Cybercrime Malware

เจาะลึกแผนการแฮกเกอร์ในประเทศยูเครน “Vermin RAThole”

แผนการ Vermin RAThole ในประเทศยูเครน กับกลวิธีในการใช้ Remote Access Tools (RATs)

นักวิจัยของ ESET วิเคราะห์เครื่องมือรีโมตที่อาชญากรไซเบอร์ใช้ในแผนการสอดแนมหน่วยงานของรัฐบาลยูเครนและแทรกซึมข้อมูลอย่างเป็นระบบ

ในบล็อกโพสต์ เรารวบรวมผลการวิจัยทั้งหมดไว้ใจเอกสาร Quasar, Sobaken and Vermin: A deeper look into an ongoing espionage campaign

แฮกเกอร์ที่อยู่เบื้องหลังแผนการที่ ESET ติดตามมาตั้งแต่กลางปี 2017 กิจกรรมของพวกเขาถูกรายงานครั้งแรกในเดือนมกราคม 2018 การวิเคราะห์ชี้ว่าอาชญากรไซเบอร์พัฒนาแผนการและเครื่องมือมาอย่างต่อเนื่อง

จากสถิติการตรวจจับของ ESET พบว่าการโจมตีส่วนมากอยู่ในหน่วยงานรัฐบาลของประเทศยูเครน มีเหยื่อไม่กี่ร้อยรายในองค์กรต่างๆ โดยแฮกเกอร์ใช้ Remote Access Tools (RATs) เพื่อแทรกแซงเอกสารสำคัญจากเหยื่อ

พวกเราตรวจจับมัลแวร์ .NET หลากหลายสายพันธุ์ในแผนการนี้ประกอบด้วย: Quasar RAT, Sobaken RAT และ a custom-made RAT ที่ชื่อว่า Vermin ทั้งสามสายพันธุ์ทำงานในเป้าหมายแตกต่างกัน แต่ใช้โครงสร้างพื้นฐานและเชื่อมต่อกับเซิร์ฟเวอร์ C&C เหมือนกัน

Quasar เป็น Remote Access Tools แบบ Open-source ที่เปิดให้ดาวน์โหลดกันฟรีบนเว็บไซต์ GitHub ซึ่งเราสามารถติดตามแผนการจากบรรดาแฮกเกอร์ที่ใช้ Quasar RAT ในแผนการเมื่อเดือนตุลาคม 2015

Sobaken เป็นเวอร์ชั่นที่ถูกดัดแปลงของ Quasar RAT และบางฟังก์ชั่นถูกถอนออกเพื่อทำให้มีขนาดเล็กลง พร้อมการป้องกัน Sandbox และเล่ห์กลอื่นๆ

Vermin เป็น backdoor ที่ถูกออกแบบใหม่ พบครั้งแรกในช่วงกลางปี 2016 และใช้มาจนถึงปัจจุบัน เช่นเดียวกันกับ Quasar และ Sobaken ทั้งสามตัวถูกเขียนโดย .NET เพื่อชะลอการวิเคราะห์ โค้ดโปรแกรมจะได้รับการป้องกันโดยโค้ดป้องกันระบบของ .NET อย่าง .NET Reactor หรือแบบ open-source อย่าง ConfuserEx

Vermin มีฟีเจอร์มากมายในแต่ส่วนประกอบ ล่าสุดที่พบตัว Vermin รองรับ 24 คำสั่งอย่าง การติดตั้ง Payload และคำสั่งๆอื่นตามส่วนประกอบเพิ่มเติม อย่างการบันทึกเสียง บันทึกการใช้งานคีย์บอร์ด และขโมยรหัสผ่าน

จากการวิเคราะห์แผนการ ทั้งหมดมีพื้นฐานจาก Social Engineering ประกอบกับกลยุทธ์ในการหลอกล่อเหยื่อให้ดาวน์โหลดและติดตั้งมัลแวร์ อย่างเช่นไฟล์แนบในอีเมล ซึ่งใช้เทคนิค right-to-left override เพื่อปิดบังไฟล์แนบให้มองเห็นไฟล์ Word ที่เจาะช่องโหว่ CVE-2018-0199 เป็นไฟล์ .RAR

มัลแวร์ทั้งสามสายพันธุ์ติดตั้งผ่านกระบวนการเดียวกัน ด้วยการปล่อยไฟล์ Payload มัลแวร์ (Vermin, Quasar หรือ Sobaken) ลงในโฟลเดอร์ย่อยของ %APPDATA% ที่มีโปรแกรมที่นิยมใช้กันอย่าง Adobe, Intel หรือ Microsoft และเริ่มทำงาน 10 นาทีให้หลังเพื่อปกปิงการมีอยู่

เพื่อทำให้มั่นใจได้ว่ามัลแวร์จะทำงานบนเครื่องของเหยื่อเท่านั้น และไม่ไปสะกิดระบบ Sandbox แฮกเกอร์มีหลายมาตรการรับมือ โดยมัลแวร์จะหยุดทำงานเมื่อไม่มีคีย์บอร์ดภาษารัสเซียและยูเครนติดตั้งอยู่ในเครื่องเหยื่อ รวมถึงตำแหน่ง IP Address ที่อยู่นอก 2 ประเทศนี้ด้วย หรือติดตั้งโปรแกรมรักษาความปลอดภัยที่เลือกไว้ นอกจากนี้มัลแวร์ยังเลือกที่จะไม่ทำงานบนคอมพิวเตอร์ที่ใช้ Username เดียวกับระบบวิเคราะห์มัลแวร์ และใช้การเข้าถึงผ่านชื่อเว็บไซต์หรือ URL แบบสุ่มและตรวจสอบการเชื่อมต่อแทน

แฮกเกอร์กลุ่มนี้ไม่แสดงตัวเท่าไหร่เมื่อเทียบกับกลุ่มแฮกเกอร์อื่นๆที่ทำงานอยู่ในประเทศยูเครน แต่เทคนิคและความสามารถกลับไม่เป็นรอง ด้วยการโจมตีที่ไม่ยุ่งยากแต่มีประสิทธิภาพ วิธีที่จะรับมือการโจมตีแบบนี้ก็คือการอบรมให้ความรู้ความเข้าใจกับผู้ใช้ภายในองค์กร พร้อมกับติดตั้งโปรแกรมรักษาความปลอดภัย

รายละเอียด IoCs และชื่อต่างๆของแผนการนี้อยู่ในรายงาน: Quasar, Sobaken and Vermin: A deeper look into an ongoing espionage campaign

Author: Kaspars Osis
Source:
https://www.welivesecurity.com/2018/07/17/deep-dive-vermin-rathole/
Translated by: Worapon H.

%d bloggers like this: