Cybercrime Malware

Certificate ถูกขโมยจากองค์กรเทคโนโลยีไต้หวันและถูกใช้ในแผนการแพร่กระจายมัลแวร์

แผนการของแฮกเกอร์ขโมย Certificate ของ D-Link และองค์กรความปลอดภัยในไต้หวัน เพื่อขโมยข้อมูล

ข้อมูลเทคโนโลยี Certificate ของ D-Link และ Changing ถูกขโมยโดยกลุ่มแฮกเกอร์ที่มีเป้าหมายในภูมิภาคเอเชียตะวันออก

นักวิจัยของ ESET พบแผนการมัลแวร์ใหม่ที่ขโมย Digital Certificate

เราพบแผนการมัลแวร์ที่มีไฟล์น่าสงสัยที่ใช้ D-Link Corporation code-signing certificate ซึ่งเป็น Certificate เดียวกับซอฟต์แวร์ของ D-Link เนื่องจากโดนขโมยไป

เพื่อยืนยันไฟล์อันตราย เราแจ้งไปกับทาง D-Link ให้ตรวจสอบและถอนคืน Digital Certificate ของ D-Link ในวันที่ 3 กรกฎาคม 2018

The D-Link Corporation code signing certificate used to sign malware

ข้อมูลมัลแวร์

จากการวิเคราะห์มัลแวร์ที่ใช้สำหรับขโมย Certificate — The Plead Malware ที่ใช้ควบคุม Backdoor และขโมยขหัสผ่าน โดย JPCERT ปล่อยบทวิเคราะห์ของ Plead ที่ทาง Trend Micro บอกว่ากลุ่มแฮกเกอร์ BlackTech เป็นผู้ลงมือ

The Changing Information Technology Inc. code signing certificate used to sign malware

นอกจาก Certificate ของ D-Link นักวิจัยของ ESET ได้วิเคราะห์ตัวอย่างของ Certificate ที่ได้จากองค์กรความปลอดภัยของไต้หวัน Changing Information Technology Inc.

แม้ว่าทาง Changing Information Technology Inc. จะเรียกคืน Certificate ในวันที่ 4 กรกฎาคม 2017 แต่ทางกลุ่มแฮกเกอร์ BlackTech ยังคงใช้เครื่องมือของพวกเขาอยู่

ตัวอย่างของมัลแวร์ Plead ใช้ Junk Code เพื่อสร้างความสับสนให้กับผู้วิเคราะห์แต่จุดประสงค์ของมัลแวร์ยังคงเหมือนเดิมคือ ดาวน์โหลดจากรีโมตเซิร์ฟเวอร์หรือเปิดไฟล์จากดิสก์

Obfuscated code of the Plead malware

แอปพลิเคชั่นที่เครื่องมือสำหรับขโมยรหัสผ่านที่เก็บเอาไว้:

  • Google Chrome
  • Microsoft Internet Explorer
  • Microsoft Outlook
  • Mozilla Firefox

ทำไมถึงต้องขโมย Certificate?

การสวมรอยใช้ Digital Certificate จะสามารถช่วยให้แฮกเกอร์ซ่อนเจตนาได้ เนื่องจากการใช้ Certificate จะสร้างภาพลักษณ์ที่น่าเชื่อถือ และสามารถผ่านเงื่อนไขการตรวจจับได้

ยกตัวอย่าง Stuxnet Worm ที่ปรากฏตัวครั้งแรกในปี 2010 ลักลอบใช้ Certificate จาก RealTek และ JMicron ที่เป็นองค์กรเทคโนโลยีชื่อดังของประเทศไต้หวัน แต่อย่างไรก็ตามไม่ได้มีเพียงแค่ทีมแฮกเกอร์ชื่อดังอย่าง Stuxnet ที่ใช้กลยุทธ์นี้ แต่แฮกเกอร์ทั่วๆไปก็สามารถใช้ได้เช่นกัน

IoCs

ESET detection names
Win32/PSW.Agent.OES trojan
Win32/Plead.L trojan
Win32/Plead.S trojan
Win32/Plead.T trojan
Win32/Plead.U trojan
Win32/Plead.V trojan
Win32/Plead.X trojan
Win32/Plead.Y trojan
Win32/Plead.Z trojan
Unsigned samples (SHA-1)
80AE7B26AC04C93AD693A2D816E8742B906CC0E3
62A693F5E4F92CCB5A2821239EFBE5BD792A46CD
B01D8501F1EEAF423AA1C14FCC816FAB81AC8ED8
11A5D1A965A3E1391E840B11705FFC02759618F8
239786038B9619F9C22401B110CF0AF433E0CEAD
Signed samples (SHA-1)
1DB4650A89BC7C810953160C6E41A36547E8CF0B
CA160884AE90CFE6BEC5722FAC5B908BF77D9EEF
9C4F8358462FAFD83DF51459DBE4CD8E5E7F2039
13D064741B801E421E3B53BC5DABFA7031C98DD9
C&C servers
amazon.panasocin[.]com
office.panasocin[.]com
okinawas.ssl443[.]org
Code signing certificates serial numbers
D-Link Corporation:13:03:03:e4:57:0c:27:29:09:e2:65:dd:b8:59:de:ef
Changing Information Technology Inc:73:65:ed:e7:f8:fb:b1:47:67:02:d2:93:08:39:6f:51
1e:50:cc:3d:d3:9b:4a:cc:5e:83:98:cc:d0:dd:53:ea

Author: Anton Cherepanov
Source: https://www.welivesecurity.com/2018/07/09/certificates-stolen-taiwanese-tech-companies-plead-malware-campaign/
Translated by: Worapon H.

%d bloggers like this: