นักวิจัยด้านความปลอดภัยไซเบอร์จาก CYFIRMA ได้เปิดเผยการค้นพบมัลแวร์ Android ตัวใหม่ที่มีชื่อว่า Tanzeem และ Tanzeem Update ซึ่งเชื่อมโยงกับกลุ่ม APT ของอินเดียที่รู้จักกันในชื่อ DoNot Team หรือ APT-C-35
กลุ่มนี้มีเป้าหมายโจมตีองค์กรภาครัฐ หน่วยงานทหาร กระทรวงการต่างประเทศ และสถานทูตในประเทศแถบ
เอเชียใต้ เช่น อินเดีย ปากีสถาน ศรีลังกา และบังกลาเทศ ซึ่งมัลแวร์ Tanzeem ถูกตรวจพบในเดือนตุลาคมและธันวาคม 2024 โดยมันแฝงตัวมาในรูปแบบแอปพลิเคชันที่เลียนแบบฟังก์ชันการแชท และแจ้งให้ผู้ใช้งานเปิดสิทธิ์การเข้าถึงระบบ เมื่อได้รับสิทธิ์แล้ว แอปจะสามารถเข้าถึงข้อมูล บันทึกการโทร รายชื่อผู้ติดต่อ ข้อความ SMS ตำแหน่งที่อยู่ ข้อมูลบัญชี และไฟล์ในที่เก็บข้อมูลภายนอก รวมถึงการบันทึกหน้าจอเพื่อเก็บข้อมูลสำคัญเพิ่มเติม โดยแอปนี้จะปิดตัวลงทันทีหลังจากได้รับสิทธิ์การเข้าถึง นั้นแสดงถึงเจตนาความตั้งใจของผู้สร้างมัลแวร์ที่มุ่งโจมตีเป้าหมายเฉพาะ
รูปแบบการโจมตีมีการใช้เทคนิคใหม่ในการส่งลิงก์เพื่อทำการฟิชชิงโดยทีม DoNot ถูกพบว่าใช้แพลตฟอร์ม OneSignal ซึ่งปกติใช้ในการส่งการแจ้งเตือน ข้อความในแอป อีเมล และ SMS เพื่อส่งลิงก์ฟิชชิงให้กับเป้าหมาย
กลยุทธ์นี้ถูกพบเป็นครั้งแรกที่มีกลุ่ม APT ใช้ OneSignal เป็นเครื่องมือในการโจมตี เมื่อเป้าหมายคลิก “เริ่มแชท” แอปจะพาไปยังหน้าการตั้งค่าเพื่อเปิดการเข้าถึง จากนั้นจึงเริ่มต้นรวบรวมข้อมูลอย่างลับๆ ทั้งนี้ กลุ่ม DoNot มีเป้าหมายโจมตีองค์กรในเอเชียใต้เพื่อรวบรวมข้อมูลข่าวกรองเชิงกลยุทธ์ที่เกี่ยวข้องกับอินเดีย ความพยายามล่าสุดแสดงให้เห็นถึงความต่อเนื่องและการพัฒนาของกลุ่ม เช่น การปรับเปลี่ยนเทคนิคใหม่เพื่อเสริมสร้างความสามารถในการดำเนินการ ในรายงานระบุว่า กลุ่ม DoNot ยังคงปรับตัวและพัฒนากลยุทธ์การโจมตีทางไซเบอร์อย่างต่อเนื่อง โดยมีการปรับปรุงวิธีการใหม่ๆ ในอนาคต
Tag: #CYFIRMA #Malware #Android #Tanzeem
ที่มา : https://www.thaicert.or.th/2025/01/22/%e0%b8%81%e0%b8%a5%e0%b8%b8%e0%b9%88%e0%b8%a1-apt-donot-team-%e0%b9%83%e0%b8%8a%e0%b9%89%e0%b8%a1%e0%b8%b1%e0%b8%a5%e0%b9%81%e0%b8%a7%e0%b8%a3%e0%b9%8c-tanzeem-%e0%b9%82%e0%b8%88%e0%b8%a1%e0%b8%95/
