Cybercrime Malware

Sednit: Zebrocy เกี่ยวข้องอะไรกับ Sednit?

ความเกี่ยวข้องของส่วนประกอบมัลแวร์ Zebrocy และกลุ่มแฮกเกอร์ชื่อดัง Sednit

ในเดือนสิงหาคม 2018 ผู้อยู่เบื้องหลัง Sednit ปล่อยส่วนประกอบ Zebrocy 2 ตัว ต่อมาเราก็เห็นการใช้งาน Zebrocy มากขึ้น โดยมีเป้าหมายเป็นพื้นที่แถบเอเชีย รวมถึงพื้นที่อื่นๆ อย่าง ยุโรปกลางและยุโรปตะวันออก เน้นเป้าหมายเป็นสถานที่สำคัญๆ เช่น สถานทูต กระทรวงต่างประเทศ

กลุ่มแฮกเกอร์ Sednit เริ่มปฏิบัติการมาตั้งแต่ปี 2004 และมีข่าวใหญ่ๆหลายครั้งที่ช่วงปีที่ผ่านมา อย่างการโจมตีคณะกรรมการประชาธิปไตยแห่งชาติ (DNC) ก่อนการเลือกตั้งของสหรัฐฯ ปี 2016 รวมถึงช่องโทรทัศน์ระดับโลกอย่าง TV5Monde องค์กรต่อต้านการใช้สารกระตุ้น (WADA) และอื่นๆ

ในขณะเดียวกันนักวิจัยของ ESET ปล่อยรายละเอียด Lojax รูทคิท UEFI ที่เชื่อว่าเป็นของ Sednit ที่โจมตีองค์กรใน Balkans และยุโรปกลางกับตะวันออก

Zebrocy เป็นชุดของ Downloader, Dropper และ Backdoor ซึ่ง Downloader และ Dropper ทำหน้าที่ค้นหา และ Backdoor จะติดตั้งลงไปเพื่อสอดแนมกิจกรรมของเครื่อง แล้วส่งข้อมูลผ่านเซอร์วิสอีเมล SMTP และ POP3

ที่ผ่านมาเราพบความเกี่ยวข้องกันระหว่าง Zebrocy และมัลแวร์ของ Sednit ยิ่งเราพบ Zebrocy ปล่อย XAgent ซึ่งเป็น backdoor เฉพาะของ Sednit ก็ยิ่งเป็นสิ่งยืนยันได้อย่างชัดเจน

ส่วนประกอบของ Zebrocy เป็น Add-ons ใหม่ในคลังเครื่องมือของ Sednit และมีหลายเหตุการณ์ที่อาจอธิบายการใช้ Zebrocy แทนที่มัลแวร์ของ Sednit

Author: ESET Research
Source:
https://www.welivesecurity.com/2018/11/20/sednit-whats-going-zebrocy/
Translated by: Worapon H.

%d bloggers like this: