SHEETCREEP: มัลแวร์แบบกำหนดเองของปากีสถานที่มีข้อบกพร่องด้านความปลอดภัยร้ายแรง

ในตัวอย่างที่ชัดเจนของความล้มเหลวในการรักษาความปลอดภัยในการปฏิบัติงาน นักวิจัยได้ค้นพบมัลแวร์แบบกำหนดเองที่ซับซ้อนซึ่งถูกกล่าวหาว่าพัฒนาโดยรัฐบาลปากีสถานเพื่อกำหนดเป้าหมายบุคลากรทางทหารและการเมืองระดับสูงของอินเดีย มัลแวร์ชื่อ SHEETCREEP แสดงถึงแนวทางที่เป็นนวัตกรรมใหม่ในการจารกรรมทางไซเบอร์ แต่ท้ายที่สุดก็ทำลายตัวเองด้วยการดูแลรักษาความปลอดภัยที่สำคัญ

การค้นพบ SHEETCREEP

เมื่อเร็วๆ นี้ชุมชนความปลอดภัยทางไซเบอร์ได้ให้ความสนใจกับ SHEETCREEP ซึ่งเป็นมัลแวร์ที่สร้างขึ้นเป็นพิเศษซึ่งดูเหมือนจะเป็นส่วนหนึ่งของปฏิบัติการทางไซเบอร์ที่รัฐสนับสนุนเพื่อต่อต้านอินเดีย มัลแวร์นี้ถูกค้นพบในช่วงสัปดาห์ความร่วมมือเชิงยุทธศาสตร์ระหว่างสหรัฐอาหรับเอมิเรตส์และอินเดีย ซึ่งบอกถึงช่วงเวลาที่เป็นไปได้หรือความเกี่ยวข้องกับเหตุการณ์ทางการทูตระหว่างทั้งสองประเทศ

นักวิจัยจาก Securonix ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ชั้นนำ ระบุมัลแวร์หลังจากวิเคราะห์ไฟล์ที่น่าสงสัยที่ส่งไปยังเป้าหมายในอินเดีย การสอบสวนเผยให้เห็นการดำเนินการที่ซับซ้อนพร้อมความสามารถทางเทคนิคที่สำคัญ ซึ่งท้ายที่สุดแล้วกลับถูกทำลายด้วยข้อผิดพลาดพื้นฐานในการรักษาความปลอดภัยในการปฏิบัติงาน

สถาปัตยกรรมทางเทคนิคของ SHEETCREEP

SHEETCREEP ใช้กระบวนการติดไวรัสแบบหลายขั้นตอนที่เริ่มต้นด้วยไฟล์ .lnk (ทางลัด) ที่เป็นอันตราย เมื่อดำเนินการ ทางลัดนี้จะเปิดตัวโค้ด C# ที่เป็นอันตรายซึ่งสร้างความคงอยู่ในระบบของเหยื่อ จากนั้นมัลแวร์จะดำเนินการขโมยข้อมูลที่ละเอียดอ่อนไปยังเอกสาร Google ชีต ซึ่งทำหน้าที่เป็นเซิร์ฟเวอร์คำสั่งและการควบคุม (C2)

การใช้ Google ชีตเป็นเซิร์ฟเวอร์ C2 แสดงถึงแนวทางใหม่ที่ใช้ประโยชน์จากบริการระบบคลาวด์ที่ถูกต้องตามกฎหมายเพื่อจุดประสงค์ที่เป็นอันตราย เทคนิคนี้ช่วยให้ผู้ปฏิบัติงานสามารถรักษาการสื่อสารกับระบบที่ติดไวรัสในขณะที่อาจหลีกเลี่ยงมาตรการรักษาความปลอดภัยแบบเดิมๆ ที่อาจติดธงเซิร์ฟเวอร์หรือโครงสร้างพื้นฐานเฉพาะ

ข้อบกพร่องด้านความปลอดภัยที่สำคัญ

แม้จะมีความซับซ้อนทางเทคนิค แต่ SHEETCREEP ก็มีการควบคุมดูแลความปลอดภัยที่สำคัญ ซึ่งท้ายที่สุดก็นำไปสู่การค้นพบและการเปิดเผยข้อมูล รัฐบาลปากีสถานถูกกล่าวหาว่าฮาร์ดโค้ด URL เซิร์ฟเวอร์ Google ชีต C2 และคีย์การเข้าถึงโดยตรงไปยังเพย์โหลดของมัลแวร์

ข้อผิดพลาดด้านความปลอดภัยในการปฏิบัติงานนี้ถือเป็นข้อผิดพลาดร้ายแรงอย่างยิ่งในบริบทของการดำเนินการทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ แนวปฏิบัติด้านความปลอดภัยในการปฏิบัติงานที่เหมาะสมจะต้องใช้การกำหนดค่าแบบไดนามิกหรือการเข้ารหัสที่สามารถเปลี่ยนแปลงได้โดยไม่ต้องแก้ไขมัลแวร์เอง ข้อมูลประจำตัวแบบฮาร์ดโค้ดช่วยให้นักวิจัยมีแนวทางการดำเนินการทั้งหมด

เหตุใด Hardcoding Credentials จึงเป็นข้อผิดพลาดร้ายแรง

• ช่วยให้นักวิจัยสามารถระบุโครงสร้างพื้นฐาน C2 ได้
• เปิดเผยเอกสาร Google ชีตเฉพาะที่ใช้งานอยู่
• ให้คีย์การเข้าถึงที่จำเป็นในการควบคุมระบบที่ติดไวรัส
• เปิดเผยรายการเป้าหมายและการดำเนินการทั้งหมด
• ทำให้เป็นไปไม่ได้ที่จะเปลี่ยนแปลงโครงสร้างพื้นฐานโดยไม่ต้องปรับใช้มัลแวร์ซ้ำ

การค้นพบและการวิเคราะห์

นักวิจัยด้านความปลอดภัยที่ได้รับตัวอย่าง SHEETCREEP รับรู้ถึงความสำคัญของข้อมูลรับรองแบบฮาร์ดโค้ดทันที เมื่อตรวจสอบรายละเอียดที่ฝังไว้เหล่านี้ พวกเขาสามารถเข้าถึงเอกสาร Google ชีตที่ทำหน้าที่เป็นเซิร์ฟเวอร์ C2 สำหรับมัลแวร์ได้

เอกสารนี้มีข้อมูลเกี่ยวกับการดำเนินการมากมาย รวมถึง:

• รายชื่อบุคคลและองค์กรเป้าหมายทั้งหมด
• รายละเอียดเกี่ยวกับการรณรงค์การติดเชื้อ
• รูปแบบการสื่อสารระหว่างระบบที่ติดไวรัสและผู้ปฏิบัติงาน
• ข้อมูลที่ถูกกรองจากระบบที่ถูกบุกรุก

นักวิจัยค้นพบว่ารัฐบาลปากีสถานกำลังติดตามบุคคลที่พวกเขาถือว่ามีความสำคัญ 91 ราย โดยส่วนใหญ่เป็นบุคลากรทางการทหารและการเมืองในอินเดีย รายการนี้แสดงหลักฐานที่เป็นรูปธรรมของปฏิบัติการจารกรรมทางไซเบอร์ที่มีการประสานงานโดยมุ่งเป้าไปที่บุคคลที่มีมูลค่าสูงโดยเฉพาะ

คุณลักษณะ	คำอธิบาย
วิธีการจัดส่ง	ไฟล์ .lnk ที่เป็นอันตรายถูกส่งไปยังเป้าหมาย
การดำเนินการ	โค้ด C# ที่เป็นอันตรายดำเนินการผ่านทางลัด
ความคงทน	กลไกหลายประการเพื่อรักษาการเข้าถึง
การขโมยข้อมูล	ส่งไปยังเอกสาร Google ชีต
การสื่อสาร C2	Google ชีตที่ใช้เป็นเซิร์ฟเวอร์คำสั่งและการควบคุม

ความหมายและบทเรียน

เหตุการณ์ SHEETCREEP ทำหน้าที่เป็นเครื่องเตือนใจเกี่ยวกับความสำคัญของการรักษาความปลอดภัยในการปฏิบัติงานในการปฏิบัติการทางไซเบอร์ แม้จะมีการพัฒนามัลแวร์ที่มีความซับซ้อนทางเทคนิค แต่ผู้ปฏิบัติงานก็ล้มเหลวในการใช้หลักปฏิบัติด้านความปลอดภัยขั้นพื้นฐานที่อาจปกป้องการทำงานของพวกเขาได้

เหตุการณ์ดังกล่าวยังเน้นให้เห็นถึงแนวโน้มที่เพิ่มขึ้นของผู้มีบทบาทที่ได้รับการสนับสนุนจากรัฐที่ใช้ประโยชน์จากบริการคลาวด์ที่ถูกต้องตามกฎหมายเพื่อวัตถุประสงค์ที่เป็นอันตราย เมื่อใช้ Google ชีตเป็นเซิร์ฟเวอร์ C2 ผู้ดำเนินการพยายามผสมผสานกิจกรรมของตนกับการใช้งานระบบคลาวด์ตามปกติ ซึ่งอาจทำให้การตรวจจับยากขึ้น

สำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ กรณีของ SHEETCREEP นำเสนอข้อมูลเชิงลึกที่มีคุณค่าเกี่ยวกับกลยุทธ์ เทคนิค และขั้นตอน (TTP) ที่ใช้โดยผู้มีบทบาทที่ได้รับการสนับสนุนจากรัฐ การทำความเข้าใจวิธีการเหล่านี้ช่วยให้องค์กรพัฒนาการป้องกันภัยคุกคามที่คล้ายกันได้ดีขึ้น

บทสรุป

SHEETCREEP แสดงถึงนวัตกรรมทางเทคนิคและความล้มเหลวในการปฏิบัติงานในขอบเขตของการดำเนินงานทางไซเบอร์ที่รัฐสนับสนุน การใช้ Google ชีตเป็นเซิร์ฟเวอร์ C2 ของมัลแวร์แสดงให้เห็นถึงการแก้ปัญหาอย่างสร้างสรรค์ แต่ข้อมูลรับรองที่ฮาร์ดโค้ดเผยให้เห็นความเข้าใจผิดขั้นพื้นฐานเกี่ยวกับการรักษาความปลอดภัยในการปฏิบัติงาน

ในขณะที่นักวิจัยยังคงวิเคราะห์มัลแวร์และโครงสร้างพื้นฐานที่เกี่ยวข้อง ขอบเขตการดำเนินการทั้งหมดอาจมีความชัดเจนมากขึ้น ในระหว่างนี้ เหตุการณ์ SHEETCREEP ถือเป็นเครื่องเตือนใจว่าแม้แต่การดำเนินการทางไซเบอร์ที่ซับซ้อนที่สุดก็สามารถยกเลิกได้ด้วยการกำกับดูแลความปลอดภัยขั้นพื้นฐาน

สำหรับองค์กรและบุคคลที่อาจเป็นเป้าเล็งของผู้มีบทบาทที่ได้รับการสนับสนุนจากรัฐ เหตุการณ์ดังกล่าวเน้นย้ำถึงความสำคัญของมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง รวมถึงการรักษาความปลอดภัยอีเมล การป้องกันปลายทาง และการฝึกอบรมการรับรู้ของผู้ใช้เพื่อตรวจจับและป้องกันการโจมตีที่ซับซ้อนดังกล่าว

> เป็นรัฐบาลปากีสถาน > พัฒนามัลแวร์ที่กำหนดเอง > ใช้เพื่อกำหนดเป้าหมายเป้าหมายที่มีรายละเอียดสูง > ใช้กับทหารและการเมืองอินเดีย > ชื่อ SHETCREEP > ส่งไฟล์ ppl ของอินเดีย > สัปดาห์ความร่วมมือเชิงยุทธศาสตร์สหรัฐอาหรับเอมิเรตส์-อินเดีย > ไฟล์ .lnk ที่เป็นอันตราย > .lnk รันโค้ดซีชาร์ปที่เป็นอันตราย >ทำสิ่งต่าง ๆ มากมายเพื่อความพากเพียร > กรองข้อมูลไปยัง Google ชีต > สามารถใช้ Google ชีตเพื่อควบคุมพีซีของเหยื่อ > รัฐบาลปากีสถานฮาร์ดโค้ด Google C2 ชีต > รัฐบาลปากีสถานฮาร์ดโค้ด GOOGLE C2 SHEET > ฝังคีย์การเข้าถึงไว้ในเพย์โหลด > ฝังคีย์การเข้าถึงไว้ในเพย์โหลด > มัลแวร์เนิร์ดค้นพบมัน > มองเข้าไปข้างใน > ค้นหาเป้าหมายทั้งหมดจากรัฐบาลปากีสถาน > การติดตามผล 91 คนที่พวกเขาคิดว่าสำคัญ พวกเขาเริ่มต้นได้อย่างแข็งแกร่งมาก ทำไมคุณถึงฮาร์ดโค้ดทุกอย่าง คุณเผาการดำเนินงานของคุณ https://www.securonix.com/blog/sheetcreep-evolved-google-sheets-rat/ >เป็นรัฐบาลปากีสถาน > พัฒนามัลแวร์ที่กำหนดเอง > ใช้เพื่อกำหนดเป้าหมายเป้าหมายที่มีรายละเอียดสูง > ใช้กับทหารและการเมืองอินเดีย > ชื่อ SHETCREEP > ส่งไฟล์ ppl ของอินเดีย > สัปดาห์ความร่วมมือเชิงยุทธศาสตร์สหรัฐอาหรับเอมิเรตส์-อินเดีย > ไฟล์ .lnk ที่เป็นอันตราย > .lnk รันโค้ดซีชาร์ปที่เป็นอันตราย >ทำสิ่งต่าง ๆ มากมายเพื่อความพากเพียร > กรองข้อมูลไปยัง Google ชีต > สามารถใช้ Google ชีตเพื่อควบคุมพีซีของเหยื่อ > รัฐบาลปากีสถานฮาร์ดโค้ด Google C2 ชีต > รัฐบาลปากีสถานฮาร์ดโค้ด GOOGLE C2 SHEET > ฝังคีย์การเข้าถึงไว้ในเพย์โหลด > ฝังคีย์การเข้าถึงไว้ในเพย์โหลด > มัลแวร์เนิร์ดค้นพบมัน > มองเข้าไปข้างใน > ค้นหาเป้าหมายทั้งหมดจากรัฐบาลปากีสถาน > การติดตามผล 91 คนที่พวกเขาคิดว่าสำคัญ พวกเขาเริ่มต้นได้อย่างแข็งแกร่งมาก ทำไมคุณถึงฮาร์ดโค้ดทุกอย่าง คุณเผาการดำเนินงานของคุณ https://www.securonix.com/blog/sheetcreep-evolved-google-sheets-rat/

องค์ประกอบการค้นพบ	ความสำคัญ
URL ของ Google ชีตแบบฮาร์ดโค้ด	ระบุโครงสร้างพื้นฐานเซิร์ฟเวอร์ C2
คีย์การเข้าถึงแบบฝัง	ระบุข้อมูลประจำตัวเพื่อเข้าถึงเซิร์ฟเวอร์ C2
รายการเป้าหมาย	เปิดเผยบุคคลที่ถูกติดตาม 91 ราย
รายละเอียดการดำเนินการ	แสดงขอบเขตและวัตถุประสงค์ของแคมเปญ