS

รัฐบาลสหรัฐฯ ออกกฎระเบียบ AI เพื่อปกป้องประชาชน

กฎระเบียบ AI ของสหรัฐฯ คาดกระทบการใช้ AI ทั่วโลก รัฐบาลกลางสหรัฐฯ เตรียมออกกฎระเบียบ สำหรับการใช้ ปัญญาประดิษฐ์ (AI) โดยพนักงาน ของรัฐบาล สำนักงานบริหาร และงบประมาณ (OMB) ของรัฐบาลกลางสหรัฐฯ ได้ประกาศว่า กำลังเตรียมออกกฎระเบียบ สำหรับการใช้