ยกระดับภัยไซเบอร์: Qilin Ransomware โจมตีแบบลูกผสม ใช้ Linux บน Windows ผ่าน WSL และกลยุทธ์ BYOVD

ยุทธวิธีการโจมตีข้ามแพลตฟอร์มที่ซับซ้อนของ Qilin

กลุ่มแรนซัมแวร์ Qilin (หรือที่รู้จักในชื่อ Agenda) กำลังสร้างความกังวลอย่างยิ่งในโลกไซเบอร์ ด้วยการพัฒนากลยุทธ์การโจมตีที่ซับซ้อนและหลบหลีกการตรวจจับได้เก่งขึ้นอย่างมาก พวกเขาไม่ได้จำกัดอยู่แค่ระบบปฏิบัติการ (OS) เดียวอีกต่อไป แต่ใช้วิธีโจมตีแบบ ไฮบริด (Hybrid Attack) ที่ผสมผสานจุดแข็งของทั้งฝั่ง Linux และ Windows เพื่อเจาะเข้าสู่เครือข่ายองค์กร

เปิดโปงกลไกหลัก: WSL และ BYOVD คือหัวใจสำคัญ

การโจมตีล่าสุดของ Qilin ได้แสดงให้เห็นถึงความสามารถในการปรับตัวที่เหนือกว่าแรนซัมแวร์ทั่วไป โดยใช้เทคนิคที่ออกแบบมาเพื่อหลีกเลี่ยงระบบรักษาความปลอดภัยแบบดั้งเดิมที่มักจะเน้นที่ Windows เป็นหลัก

• การใช้ Linux บน Windows ผ่าน WSL: Qilin ถูกพบว่ามีการปรับใช้ตัวมัลแวร์เวอร์ชัน Linux บนระบบปฏิบัติการ Windows โดยอาศัยเครื่องมือที่ถูกกฎหมายอย่าง Windows Subsystem for Linux (WSL) หรือเครื่องมือบริหารจัดการระยะไกล (RMM) อื่น ๆ การทำเช่นนี้ช่วยให้มัลแวร์ทำงานได้แม้ระบบป้องกันปลายทาง (EDR) จะถูกตั้งค่ามาเพื่อตรวจจับโค้ดที่เป็น Windows โดยเฉพาะ
• กลยุทธ์ BYOVD (Bring Your Own Vulnerable Driver): นี่คือเทคนิคที่อันตรายอย่างยิ่ง โดย Qilin จะติดตั้ง ไดรเวอร์ (Driver) ของระบบที่ถูกต้องตามกฎหมายแต่มีช่องโหว่ ซึ่งเป็นที่รู้จักกันดีในหมู่นักวิจัย เช่น ไดรเวอร์ที่เกี่ยวข้องกับระบบจัดการพลังงานเก่า การทำเช่นนี้ทำให้ผู้โจมตีสามารถ ยกระดับสิทธิ์ (Privilege Escalation) ในระดับ SYSTEM และสั่งปิดการทำงานของโปรแกรมรักษาความปลอดภัย (เช่น Antivirus/EDR) ก่อนที่จะเริ่มขั้นตอนการเข้ารหัสข้อมูล
• การซ่อนตัว: กลุ่ม Qilin ยังใช้เครื่องมือและโปรโตคอลที่ถูกกฎหมายในการเคลื่อนที่ภายในเครือข่ายและการติดต่อสื่อสาร (C&C) เช่น การใช้พร็อกซี SOCKS เพื่อทำให้การจราจรดูเหมือนปกติและซ่อนร่องรอยการโจมตี

ความเสี่ยงที่องค์กรต้องเผชิญในยุค ‘มัลแวร์ข้ามแพลตฟอร์ม’

ความสามารถในการโจมตีข้ามแพลตฟอร์มและใช้เทคนิค BYOVD ทำให้การป้องกันความปลอดภัยแบบเดิมไม่เพียงพออีกต่อไป ภัยคุกคามนี้ไม่ได้จำกัดแค่การเข้ารหัสข้อมูล แต่ยังใช้กลยุทธ์ Double Extortion คือการขโมยข้อมูลสำคัญไปก่อนเข้ารหัส เพื่อบีบให้เหยื่อยอมจ่ายค่าไถ่

มาตรการเร่งด่วนที่จำเป็นต้องทำทันที

เพื่อตอบโต้กับภัยคุกคามที่ชาญฉลาดนี้ องค์กรต้องเปลี่ยนมุมมองด้านความปลอดภัยให้ครอบคลุมระบบไฮบริดทั้งหมด:

1. เสริมความแข็งแกร่งให้ RMM: จำกัดการเข้าถึงเครื่องมือบริหารจัดการระยะไกล (RMM) เช่น AnyDesk หรือ ScreenConnect และบังคับใช้ MFA (Multi-Factor Authentication) อย่างเคร่งครัด
2. ป้องกัน BYOVD: ตรวจสอบและเฝ้าระวังการโหลดไดรเวอร์ที่ไม่คาดคิดหรือไม่มีลายเซ็นดิจิทัล โดยเฉพาะไดรเวอร์เก่าที่มีช่องโหว่ เพื่อสกัดกั้นการปิดระบบป้องกัน
3. ขยายการเฝ้าระวัง: ระบบ EDR และ SOC (Security Operations Center) ต้องสามารถตรวจจับและวิเคราะห์ข้อมูล Telemetry จากทั้ง Windows และ Linux ได้อย่างมีประสิทธิภาพ เพื่อมองเห็นการทำงานของมัลแวร์แบบข้ามแพลตฟอร์มตั้งแต่เนิ่นๆ

การโจมตีของ Qilin เน้นย้ำว่า การพึ่งพาการป้องกันเพียงด้านเดียวถือเป็นความเสี่ยง องค์กรต้องก้าวข้ามขีดจำกัดเดิม ๆ และสร้างกลยุทธ์ด้านความปลอดภัยที่ครอบคลุมทุกจุดในโครงสร้างพื้นฐาน

อ้างอิงจาก : https://www.webpronews.com/qilin-ransomware-deploys-hybrid-linux-windows-attacks-via-wsl-and-byovd/