Malware

Sednit Update: ผลงานของ Fancy Bear ในปีที่ผ่านมา

อัพเดตเครื่องมือของกลุ่มแฮกเกอร์ชื่อดัง Sednit หรือ Fancy Bear

กลุ่มแฮกเกอร์ Sednit (หรือ Stronium, APT28, Fancy Bear, Sofacy) เริ่มปฏิบัติการตั้งแต่ปี 2004 หรือก่อนหน้า มีเป้าหมายเป็นการขโมยข้อมูลสำคัญจากบุคคลหรือกลุ่มเฉพาะ

ในบทความนี้จะเปิดเผยกิจกรรมและเครื่องมือของกลุ่ม Sednit รวมถึงกระบวนการเข้าถึงระบบของเป้าหมาย และมัลแวร์ล่าสุดของพวกเขา: Xagent

แผนการ

ตลอดหลายปีที่ผ่านมากลุ่ม Sednit ใช้หลายเทคนิคในการเข้าสู่ระบบของเป้าหมาย แต่ส่วนมากเริ่มต้นด้วยอีเมล์ที่แนบไฟล์หรือลิงก์อันตราย และอีกหนึ่งเครื่องมือที่ชื่อว่า Sedkit แต่ก็หายไปในช่วงท้ายปี 2016 ก่อนที่ DealersChoice จะกลายเป็นเครื่องมือชิ้นล่าสุดของ Sednit

ด้วยสามวิธีนี้ทำให้ Sednit สามารถเข้าไปอยู่ในระบบของเป้าหมาย และติดตั้ง Seduploader ลงบนระบบ เพื่อเอาไว้ใช้เข้าถึงไฟล์สำคัญและดาวน์โหลดส่วนประกอบซอฟต์แวร์อันตรายอื่นๆเพิ่มเติม

Sedkit (Sednit Exploit Kit)

Sedkit เป็นเครื่องมือมือ Exploit ของ Sednit โดยใช้วิธีอาศัยช่องโหว่ของแอปพลิเคชั่น ส่วนมากเป็น Adobe Flash และ Internet Explorer ครั้งแรกที่เราพบ Sedkit เป้าหมายจะถูกส่งไปยังเพจที่มีไวรัสที่เต็มไปด้วยลิงก์และไฟล์อันตราย ตามภาพด้านล่าง

sedkit_workflow-768x178

ระหว่างเดือนสิงหาคมถึงกันยายน 2016 เราพบอีเมล์หลายรูปแบบที่พยายามหลอกผู้รับให้ไปยังหน้าเพจอันตรายนี้ ตอนนั้นพวกเขามีเป้าหมายเป็นสถานทูต สถาบันทางการเมืองในยุโรปตอนกลาง

mail_worldpostjournal-768x493

ภายในอีเมล์จะมีลิงก์ที่นำไปสู่เพจอันตราย แต่แฮกเกอร์จะพยายามเขียนให้ผู้อ่านเข้าใจผิดว่าเป็นข่าวหรือสิ่งที่น่าสนใจ ในตัวอย่างที่เรานำมา พวกเขาอ้างว่าจะมีแผ่นดินไหวใกล้กับกรุงโรมในเดือนสิงหาคม 2016 โดยอ้างอิงชื่อใครสักคนเพื่อความน่าเชื่อถือ สองจุดสังเกตที่สามารถบอกเราได้ว่านี่เป็นอีเมล์ปลอม อย่างแรกก็คือ “Greetigs!” ซึ่งเขียนผิด สองก็คือลิงก์ที่พยายามจะทำให้เหมือนกับของเว็บไซต์จริง แต่ถ้าสังเกตดีๆก็จะเห็น พวกเขานำข่าวที่กำลังเป็นกระแสมาเป็นตัวล่อให้เป้าหมายสนใจ

ในอีเมล์ต่อไปจะแสดงให้เห็น ว่าลิงก์ที่พวกเขาชี้ไปไปไหนกันแน่

mail_worldpostjournal2-1-768x493

แรกสุดคือหัวข้อเรื่องกับลิงก์ URL นั้นไม่ไปในทางเดียวกัน สองคือมีคำที่สะกดผิด 2 จุด “Greetigs!” และ “Unated Nations” ซึ่งบุคคลภายในน่าจะตั้งค่า Signature ของอีเมล์อยู่แล้ว

ในแผนการที่ใช้ Sedkit ล่าสุด (ตุลาคม 2016) เป็น Drive-by-downloads ให้ผู้ใช้ดาวน์โหลดโปรแกรม Flash หรือ Internet Explorer รุ่นเก่าซึ่งต่อมาทาง Microsoft และ Adobe ได้ทำการแก้ไขโค้ดทำให้ทาง Sednit ไม่สามารถทำได้อีก

DealerChoice

ในเดือนสิงหาคม 2016 เครือข่าย Palo Alto Network เขียนบล็อกเกี่ยวกับแพลตฟอร์มใหม่ที่ Sednit ใช้เพื่อเจาะระบบเป้าหมาย แพลตฟอร์มนี้ชื่อว่า DealersChoice ซึ่งสามารถสร้างไฟล์เอกสารที่ฝังชุดเจาะช่องโหว่โปรแกรม Adobe Flash Player เอาไว้ DealersChoice มีสองรูปแบบ รูปแบบแรกแพลตฟอร์มจะตรวจสอบเวอร์ชั่นของ Flash Player ภายในเครื่อง และเลือกเจาะช่องโหว่ รูปแบบที่สองจะเริ่มทำงานด้วยการเชื่อมต่อกับเซิร์ฟเวอร์ C&C แล้วค่อยดาวน์โหลดตัวเจาะช่องโหว่และไฟล์อันตราย

ในทุกวันนี้กลุ่ม Sednit ยังคงใช้งาน DealersChoice อยู่ และเช่นเดียวกับ Sedkit พวกเขายังคงใช้ลูกเล่นเดิมก็คืออีเมล์เกี่ยวกับข่าวที่มากับไฟล์แนบอันตราย ในบางครั้งพวกเขาก็มีเป้าหมายอื่นนอกจากเป้าหมายทางการเมือง

mail_merrychristmas-768x493

doc_merrychristmas-768x492

นี่เป็นอีเมล์ที่ถูกส่งไปตามกระทรวงการต่างประเทศและสถานทูตในยุโรป ในระหว่างวันที่ 22 และ 23 ธันวาคมที่ผ่านมา ซึ่งภายในอีเมล์มีไฟล์แนบชื่อว่า Christmas eCard นี่เป็นครั้งแรกที่กลุ่ม Sednit ไม่ใช้กลยุทธ์ทางการเมืองในการเข้าถึงเป้าหมาย ถ้าผู้รับเปิดไฟล์แนบดังกล่าว DealersChoice ก็จะเริ่มทำงานในทันที

doc_Caucasian_Eagle_ENG-768x492

เราไม่มีหลักฐานอีเมล์ตัวจริงจากแผนการนี้ แต่จากเอกสารที่มีเราสามารถสันนิษฐานได้ว่าเป้าหมายของพวกเขาก็คือพนักงานของรัฐบาล และจากหลักฐานที่นักวิจัยความปลอดภัยของ Proofpoint อื่นได้สำรวจมา พบร่องรอยการเจาะช่องโหว่ของ Adobe Flash Player ของแพลตฟอร์ม DealersChoice

เครื่องมือของกลุ่ม Sednit

Seduploader

Seduploader ทำหน้าที่เหมือนกับโปรแกรมสอดแนม โดยมีส่วนประกอบสองส่วนคือ dropper และ payload ที่ถูกติดตั้งโดย dropper อีกทีหนึ่ง กลุ่ม Sednit ยังคงใช้งาน Seduploader อยู่และได้ปรับแต่ง ในช่วงเดือนเมษายน 2017 Seduploader ออกมาพร้อมฟีเจอร์ใหม่อย่างฟังก์ชัน Screenshot หรือความสามารถในการเริ่มทำงานไฟล์จากหน่วยความจำของ C&C Server และล่าสุด Seduploader ถูกแทนที่ด้วย PowerShell เพื่อขนส่ง Payload

XTunnel

XTunnel เป็นเครื่องมือ Network Proxy ที่สามารถถ่ายทอดการแกะรอบ Network ระหว่างเซิร์ฟเวอร์ C&C บนอินเตอร์เน็ตและคอมพิวเตอร์ในเครือข่าย และ XTunnel ยังคงถูกใช้โดยกลุ่ม Sednit อยู่

Sedkit

Sedkit หรือ Sednit exploit-kit ถูกใช้สำหรับเป้าหมายเฉพาะเท่านั้น ด้วยการส่งอีเมล์ปลอมกับลิงก์อันตราย แต่ Sedkit ได้หายไปหลังจากการปรากฏตัวครั้งสุดท้ายในเดือนตุลาคม 2016

Sedreco

Sedreco เป็นโปรแกรมสอดแนม Spying Backdoor ซึ่งสามารถขยายได้ด้วยการดาวน์โหลด Plugin มีส่วนประกอบสองส่วนคือ dropper และ Payload ที่ติดตั้งโดย Dropper

USBStealer

USBStealer เป็นเครื่องมือภายในเครือข่ายที่ค่อยเก็บข้อมูลสำคัญจาก air-gapped network แต่ปัจจุบันยังไม่พบมันทำงานอยู่

Xagent

Xagent เป็น Modular Backdoor ที่มีฟังก์ชั่นสอดแนม อย่างการบันทึกการใช้งานคีย์บอร์ด Xagent เป็นที่นิยมในกลุ่มแฮกเกอร์ เวอร์ชั่นแรกๆเป็น Linux และ Windows ก่อนที่ในปี 2015 จะมีของ iOS ออกมา และในปีต่อมาก็เป็นคิวของ Android

DealersChoice

DealersChoice หรือแพลตฟอร์มที่สามารถสร้างเอกสารที่แนบไฟล์อันตรายของโปรแกรม Adobe Flash นักวิจัยความปลอดภัยของ Palo Alto วิเคราะห์มันมีสองรูปแบบคือ A เป็นโค้ดที่มากับ Payload และ B เป็นโมดูลที่สามารถดาวน์โหลดและใช้งานโค้ดตามคำสั่ง ซึ่งปัจจุบัน DealersChoice ยังคงถูกใช้งานอยู่

Downdelph

Downdelph เป็น Downloader ขนาดเล็กที่เขียนโดยภาษา Delphi เคยถูกใช้ในช่วง พฤศจิกายน 2013 ถึง กันยายน 2015 และยังไม่มีสายพันธุ์ใหม่ออกมาให้เห็น

สรุป

กลุ่ม Sednit ยังคงทำงานอยู่ จุดขายของพวกเขาก็คือ Phishing Email หรืออีเมล์ปลอม ซึ่งยังคงใช้งานได้ดีกับ Xagent ที่เป็นแกนกลางการทำงาน และมีอยู่ในทุกระบบปฏิบัติการ เราสันนิษฐานว่ากลุ่ม Sednit ใช้ Xagent ในการสอดแนมและส่งมัลแวร์อย่างอื่นตามมาเพื่อทำภารกิจของพวกเขา

Author: ESET RESEARCH
Source:
https://www.welivesecurity.com/2017/12/21/sednit-update-fancy-bear-spent-year/
Translated by: Worapon H.

%d bloggers like this: