Malware

Turla Mosquito: แผนการกระจายมัลแวร์ที่แนบเนียนที่สุด

กลุ่มแฮกเกอร์ Turla กับการแทรกแซงการดาวน์โหลดโปรแกรม Flash ที่แนบเนียนที่สุด

นักวิจัยของ ESET สังเกตเห็นการเปลี่ยนแปลงของแผนการของกลุ่มแฮกเกอร์

Turla เป็นกลุ่มแฮกเกอร์ที่มีชื่อเสียงมากว่า 10 ปี Turla กลายเป็นจุดสนเมื่อพวกเขาแฮกกระทรวงกลาโหมของสหรัฐฯ และมีส่วนร่วมกับการโจมตีหน่วยงานความมั่นคงหลายครั้งตลอดเวลา 10 ปี

ในช่วงต้นปี 2018 ที่ผ่านมา Turla มีแผนการที่ชื่อว่า Mosquito ที่คอยโจมตีผู้ใช้และดัดแปลงกลยุทธ์มาจนถึงปัจจุบัน

ในช่วงเดือนมีนาคม 2018 เราพบการเปลี่ยนแปลงของแผนการ Mosquito ตอนนี้พวกเขาใช้การเจาะช่องโหว่ของ Framework ที่ชื่อว่า Metasploit ก่อนที่จะปล่อย Backdoor ลงไปเพื่อปล่อยไวรัสและมัลแวร์ลงเครื่องของเหยื่อ

การแพร่กระจาย

ช่องทางที่กลุ่ม Turla ใช้ในการแพร่กระจายมัลแวร์ในแผนการ Mosquito ของพวกเขาก็คือ Flash Installer ปลอม จริงโปรแกรม Flash ที่ติดตั้งก็เป็นของจริง แต่พวกเขาเพิ่ม Backdoor ของ Mosquito ลงไปด้วย ซึ่งแผนการนี้มีเป้าหมายเป็นสถานทูตและสถานกงสุลของฝั่งยุโรปตะวันออก

figure1-768x367

อย่างที่กล่าวไปว่า Turla แพร่กระจายผ่านโปรแกรม Flash ที่ถูกดัดแปลงเพิ่มเติม มากไปกว่านั้นทาง Turla ใช้วิธีดัดแปลงทราฟฟิคระหว่างคอมพิวเตอร์ และเซิร์ฟเวอร์ของ Adobe ทำให้ Turla แพร่กระจายมัลแวร์ได้อย่างสมบูรณ์แบบ จากภาพด้านบนจะแสดงให้เห็นถึงขั้นตอนการดัดแปลงทราฟฟิค

ล่าสุดเราพบชื่อของไฟล์ Flash Installer ที่ผ่านการดัดแปลงโดย Turla ชื่อว่า flashplayer28_xa_install.exe

โดยสรุปแล้วแผนการ Mosquito ของ Turla ในเดือนที่ผ่านๆมา สิ่งที่เปลี่ยนไปอย่างชัดเจนเลยก็คือ พวกเขาใช้ Metasploit เป็นเครื่องมือใหม่สำหรับการปล่อย Backdoor ส่วนตัวไฟล์อันตรายก็คือ Flash Installer ที่ดัดแปลงเช่นเดิม เป็นการเบิกทางก่อนติดตั้งหรือปล่อยมัลแวร์ลงในเครื่องของเหยื่อ

IoCs

Screen Shot 2561-09-10 at 11.33.34

Author: ESET Research
Source:
https://www.welivesecurity.com/2018/05/22/turla-mosquito-shift-towards-generic-tools/
Translated by: Worapon H.

%d bloggers like this: