Malware

งานวิจัย ESET: กลุ่มแฮกเกอร์ Turla ยังคงใช้ Flash Player บังหน้าเพื่อดำเนินการ

นักวิจัยของ ESET เราพบว่า Turla กลุ่มสอดแนมไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ ได้เพิ่มอาวุธไซเบอร์ที่มีไว้สำหรับโจมตีสถานที่อย่าง สถานทูต และกงสุลในสหภาพโซเวียต โดยเจ้าเครื่องมือใหม่นี้จะหลอกให้เป้าหมายติดตั้งโปรแกรมอันตรายที่คอยส่งข้อมูลจากเครื่องให้กับกลุ่ม Turla

กลุ่ม Turla ใช้วิธี Social Engineering เพื่อหลอกเป้าหมายให้ทำสิ่งที่พวกเขาต้องการ ตัวอย่างเช่น การให้ติดตั้งโปรแกรม Adobe Flash Player ปลอม

หลังจากที่เป้าหมายติดตั้งโปรแกรม Adobe Flash Player ปลอมดังกล่าวแล้ว มันจะเปรียบเทียบ URLs และ IP Address ของผู้ใช้กับโปรแกรม Adobe Flash Player ของแท้ เพื่อทำให้พวกเขาดูน่าเชื่อถือและบอกให้ผู้ใช้ติดตั้งโปรแกรมมัลแวร์ลงบนเครื่อง

แผนการนี้เริ่มมาตั้งแต่ช่วงเดือนกรกฎาคม 2016 ร่วมมือกับกลุ่มอื่นๆ เช่น Mosquito และใช้ IP Address ร่วมกัน รวมทั้งยังแบ่งปันสายพันธุ์มัลแวร์กันอีกด้วย

รูปแบบการโจมตี

นักวิจัยของ ESET สันนิษฐานรูปแบบการโจมตีของ Turla ไว้หลายแบบ (ตามที่เห็นในภาพด้านล่าง) แต่ไม่ว่าอย่างไรต้องมีโปรแกรม Adobe ปลอมเป็นส่วนประกอบ

Figure-1-Possible-interception-points-1-768x380

รูปแบบของการโจมตีที่นักวิจัยของ ESET สันนิษฐานเอาไว้:

  • เครือข่ายภายในถูกแฮกและมีคนกลาง (Man-in-the-Middle) คอยเปลี่ยนแปลงทิศทางของทราฟฟิค
  • แฮกเกอร์แฮก Gateway ของเครือข่ายองค์กร เพื่อดักจับทราฟฟิคเข้าออกภายในองค์กร
  • การดักจับทราฟฟิคเกิดขึ้นตั้งแต่ทราฟฟิคมาจากผู้ให้บริการอินเตอร์เน็ต (ISP) เหมือนที่สปายแวร์ FinFisher ใช้
  • แฮกเกอร์ใช้ Border Gateway Protocol (BGP) เพื่อเปลี่ยนทิศทางของทราฟฟิค โดยมีข้อมแม้ว่าทาง Turla ต้องปิดแจ้งเตือนของ Adobe หรือ BGP

ทันทีที่เป้าหมายติดตั้งและเปิดโปรแกรม Flash Player ปลอม โปรแกรมอันตรายก็จะถูกปล่อยลงบนเครื่อง โดยอาจจะเป็น Mosquito ที่เป็นชิ้นส่วนมัลแวร์ Win32 ไฟล์ JavaScript อันตรายที่สามารถติดต่อสื่อสารกับเว็บแอปบน Google Apps Script หรือไฟล์ที่ดาวน์โหลดผ่าน URL ที่ไม่ใช่ของ Adobe

ซึ่งเป็นขั้นตอนเกือบสุดท้ายของมัลแวร์ก่อนที่จะเริ่มขโมยข้อมูลจากผู้ใช้ เริ่มด้วยข้อมูลเครื่องคอมพิวเตอร์, ชื่อผู้ใช้ และโปรแกรมรักษาความปลอดภัยที่มีอยู่บนเครื่อง

Author: TOMÁŠ FOLTÝN
Source:
https://www.welivesecurity.com/2018/01/09/turlas-backdoor-laced-flash-player-installer/
Translated by: Worapon H.

%d bloggers like this: