Cybercrime

กลุ่มแฮกเกอร์ RTM: โจมตีระบบ Remote Banking System

องค์กรแฮกเกอร์กำลังหากินจากระบบของสถาบันการเงิน ด้วยมัลแวร์อันตราย

วันนี้ทาง Blog ESET ได้ปล่อยเอกสารเกี่ยวกับ RTM กลุ่มของแฮกเกอร์ที่กำลังโจมตีธุรกิจในรัสเซียและประเทศโดยรอบ ด้วยแผนการเล็กๆ กลุ่มของแฮกเกอร์นี้เริ่มเคลื่อนไหวตั้งแต่ปี 2015 ใช้มัลแวร์รหัส Delphi เพื่อสอดแนมเป้าหมายในหลากหลายช่องทาง อย่างการใช้คีย์บอร์ด และสมาร์ทการ์ด

มัลแวร์ของพวกเขามีความสามารถในการอัพโหลดไฟล์เข้าเซิร์ฟเวอร์ C&C และสามารถแยกแยะได้ว่าระบบไหนที่มีซอฟต์แวร์บัญชีติดตั้งอยู่ โดยเฉพาะโปรแกรมที่มีชื่อว่า “1C: Enterprise 8” เนื่องจากซอฟต์แวร์ตัวนี้เป็นที่นิยมสำหรับธุรกิจที่ต้องการโยกย้ายเงินผ่านระบบรีโมทธนาคารหรือ Remote Banking System (RBSes)

เมื่อเราวิเคราะห์การสื่อสารภายในเครือข่ายของ RTM พบว่าพวกเขาเรียกไฟล์ที่สร้างขึ้นโดย “1C: Enterprise 8” ชื่อว่า “1c_to_kl.txt” ซึ่งเป็นตัวกลางในการทำงานของระบบชำระเงิน และเก็บรายละเอียดการชำระเงินเอาไว้ ซึ่งแฮกเกอร์สามารถสลับชื่อผู้รับเงินได้

03_rus_file-corrige-768x541

ปัญหานี้นับว่าเป็นปัญหาร้ายแรง และกำลังคุกคามสถาบันการเงินในรัสเซีย ทางหน่วยงานของรัสเซียก็รีบแจ้งเตือนให้ผู้ที่เกี่ยวข้องรับรู้ แต่ข่าวร้ายก็คือไม่ได้มีเพียง RTM เท่านั้น คาดว่าอาจมีอย่างน้อยอีกหนึ่งกลุ่มที่ใช้วิธีเดียวกันคือ Buhtrap

เป็นเวลานานพอสมควรที่กลุ่มแฮกเกอร์อย่าง Corkow และ Buhtrap มีเป้าหมายเป็นธุรกิจที่ใช้ Remote Banking System พวกเขาใช้ระบบและเครื่องมือที่ซับซ้อนเพื่อขโมยข้อมูลจากองค์กร ซึ่ง RTM ก็เป็นอีกหนึ่งกลุ่มที่ใช้วิธีเดียวกันนี้

Author: Jean-ian Boutin
Source:
http://www.welivesecurity.com/2017/02/21/rtm-stealthy-group-targeting-remote-banking-system/
Translated by: Worapon H.

%d bloggers like this: