Ammyy Admin ผู้ให้บริการซอฟต์แวร์ Remote Desktop และ Remote Desktop Connection ถูกแฮกเกอร์ฝังมัลแวร์ลงในเว็บไซต์
โดยเฉพาะสำหรับคนที่ดาวน์โหลด Remote Administration Tool ตัวฟรีจากเว็บไซต์ ammyy.com ในช่วงวันที่ 13-14 มิถุนายน
จากการวิเคราะห์ของ ESET ในช่วงเวลานั้นไฟล์ซอฟต์แวร์ของ Ammyy ที่เปิดให้ดาวน์โหลดถูกเวอร์ชั่นดัดแปลงของแฮกเกอร์แทนที่ โดยใช้ฉากบังหน้าเป็นอีเว้นท์ FIFA World Cup
ย้อนกลับไปเมื่อปี 2015 เว็บไซต์ของ Ammyy ก็เคยเผชิญกับเหตุการณ์ใกล้เคียงกันนี้ที่ซอฟต์แวร์ถูกใส่โค้ดอันตรายเข้าไปโดยกลุ่มแฮกเกอร์ที่ใช้ชื่อว่า Buhtrap
Remote Admin และบอท Kasidet
ผู้ใช้ที่ดาวน์โหลดซอฟต์แวร์จากช่วงเวลาดังกล่าว อาจได้มากกว่าซอฟต์แวร์ไป เนื่องจากจะได้โทรจันและมัลแวร์ธุรกรรมที่ชื่อว่า Win32/Kasidet.ESET เราขอแนะนำให้ผู้ใช้สแกนระบบเพื่อค้นหาและกำจัดมัลแวร์ดังกล่าว
Win32/Kasidet เป็นบอทที่วางขายอยู่ในตลาดมืด และเป็นเครื่องมือที่แฮกเกอร์หลายกลุ่มใช้อยู่ โดย Win32/Kasidet จะมี 2 เป้าหมายหลัก
1. ขโมยไฟล์ที่อาจเป็นรหัสผ่านหรือ Access Data สำหรับเข้าใช้งานสกุลเงินออนไลน์และบัญชี โดยค้นหาชื่อไฟล์ที่กำหนดผ่านคำสั่งจากเซิร์ฟเวอร์ C&C:
- bitcoin
- pass.txt
- passwords.txt
- wallet.dat
2. รายงานโปรเซสภายในเครื่องตามชื่อเหล่านี้:
- armoryqt
- bitcoin
- exodus
- electrum
- jaxx
- keepass
- kitty
- mstsc
- multibit
- putty
- radmin
- vsphere
- winscp
- xshell
URL ของเซิร์ฟเวอร์ Command and Control (C&C Server) hxxp://fifa2018start[.]info/panel/tasks.php ซึ่งถูกใช้ในแผนการของแฮกเกอร์ที่ใช้ฉากของ FIFA World Cup เป็นฉากบังหน้า
นักวิจัยของ ESET พอสิ่งที่เหมือนกันกับการโจมตีเมื่อปี 2015 ที่แฮกเกอร์ใช้ ammyy.com เพื่อทำประโยชน์ให้สายพันธุ์มัลแวร์จำนวนมาก และมีการเปลี่ยนแปลงตลอดเวลา แต่ในปี 2018 นี้มีการตรวจจับเฉพาะ Win32/Kasidet
ความเหมือนของทั้งสองเหตุการณ์ก็คือชื่อไฟล์ Ammyy_Service.exe และตัวติดตั้ง AA_v3.exe ที่ดูเหมือนกับของจริง แต่แฮกเกอร์ใช้ SmartInstaller และสร้าง Binary เพื่อติดตั้งมัลแวร์ก่อน
สรุป
เว็บไซต์ของ Ammyy ถูกแฮกเหมือนกับที่ผ่านมา ทาง ESET แนะนำให้ผู้ใช้อัพเดตโปรแกรมให้เป็นเวอร์ชั่นล่าสุด และติดตั้งโปรแกรมรักษาความปลอดภัย เพื่อสแกนขณะที่ดาวน์โหลดซอฟต์แวร์ใดๆก็ตามจากเว็บไซต์
แม้ซอฟต์แวร์ของ Ammyy Admin เป็นของแท้ก็จริง แต่หลายครั้งที่ถูกนำไปดัดแปลงและใช้งานโดยแฮกเกอร์ จึงอาจทำให้โปรแกรมรักษาความปลอดภับตรวจจับเป็น Potential Unsafe Application
IoCs
| ESET detection names |
|---|
| Win32/Kasidet |
| SHA-1 hashes |
| Installer |
| 6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27 |
| 6FB4212B81CD9917293523F9E0C716D2CA4693D4 |
| 675ACA2C0A3E1EEB08D5919F2C866059798E6E93 |
| Win32/Kasidet |
| EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9 |
| 9F9B8A102DD84ABF1349A82E4021884842DC22DD |
| 4B4498B5AFDAA4B9A2A2195B8B7E376BE10C903E |
| C&C Servers |
| fifa2018start[.]info |
Author: Ondrej Kubovič
Source: https://www.welivesecurity.com/2018/07/11/ammyy-admin-compromised-malware-world-cup-cover/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
Ammyy Admin ผู้ให้บริการซอฟต์แวร์ Remote Desktop และ Remote Desktop Connection ถูกแฮกเกอร์ฝังมัลแวร์ลงในเว็บไซต์
โดยเฉพาะสำหรับคนที่ดาวน์โหลด Remote Administration Tool ตัวฟรีจากเว็บไซต์ ammyy.com ในช่วงวันที่ 13-14 มิถุนายน
จากการวิเคราะห์ของ ESET ในช่วงเวลานั้นไฟล์ซอฟต์แวร์ของ Ammyy ที่เปิดให้ดาวน์โหลดถูกเวอร์ชั่นดัดแปลงของแฮกเกอร์แทนที่ โดยใช้ฉากบังหน้าเป็นอีเว้นท์ FIFA World Cup
ย้อนกลับไปเมื่อปี 2015 เว็บไซต์ของ Ammyy ก็เคยเผชิญกับเหตุการณ์ใกล้เคียงกันนี้ที่ซอฟต์แวร์ถูกใส่โค้ดอันตรายเข้าไปโดยกลุ่มแฮกเกอร์ที่ใช้ชื่อว่า Buhtrap
Remote Admin และบอท Kasidet
ผู้ใช้ที่ดาวน์โหลดซอฟต์แวร์จากช่วงเวลาดังกล่าว อาจได้มากกว่าซอฟต์แวร์ไป เนื่องจากจะได้โทรจันและมัลแวร์ธุรกรรมที่ชื่อว่า Win32/Kasidet.ESET เราขอแนะนำให้ผู้ใช้สแกนระบบเพื่อค้นหาและกำจัดมัลแวร์ดังกล่าว
Win32/Kasidet เป็นบอทที่วางขายอยู่ในตลาดมืด และเป็นเครื่องมือที่แฮกเกอร์หลายกลุ่มใช้อยู่ โดย Win32/Kasidet จะมี 2 เป้าหมายหลัก
1. ขโมยไฟล์ที่อาจเป็นรหัสผ่านหรือ Access Data สำหรับเข้าใช้งานสกุลเงินออนไลน์และบัญชี โดยค้นหาชื่อไฟล์ที่กำหนดผ่านคำสั่งจากเซิร์ฟเวอร์ C&C:
2. รายงานโปรเซสภายในเครื่องตามชื่อเหล่านี้:
URL ของเซิร์ฟเวอร์ Command and Control (C&C Server) hxxp://fifa2018start[.]info/panel/tasks.php ซึ่งถูกใช้ในแผนการของแฮกเกอร์ที่ใช้ฉากของ FIFA World Cup เป็นฉากบังหน้า
นักวิจัยของ ESET พอสิ่งที่เหมือนกันกับการโจมตีเมื่อปี 2015 ที่แฮกเกอร์ใช้ ammyy.com เพื่อทำประโยชน์ให้สายพันธุ์มัลแวร์จำนวนมาก และมีการเปลี่ยนแปลงตลอดเวลา แต่ในปี 2018 นี้มีการตรวจจับเฉพาะ Win32/Kasidet
ความเหมือนของทั้งสองเหตุการณ์ก็คือชื่อไฟล์ Ammyy_Service.exe และตัวติดตั้ง AA_v3.exe ที่ดูเหมือนกับของจริง แต่แฮกเกอร์ใช้ SmartInstaller และสร้าง Binary เพื่อติดตั้งมัลแวร์ก่อน
สรุป
เว็บไซต์ของ Ammyy ถูกแฮกเหมือนกับที่ผ่านมา ทาง ESET แนะนำให้ผู้ใช้อัพเดตโปรแกรมให้เป็นเวอร์ชั่นล่าสุด และติดตั้งโปรแกรมรักษาความปลอดภัย เพื่อสแกนขณะที่ดาวน์โหลดซอฟต์แวร์ใดๆก็ตามจากเว็บไซต์
แม้ซอฟต์แวร์ของ Ammyy Admin เป็นของแท้ก็จริง แต่หลายครั้งที่ถูกนำไปดัดแปลงและใช้งานโดยแฮกเกอร์ จึงอาจทำให้โปรแกรมรักษาความปลอดภับตรวจจับเป็น Potential Unsafe Application
IoCs
Author: Ondrej Kubovič
Source: https://www.welivesecurity.com/2018/07/11/ammyy-admin-compromised-malware-world-cup-cover/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: