Cybercrime Malware

Lazarus KillDisks เล่นงาน Central American Casino

บ่อนคาสิโนใน Central America ถูกเล่นงานด้วยมัลแวร์ทำลายข้อมูล KiilDisk

กลุ่มแฮกเกอร์ Lazarus Group กลายเป็นที่รู้จักหลังจากเล่นงาน Sony Pictures Entertainment เมื่อปี 2014 และในช่วงปลายปี 2017 Lazarus ก็ได้ปล่อยเครื่องมืออันตรายที่สามารถทำลายข้อมูลภายในดิสก์ ชื่อว่า KillDisk

จากการวิเคราะห์พบว่า Lazarus เป็นผู้อยู่เบื้องหลังการโจมตีบ่อนคาสิโนใน Central America และอีกหลายพื้นที่ในช่วงปลายปี 2017 สังเกตจากเครื่องมือที่ใช้ รวมถึง KillDisk เครื่องมือทำลายข้อมูลในดิสก์

Lazarus1-768x537

เครื่องมือของ Lazarus

กลุ่มแฮกเกอร์ Lazarus ปรากฏตัวครั้งแรกในรายงาน Operation Blockbuster ของ Novetta เมื่อเดือนกุมภาพันธ์ 2016; US-CERT และ FBI เรียกกลุ่มนี้ว่า Hidden Cobra และโด่งดั่งที่สุดตอนที่เล่นงาน Sony Pictures Entertainment

รายละเอียดการโจมตีในอดีตของ Lazarus ถูกรวบรวมในงานของ Novetta et al รวม 100 หน้า ทั้งเครื่องมือและกระบวนการธนาคารของโปแลนด์และเม็กซิโก การแพร่ระบาดของ WannaCry แผนการ Phishing กับกระทรวงกลาโหม และอื่นๆ

ชุดเครื่องมือของ Lazarus มีค่อนข้างเยอะ และเราเชื่อว่ามีกลุ่มย่อยอีกแน่นอน อีกอย่างหนึ่งก็คือเครื่องมือของ Lazarus ไม่เคยหลุดออกสู่สาธารณะ เหมือนกับแฮกเกอร์กลุ่มอื่นๆ

เครื่องมือที่ Lazarus ใช้โจมตีบ่อนคาสิโน

หลังจากที่เราพบเครื่องมืออันตรายในเครือข่ายของบ่อนคาสิโนใน Central America ทั้งเครื่องเซิร์ฟเวอร์และ Endpoint ทั้ง Win32/NukeSped หรือ Win64/NukeSped และ Win32/KillDisk.NBO ทุกเครื่องมือถูกออกแบบมาให้ทำงานบน Windows service แต่ต้องใช้ Administrator Privileges ในการทำงาน นั่นแปลว่าแฮกเกอร์จำเป็นต้องหาวิธีได้ Privileges มาด้วยวิธีใดวิธีหนึ่ง

Author: Peter Kálnai
Source:
https://www.welivesecurity.com/2018/04/03/lazarus-killdisk-central-american-casino/
Translated by: Worapon H.

%d bloggers like this: