นักวิจัยบริษัท Symantec ได้รายงานเหตุการณ์การโจมตีทางไซเบอร์ของกลุ่มแฮ็กเกอร์ APT41 หรือ Winnti ซึ่งปรากฏข่าวสารว่ามีความเกี่ยวข้องกับรัฐบาลจีน ได้แอบแฝงตัวในระบบเครือข่ายคอมพิวเตอร์ของรัฐบาลฮ่องกงมานานกว่า 1 ปี โดยใช้มัลแวร์ Spyder Loader จารกรรมข้อมูลรัฐบาลฮ่องกง โดยก่อนหน้านี้ เมื่อ พ.ค.65 นักวิจัยของบริษัท Cyberreason ได้ออกมาเปิดเผยปฏิบัติการ “CuckooBees” เมื่อปี 2562 ที่กลุ่มแฮ็กเกอร์ APT41 ได้ก่อเหตุจารกรรมข้อมูลจากบริษัทเทคโนโลยีและบริษัทด้านอุตสาหกรรมการผลิตในอเมริกาเหนือ เอเชียตะวันออก และยุโรปตะวันตก
กลุ่มแฮ็กเกอร์ APT41 (Winnti) ได้พัฒนามัลแวร์ Spyder Loader อย่างต่อเนื่องและแพร่กระจายมัลแวร์ดังกล่าวไปยังหน่วยงานหลายแห่ง ทั้งนี้บริษัท Symantec และบริษัท Cyberreason พบว่ามัลแวร์ SpyLoader ใช้ชุดคำสั่งโปรแกรม (library) ของ CrytoPP C++ และโปรแกรม rundll32.exe สำหรับพัฒนาโปรแกรมจารกรรมข้อมูลจากฐานข้อมูล SQLite
นักวิเคราะห์ภัยคุกคามทางไซเบอร์ของบริษัท Symantec สังเกตการใช้เครื่องมือ Mimikatz ของกลุ่มแฮ็กเกอร์ APT41 ในครั้งล่าสุด พบว่ากลุ่มแฮ็กเกอร์ APT41 สามารถแฝงตัวในระบบเครือข่ายของเหยื่อได้อย่างยาวนาน และพบว่าโปรแกรม Zlib DLL ที่ใช้งานเป็นมัลแวร์ประเภทโทรจัน ที่มีการติดต่อสื่อสารกับเครื่องคอมพิวเตอร์แม่ข่ายควบคุมและสั่งการ
อย่างไรก็ตามบริษัท Symantec ไม่สามารถตรวจสอบชุดคำสั่งไม่พึงประสงค์ได้ครบถ้วนทั้งหมด แต่คาดว่าเป้าหมายสูงสุดของกลุ่มแฮ็กเกอร์ APT41 คือ การรวบรวมข่าวกรองจากหน่วยงานหลักในฮ่องกงและมีความสามารถในการหลบหลีกการตรวจจับจากระบบป้องกันภัยคุกคามทางไซเบอร์
ที่มา : https://www.bleepingcomputer.com/news/security/hackers-compromised-hong-kong-govt-agency-network-for-a-year/
