Cybersecurity Malware

Ammyy Admin ถูกแฮกเกอร์ดัดแปลงซอฟต์แวร์บนเว็บไซต์เพื่อแพร่กระจายมัลแวร์

Ammyy Admin ผู้ให้บริการรีโมตโดนแฮกเกอร์สลับไฟล์บนเว็บไซต์เพื่อแพร่กระจายมัลแวร์

Ammyy Admin ผู้ให้บริการซอฟต์แวร์ Remote Desktop และ Remote Desktop Connection ถูกแฮกเกอร์ฝังมัลแวร์ลงในเว็บไซต์

โดยเฉพาะสำหรับคนที่ดาวน์โหลด Remote Administration Tool ตัวฟรีจากเว็บไซต์ ammyy.com ในช่วงวันที่ 13-14 มิถุนายน

จากการวิเคราะห์ของ ESET ในช่วงเวลานั้นไฟล์ซอฟต์แวร์ของ Ammyy ที่เปิดให้ดาวน์โหลดถูกเวอร์ชั่นดัดแปลงของแฮกเกอร์แทนที่ โดยใช้ฉากบังหน้าเป็นอีเว้นท์ FIFA World Cup

ย้อนกลับไปเมื่อปี 2015 เว็บไซต์ของ Ammyy ก็เคยเผชิญกับเหตุการณ์ใกล้เคียงกันนี้ที่ซอฟต์แวร์ถูกใส่โค้ดอันตรายเข้าไปโดยกลุ่มแฮกเกอร์ที่ใช้ชื่อว่า Buhtrap

Remote Admin และบอท Kasidet

ผู้ใช้ที่ดาวน์โหลดซอฟต์แวร์จากช่วงเวลาดังกล่าว อาจได้มากกว่าซอฟต์แวร์ไป เนื่องจากจะได้โทรจันและมัลแวร์ธุรกรรมที่ชื่อว่า Win32/Kasidet.ESET เราขอแนะนำให้ผู้ใช้สแกนระบบเพื่อค้นหาและกำจัดมัลแวร์ดังกล่าว

Win32/Kasidet เป็นบอทที่วางขายอยู่ในตลาดมืด และเป็นเครื่องมือที่แฮกเกอร์หลายกลุ่มใช้อยู่ โดย Win32/Kasidet จะมี 2 เป้าหมายหลัก

1. ขโมยไฟล์ที่อาจเป็นรหัสผ่านหรือ Access Data สำหรับเข้าใช้งานสกุลเงินออนไลน์และบัญชี โดยค้นหาชื่อไฟล์ที่กำหนดผ่านคำสั่งจากเซิร์ฟเวอร์ C&C:

  • bitcoin
  • pass.txt
  • passwords.txt
  • wallet.dat

2. รายงานโปรเซสภายในเครื่องตามชื่อเหล่านี้:

  • armoryqt
  • bitcoin
  • exodus
  • electrum
  • jaxx
  • keepass
  • kitty
  • mstsc
  • multibit
  • putty
  • radmin
  • vsphere
  • winscp
  • xshell

URL ของเซิร์ฟเวอร์ Command and Control (C&C Server) hxxp://fifa2018start[.]info/panel/tasks.php ซึ่งถูกใช้ในแผนการของแฮกเกอร์ที่ใช้ฉากของ FIFA World Cup เป็นฉากบังหน้า

นักวิจัยของ ESET พอสิ่งที่เหมือนกันกับการโจมตีเมื่อปี 2015 ที่แฮกเกอร์ใช้ ammyy.com เพื่อทำประโยชน์ให้สายพันธุ์มัลแวร์จำนวนมาก และมีการเปลี่ยนแปลงตลอดเวลา แต่ในปี 2018 นี้มีการตรวจจับเฉพาะ Win32/Kasidet

ความเหมือนของทั้งสองเหตุการณ์ก็คือชื่อไฟล์ Ammyy_Service.exe และตัวติดตั้ง AA_v3.exe ที่ดูเหมือนกับของจริง แต่แฮกเกอร์ใช้ SmartInstaller และสร้าง Binary เพื่อติดตั้งมัลแวร์ก่อน

สรุป

เว็บไซต์ของ Ammyy ถูกแฮกเหมือนกับที่ผ่านมา ทาง ESET แนะนำให้ผู้ใช้อัพเดตโปรแกรมให้เป็นเวอร์ชั่นล่าสุด และติดตั้งโปรแกรมรักษาความปลอดภัย เพื่อสแกนขณะที่ดาวน์โหลดซอฟต์แวร์ใดๆก็ตามจากเว็บไซต์

แม้ซอฟต์แวร์ของ Ammyy Admin เป็นของแท้ก็จริง แต่หลายครั้งที่ถูกนำไปดัดแปลงและใช้งานโดยแฮกเกอร์ จึงอาจทำให้โปรแกรมรักษาความปลอดภับตรวจจับเป็น Potential Unsafe Application

IoCs

ESET detection names
Win32/Kasidet
SHA-1 hashes
Installer
6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27
6FB4212B81CD9917293523F9E0C716D2CA4693D4
675ACA2C0A3E1EEB08D5919F2C866059798E6E93
Win32/Kasidet
EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9
9F9B8A102DD84ABF1349A82E4021884842DC22DD
4B4498B5AFDAA4B9A2A2195B8B7E376BE10C903E
C&C Servers
fifa2018start[.]info

Author: Ondrej Kubovič
Source:
https://www.welivesecurity.com/2018/07/11/ammyy-admin-compromised-malware-world-cup-cover/
Translated by: Worapon H.

%d bloggers like this: