Threats

OceanLotus ปล่อย Backdoor ตัวใหม่ แต่ยังคงใช้กลยุทธ์เดิม

กลุ่มแฮกเกอร์ OceanLotus ปล่อยเครื่องมือ Backdoor ใหม่แต่ใช้กลยุทธ์เดิม

กลยุทธ์ที่แฮกเกอร์ใช้เพื่อเข้าถึงคอมพิวเตอร์ของเหยื่อมี 2 ขั้นตอน คือ 1. นำ Package เข้าไปในอุปกรณ์ และ 2. เริ่มการทำงาน Package เพื่อดำเนินการตามเป้าหมายที่วางไว้

นักวิจัยของ ESET ได้ทำการชำแหละ Toolkit ของการโจมตีที่เรียกว่า Advanced Persistent Threat (APT) จากกลุ่มที่ชื่อว่า OceanLotus หรือในชื่อ APT32 และ APT-C-00

ด้วยท่อน้ำเลี้ยงที่อุดมสมบูรณ์ OceanLotus มีเป้าหมายเป็นองค์กรขนาดใหญ่และรัฐบาลในประเทศแถบเอเซียตะวันออกเฉียงใต้ (Southeast Asia) และเป็นที่รู้จักในฐานะผู้รวบรวมเทคนิคและผลงานที่ประสลความสำเร็จ

OceanLotus ไม่ได้หยุดชื่นชมผลงานของตัวเองสัก้ท่าไหร่ พวกเขายังคเดินหน้าทำงานในฐานะนักโจรกรรมไซเบอร์ ผลงานล่าสุดของพวกเขาก็คือเครื่องมือ Backdoor สำหรับการออกคำสั่งระยะไกลกับอุปกรณ์ โดยเครื่องมือนี้มีชุดฟังก์ชั่น อย่างการจัดการ File, Registry และ Process รวมไปถึงการดาวน์โหลดส่วนประกอบเพิ่มเติม

กลยุทธ์

ขั้นตอนแรกที่ยากที่สุดก็คือการเอา Package เข้าไปในเครื่องผู้ใช้ แฮกเกอร์ใช้วิธี Spear Phishing เพื่อหลอกให้ผู้ใช้ดาวน์โหลดและเริ่มการทำงานของ Package

เมื่อผู้ใช้คลิกไฟล์ที่แนบมากับอีเมล์ Spear Phishing ตัว Package จะเปิดไฟล์เอกสารที่ติดล็อครหัสเพื่อดึงดูดความสนใจ และดำเนินการขั้นตอนอื่น

ไฟล์เอกสารที่มักแนบมากับอีเมล์มีหลากหลาย และเนื้อหาถูกออกแบบมาให้น่าเชื่อถือ โดยโปรแกรมของ ESET สามารถตรวจจับไฟล์เอกสารอันตรายได้ในชื่อ Win32/TrojanDropper.Agent.RUI

นอกจากนี้ทาง OceanLotus ก็ใช้วิธีการ ‘Watering Hole Attack’ ด้วยเว็บไซต์อันตราย ทั้งที่สร้างใหม่และเว็บไซต์ที่ถูกแฮก เพื่อหลอกให้ผู้ใช้ดาวน์โหลดและติดตั้งโปรแกรมหรืออัพเดตซอฟต์แวร์ ที่มี Package อันตรายรวมอยู่ด้วย

Author: Tomáš Foltýn
Source:
https://www.welivesecurity.com/2018/03/13/oceanlotus-ships-new-backdoor/
Translated by: Worapon H.

%d bloggers like this: