Malware

Operation Windigo ยังไม่ไปไหนแม้ผู้นำถูกจับกุมไปแล้ว

Operation Windigo ยังคงทำงานอยู่ลับๆถึงแม้หนึ่งในผู้นำถูกจับกุมไป

ย้อนกลับไปเมื่อปี 2014 นักวิจัยของ ESET โพสต์เกี่ยวกับ Linux/Ebury OpenSSH backdoor และตัวขโมยข้อมูลส่วนตัว การวิจัยนี้แจกแจงส่วนประกอบที่ใช้ในปฏิบัติการ มีมัลแวร์หลายสายพันธุ์ที่เราเรียกมันว่า Operation Windigo สำหรับผู้ที่ต้องการติดตามการวิเคราะห์ Operation Windigo แบบเต็มๆได้ใน Whitepaper นี้

ในเดือนกุมภาพันธ์ 2017 เราพบตัวอย่างของ Ebury ที่บ่งบอกหลายฟีเจอร์ของมัน เวอร์ชั่นที่เราได้มาเป็นเวอร์ชั่น 1.5.x หลังจากที่ทำการวิเคราะห์ เราพบว่าโครงสร้างพื้นฐานของมันมีความสามารถในการขโมยข้อมูล และยังคงถูกใช้งานโดยทีมงาน Windigo

แม้ผู้นำ Operation Windigo นาย Maxim Senakh ถูกจับกุมตัวไปแล้วแต่ Windigo ก็ยังคงทำงานอยู่ และ Ebury ยังคงเป็นส่วนประกอบของบอทเน็ตของ Linux และได้ผ่านการอัพเกรต อย่างการซ่อนตัวที่แนบเนียนยิ่งขึ้น และวิธีที่ใช้เพื่อเข้าไปในโปรเซสของ OpenSSH นอกจากนั้นยังใช้ domain generation algorithm (DGA) เพื่อให้ได้บันทึก TXT มา

Author: FRÉDÉRIC VACHON
Source: https://www.welivesecurity.com/2017/10/30/windigo-ebury-update-2/
Translated by: Worapon H.

%d bloggers like this: