Cybersecurity Malware

TeleBots Backdoor: หลักฐานความเกี่ยวข้องระหว่าง Industroyer และ NotPetya

ความเกี่ยวข้องระหว่างมัลแวร์ Industroyer กับ NotPetya และกลุ่มแฮกเกอร์ TeleBots

ESET วิเคราะห์ backdoor ล่าสุดที่ถูกใช้โดย TeleBots กลุ่มแฮกเกอร์ที่อยู่เบื้องหลังการแพร่กระจายโปรแกรมเรียกค่าไถ่ NotPetya ก่อนที่จะทราบในภายหลังว่าโค้ดนั้นมีหน้าตาคล้ายกับมัลแวร์โจมตีโรงงานอุตสาหกรรม Industroyer

ซึ่งดูเหมือนว่ามัลแวร์ที่สร้างความเสียหายให้กับโรงไฟฟ้าในประเทศยูเครนมาสองปีติดต่อกัน กับโปรแกรมเรียกค่าไถ่ NotPetya นั้นมีความเกี่ยวข้องกันบางอย่าง

เริ่มจากมัลแวร์ที่ทำให้เกิดเหตุการณ์ไฟฟ้าดับหรือ Blackout ในเดือนธันวาคม 2015 โดยใช้ชื่อว่า BlackEnergy นักวิจัยความปลอดภัยของ ESET ได้ติดตามพฤติกรรมของกลุ่มแฮกเกอร์ APT ที่ใช้ BlackEnergy ซึ่งภายหลังถูกตั้งชื่อใหม่ว่า TeleBots

โดยเราโยงความเกี่ยวข้องจากข้อมูลเชิงเทคนิคอย่าง โค้ด โครงสร้าง C&C การทำงานของมัลแวร์ และอื่นๆ เราเลือกที่จะไม่วิเคราะห์จากผู้เขียนโค้ด ดังนั้นเราจึงศึกษาค้นคว้าจากเอกสารเกี่ยวกับการโจมตีด้วยมัลแวร์ BlackEnergy ในหลายเป้าหมาย ต่อมาในเดือนมิถุนายน 2017 องค์กรใหญ่ๆหลายองค์กรทั่วโลกถูกโจมตีด้วยโปรแกรมเรียกค่าไถ่ Dishcoder.C หรือ Petya และ NotPetya ซึ่งเราพบว่าองค์กรที่เคยถูกเล่นงานโดย backdoor ของ TeleBots นั้นเป็นเป้าหมายอันดับต้นๆ ส่งผลให้ท้ายที่สุดซอฟต์แวร์ทางการเงิน M.E.Doc ถูกแฮก

ในเดือนเมษายน ปี 2018 เราพบกิจกรรมใหม่จากกลุ่ม TeleBots กับแผนแพร่กระจาย backdoor ใหม่ ที่ซอฟต์แวร์ของ ESET สามารถตรวจจับได้ในชื่อ Win32/Exaramel ซึ่งจากการวิเคราะห์แล้วนี่ดูเหมือนเวอร์ชั่นที่พัฒนาแล้วของ Industroyer

การมาของ Exaramel เป็นตัวชี้ว่ากลุ่ม TeleBots ยังคงทำงานอยู่ และยังคงมีการพัฒนาเครื่องมือและเทคนิคอย่างต่อเนื่อง เช่นเดียวกับที่ ESET ยังคงตรวจสอบกิจกรรมของกลุ่มแฮกเกอร์นี้ต่อไป

Author: Anton Cherepanov และ Robert Lipovsky
Source:
https://www.welivesecurity.com/2018/10/11/new-telebots-backdoor-linking-industroyer-notpetya/
Translated by: Worapon H.

%d bloggers like this: