วันนี้ทาง Blog ESET ได้ปล่อยเอกสารเกี่ยวกับ RTM กลุ่มของแฮกเกอร์ที่กำลังโจมตีธุรกิจในรัสเซียและประเทศโดยรอบ ด้วยแผนการเล็กๆ กลุ่มของแฮกเกอร์นี้เริ่มเคลื่อนไหวตั้งแต่ปี 2015 ใช้มัลแวร์รหัส Delphi เพื่อสอดแนมเป้าหมายในหลากหลายช่องทาง อย่างการใช้คีย์บอร์ด และสมาร์ทการ์ด
มัลแวร์ของพวกเขามีความสามารถในการอัพโหลดไฟล์เข้าเซิร์ฟเวอร์ C&C และสามารถแยกแยะได้ว่าระบบไหนที่มีซอฟต์แวร์บัญชีติดตั้งอยู่ โดยเฉพาะโปรแกรมที่มีชื่อว่า “1C: Enterprise 8” เนื่องจากซอฟต์แวร์ตัวนี้เป็นที่นิยมสำหรับธุรกิจที่ต้องการโยกย้ายเงินผ่านระบบรีโมทธนาคารหรือ Remote Banking System (RBSes)
เมื่อเราวิเคราะห์การสื่อสารภายในเครือข่ายของ RTM พบว่าพวกเขาเรียกไฟล์ที่สร้างขึ้นโดย “1C: Enterprise 8” ชื่อว่า “1c_to_kl.txt” ซึ่งเป็นตัวกลางในการทำงานของระบบชำระเงิน และเก็บรายละเอียดการชำระเงินเอาไว้ ซึ่งแฮกเกอร์สามารถสลับชื่อผู้รับเงินได้
ปัญหานี้นับว่าเป็นปัญหาร้ายแรง และกำลังคุกคามสถาบันการเงินในรัสเซีย ทางหน่วยงานของรัสเซียก็รีบแจ้งเตือนให้ผู้ที่เกี่ยวข้องรับรู้ แต่ข่าวร้ายก็คือไม่ได้มีเพียง RTM เท่านั้น คาดว่าอาจมีอย่างน้อยอีกหนึ่งกลุ่มที่ใช้วิธีเดียวกันคือ Buhtrap
เป็นเวลานานพอสมควรที่กลุ่มแฮกเกอร์อย่าง Corkow และ Buhtrap มีเป้าหมายเป็นธุรกิจที่ใช้ Remote Banking System พวกเขาใช้ระบบและเครื่องมือที่ซับซ้อนเพื่อขโมยข้อมูลจากองค์กร ซึ่ง RTM ก็เป็นอีกหนึ่งกลุ่มที่ใช้วิธีเดียวกันนี้
Author: Jean-ian Boutin
Source: http://www.welivesecurity.com/2017/02/21/rtm-stealthy-group-targeting-remote-banking-system/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
วันนี้ทาง Blog ESET ได้ปล่อยเอกสารเกี่ยวกับ RTM กลุ่มของแฮกเกอร์ที่กำลังโจมตีธุรกิจในรัสเซียและประเทศโดยรอบ ด้วยแผนการเล็กๆ กลุ่มของแฮกเกอร์นี้เริ่มเคลื่อนไหวตั้งแต่ปี 2015 ใช้มัลแวร์รหัส Delphi เพื่อสอดแนมเป้าหมายในหลากหลายช่องทาง อย่างการใช้คีย์บอร์ด และสมาร์ทการ์ด
มัลแวร์ของพวกเขามีความสามารถในการอัพโหลดไฟล์เข้าเซิร์ฟเวอร์ C&C และสามารถแยกแยะได้ว่าระบบไหนที่มีซอฟต์แวร์บัญชีติดตั้งอยู่ โดยเฉพาะโปรแกรมที่มีชื่อว่า “1C: Enterprise 8” เนื่องจากซอฟต์แวร์ตัวนี้เป็นที่นิยมสำหรับธุรกิจที่ต้องการโยกย้ายเงินผ่านระบบรีโมทธนาคารหรือ Remote Banking System (RBSes)
เมื่อเราวิเคราะห์การสื่อสารภายในเครือข่ายของ RTM พบว่าพวกเขาเรียกไฟล์ที่สร้างขึ้นโดย “1C: Enterprise 8” ชื่อว่า “1c_to_kl.txt” ซึ่งเป็นตัวกลางในการทำงานของระบบชำระเงิน และเก็บรายละเอียดการชำระเงินเอาไว้ ซึ่งแฮกเกอร์สามารถสลับชื่อผู้รับเงินได้
ปัญหานี้นับว่าเป็นปัญหาร้ายแรง และกำลังคุกคามสถาบันการเงินในรัสเซีย ทางหน่วยงานของรัสเซียก็รีบแจ้งเตือนให้ผู้ที่เกี่ยวข้องรับรู้ แต่ข่าวร้ายก็คือไม่ได้มีเพียง RTM เท่านั้น คาดว่าอาจมีอย่างน้อยอีกหนึ่งกลุ่มที่ใช้วิธีเดียวกันคือ Buhtrap
เป็นเวลานานพอสมควรที่กลุ่มแฮกเกอร์อย่าง Corkow และ Buhtrap มีเป้าหมายเป็นธุรกิจที่ใช้ Remote Banking System พวกเขาใช้ระบบและเครื่องมือที่ซับซ้อนเพื่อขโมยข้อมูลจากองค์กร ซึ่ง RTM ก็เป็นอีกหนึ่งกลุ่มที่ใช้วิธีเดียวกันนี้
Author: Jean-ian Boutin
Source: http://www.welivesecurity.com/2017/02/21/rtm-stealthy-group-targeting-remote-banking-system/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: