กลุ่มแฮกเกอร์ Lazarus Group กลายเป็นที่รู้จักหลังจากเล่นงาน Sony Pictures Entertainment เมื่อปี 2014 และในช่วงปลายปี 2017 Lazarus ก็ได้ปล่อยเครื่องมืออันตรายที่สามารถทำลายข้อมูลภายในดิสก์ ชื่อว่า KillDisk
จากการวิเคราะห์พบว่า Lazarus เป็นผู้อยู่เบื้องหลังการโจมตีบ่อนคาสิโนใน Central America และอีกหลายพื้นที่ในช่วงปลายปี 2017 สังเกตจากเครื่องมือที่ใช้ รวมถึง KillDisk เครื่องมือทำลายข้อมูลในดิสก์
เครื่องมือของ Lazarus
กลุ่มแฮกเกอร์ Lazarus ปรากฏตัวครั้งแรกในรายงาน Operation Blockbuster ของ Novetta เมื่อเดือนกุมภาพันธ์ 2016; US-CERT และ FBI เรียกกลุ่มนี้ว่า Hidden Cobra และโด่งดั่งที่สุดตอนที่เล่นงาน Sony Pictures Entertainment
รายละเอียดการโจมตีในอดีตของ Lazarus ถูกรวบรวมในงานของ Novetta et al รวม 100 หน้า ทั้งเครื่องมือและกระบวนการ – ธนาคารของโปแลนด์และเม็กซิโก การแพร่ระบาดของ WannaCry แผนการ Phishing กับกระทรวงกลาโหม และอื่นๆ
ชุดเครื่องมือของ Lazarus มีค่อนข้างเยอะ และเราเชื่อว่ามีกลุ่มย่อยอีกแน่นอน อีกอย่างหนึ่งก็คือเครื่องมือของ Lazarus ไม่เคยหลุดออกสู่สาธารณะ เหมือนกับแฮกเกอร์กลุ่มอื่นๆ
เครื่องมือที่ Lazarus ใช้โจมตีบ่อนคาสิโน
หลังจากที่เราพบเครื่องมืออันตรายในเครือข่ายของบ่อนคาสิโนใน Central America ทั้งเครื่องเซิร์ฟเวอร์และ Endpoint ทั้ง Win32/NukeSped หรือ Win64/NukeSped และ Win32/KillDisk.NBO ทุกเครื่องมือถูกออกแบบมาให้ทำงานบน Windows service แต่ต้องใช้ Administrator Privileges ในการทำงาน นั่นแปลว่าแฮกเกอร์จำเป็นต้องหาวิธีได้ Privileges มาด้วยวิธีใดวิธีหนึ่ง
Author: Peter Kálnai
Source: https://www.welivesecurity.com/2018/04/03/lazarus-killdisk-central-american-casino/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
กลุ่มแฮกเกอร์ Lazarus Group กลายเป็นที่รู้จักหลังจากเล่นงาน Sony Pictures Entertainment เมื่อปี 2014 และในช่วงปลายปี 2017 Lazarus ก็ได้ปล่อยเครื่องมืออันตรายที่สามารถทำลายข้อมูลภายในดิสก์ ชื่อว่า KillDisk
จากการวิเคราะห์พบว่า Lazarus เป็นผู้อยู่เบื้องหลังการโจมตีบ่อนคาสิโนใน Central America และอีกหลายพื้นที่ในช่วงปลายปี 2017 สังเกตจากเครื่องมือที่ใช้ รวมถึง KillDisk เครื่องมือทำลายข้อมูลในดิสก์
เครื่องมือของ Lazarus
กลุ่มแฮกเกอร์ Lazarus ปรากฏตัวครั้งแรกในรายงาน Operation Blockbuster ของ Novetta เมื่อเดือนกุมภาพันธ์ 2016; US-CERT และ FBI เรียกกลุ่มนี้ว่า Hidden Cobra และโด่งดั่งที่สุดตอนที่เล่นงาน Sony Pictures Entertainment
รายละเอียดการโจมตีในอดีตของ Lazarus ถูกรวบรวมในงานของ Novetta et al รวม 100 หน้า ทั้งเครื่องมือและกระบวนการ – ธนาคารของโปแลนด์และเม็กซิโก การแพร่ระบาดของ WannaCry แผนการ Phishing กับกระทรวงกลาโหม และอื่นๆ
ชุดเครื่องมือของ Lazarus มีค่อนข้างเยอะ และเราเชื่อว่ามีกลุ่มย่อยอีกแน่นอน อีกอย่างหนึ่งก็คือเครื่องมือของ Lazarus ไม่เคยหลุดออกสู่สาธารณะ เหมือนกับแฮกเกอร์กลุ่มอื่นๆ
เครื่องมือที่ Lazarus ใช้โจมตีบ่อนคาสิโน
หลังจากที่เราพบเครื่องมืออันตรายในเครือข่ายของบ่อนคาสิโนใน Central America ทั้งเครื่องเซิร์ฟเวอร์และ Endpoint ทั้ง Win32/NukeSped หรือ Win64/NukeSped และ Win32/KillDisk.NBO ทุกเครื่องมือถูกออกแบบมาให้ทำงานบน Windows service แต่ต้องใช้ Administrator Privileges ในการทำงาน นั่นแปลว่าแฮกเกอร์จำเป็นต้องหาวิธีได้ Privileges มาด้วยวิธีใดวิธีหนึ่ง
Author: Peter Kálnai
Source: https://www.welivesecurity.com/2018/04/03/lazarus-killdisk-central-american-casino/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: