Cybercrime Malware

Turla: เทคนิคเฉพาะสำหรับเจาะ Microsoft Outlook เพื่อขโมยข้อมูล

กลุ่มแฮกเกอร์ Turla กับการแทรกซึมผู้ใช้ Microsoft Outlook อย่างชาญฉลาด

งานวิจัยล่าสุดของ ESET เปิดเผยกระบวนการของกลุ่มแฮกเกอร์ที่ใช้ไฟล์ PDF ที่แนบมาในอีเมลเป็นเครื่องมือในการโจมตีผู้ใช้งาน Outlook

นักวิจัยของ ESET วิเคราะห์ backdoor ของกลุ่ม Turla (หรือ Snake และ Oroburos) ที่ใช้ Advanced Persistent Threat (APT) หรือภัยคุกคามขั้นสูง เพื่อขโมยข้อมูลและการติดต่อสื่อสารที่สำคัญในประเทศแถบยุโรปมานานหลายปี

ตัวอย่างขององค์กรที่ตกเป็นเป้าหมายได้แก่ สำนักงานต่างประเทศของเยอรมนี ที่ถูก Turla ฝัง backdoor ในคอมพิวเตอร์หลายเครื่องและซ่อนตัว เพื่อขโมยข้อมูลตลอดระยะเวลาเกือบทั้งปี 2017 ซึ่งในตอนแรก Turla ได้แทรกซึมเข้าสู่เครือข่ายของ Federal College of Public Administration เพื่อเป็นบันไดเข้าสู่สำนักงานต่างประเทศในช่วงเดือน มีนาคม 2017 และประกาศอย่างเป็นทางการในเดือนมีนาคม 2018

จากการตรวจสอบเพิ่มเติมพบว่า Turla ไม่ได้หยุดอยู่แค่นี้ พวกเขาได้ใช้ช่องทางที่พวกเขามีเพื่อเชื่อมไปยังอีกสองประเทศในยุโรป ซึ่งนับเป็นจำนวนเหยื่อเพิ่มเติมของ APT ตั้งแต่ปี 2008

Backdoor

จากการวิเคราะห์คาดว่า backdoor ตัวนี้ถูกสร้างขึ้นมาในช่วงปี 2009 และได้รับการดัดแปลงเพิ่มฟังก์ชั่นต่างๆ รวมถึงความสามารถในการหลีกเลี่ยงการตรวจจับ ล่าสุดที่พบในช่วงเดือน เมษายน 2018 backdoor สามารถออกคำสั่ง PowerShell โดยตรงในหน่วยความจำของคอมพิวเตอร์ได้

โดย backdoor ตัวนี้มีเป้าหมายเป็น Microsoft Outlook โดยเฉพาะ Email Client ที่ชื่อว่า The Bat! ที่ใช้กันมากที่สุดในโซนยุโรปตะวันออก และที่พิเศษก็คือ Turla ไม่ได้ใช้ช่องโหว่ในไฟล์ PDF หรือ Microsoft Outlook เป็นช่องทางในการโจมตี แค่ใช้ Messaging Application Programming Interface (MAPI) ของ Microsoft Outlook เพื่อเข้าถึงกล่องอีเมลแทน

backdoor มาในรูปแบบของ Dynamic Link Library (DLL) และสามารถวางอยู่ที่ไหนในฮาร์ดไดร์ฟได้ และติดตั้งด้วย RegSvr32.exe ของ Windows ซึ่งเมื่อไหร่ก็ตามที่เหยื่อส่งข้อความหรืออีเมล มัลแวร์จะบันทึกข้อมูลเป็น Metadata และจะถูกส่งกลับไปให้ Turla

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ backdoor ของ Turla สามารถอ่านรายงานฉบับเต็มได้ที่ Turla Outlook Backdoor: Analysis of an unusual Turla backdoor 

Author: Tomáš Foltýn
Source:
https://www.welivesecurity.com/2018/08/22/turla-unique-outlook-backdoor/
Translated by: Worapon H.

%d bloggers like this: