งานวิจัยของ ESET บอกว่าผู้อยู่เบื้องหลัง DanaBot ได้ขยายขอบเขตของมัลแวร์ และเพิ่มความสามารถในการทำงานร่วมกับกลุ่มอาชญากรไซเบอร์อื่น
DanaBot เป็นที่รู้จักในฐานะโทรจันธุรกรรม จากงานวิจัยพบว่ามีการรวบรวมอีเมล และส่งสแปม จากฐานข้อมูลบัญชีของเหยื่อ เพื่อขยายขอบเขตการแพร่กระจายมัลแวร์
นอกจากฟีเจอร์ใหม่แล้ว เรายังพบหลักฐานความร่วมมือกับแฮกเกอร์กลุ่มอื่นผู้อยู่เบื้องหลังมัลแวร์ Gootkit กับโทรจันที่วิเคราะห์จากความสามารถแล้วว่ามาจากกลุ่มอื่น
ส่งสแปมจากกล่องจดหมายของเหยื่อ
จากการวิจัยของเราโค้ด Javascript ที่แฮกเกอร์ใส่ลงไปในหน้าเซอร์วิส Webmail มีฟีเจอร์หลัก 2 รูปแบบ:
DanaBot จะรวบรวมรายชื่อีเมลที่อยู่ในกล่องจดหมาย ด้วยการใส่สคริปท์ลงไปในหน้าเซอร์วิส Webmail และเมื่อเหยื่อล็อคอิน สคริปท์จะเริ่มทำงานและส่งที่อยู่อีเมลไปยังเซิร์ฟเวอร์ C&C ของแฮกเกอร์
ถ้าเซอร์วิส Webmail ของเป้าหมายเป็น Open-Xchange suite อย่างเช่น libero.it ที่นิยมในอิตาลี — DanaBot จะใส่สคริปต์เพื่อส่งสแปมไปยังอีเมลที่รวบรวมมาได้
ซึ่งอีเมลที่ส่งไปจะเป็นการตอบกลับ (Reply) ทำให้ดูเหมือนมาจากเจ้าของอีเมลตัวจริง พร้อมลายเซ็นต์ Digital Signature
ความเกี่ยวข้องของ DanaBot และ GootKit
จากการวิเคราะห์ไฟล์ VBS อันตรายบนเซิร์ฟเวอร์ C&C ของ DanaBot เราพบจุดเชื่อมโยงไปยังโมดูลของ GootKit และโทรจันธุรกรรม
นี่เป็นครั้งแรกที่เราพบว่า DanaBot แพร่กระจายมัลแวร์ตัวอื่นๆ ซึ่งเราเชื่อว่า DanaBot อาจมีผู้อยู่เบื้องหลังเพียงคนเดียว หรือเป็นกลุ่มเฉพาะ แต่สำหรับ GootKit ซึ่งมีเครื่องมือที่ไม่ได้ขายอยู่ตามฟอรั่มใต้ดิน น่าจะมีกลุ่มเป็นของตัวเอง
สรุป
งานวิจัยของเราชี้ให้เห็นว่า DanaBot ครอบคลุมมากกว่าการเป็นแค่โทรจันธุรกรรม และมีการอัพเดตฟีเจอร์ใหม่ๆ ทดลองวิธีการแพร่กระจาย รวมถึงร่วมมือกับกลุ่มอาชญากรไซเบอร์รายอื่นๆ
ผลิตภัณฑ์ของ ESET สามารถตรวจจับและยับยั้งการทำงานของ DanaBot และ GootKit ได้
รายชื่อเซอร์วิส Webmail ที่เป็นเป้าหมายของฟีเจอร์รวบรวมอีเมล
- Any service based on Roundcube
- Any service based on Horde
- Any service based on Open-Xchange
- aruba.it
- bluewin.ch
- email.it
- gmx.net
- libero.it
- mail.yahoo.com
- mail.google.com
- mail.one.com
- outlook.live.com
- tecnocasa.it
- tim.it
- tiscali.it
- vianova.it
เซอร์วิส Webmail ที่เป็นเป้าหมายของฟีเจอร์ส่งสแปม
- Any service based on Open-Xchange
Indicators of Compromise (IoCs)
Domains used by the VBS file to download malware (GootKit at the time of writing)
- job.hitjob[.]it
- vps.hitjob[.]it
- pph.picchio-intl[.]com
- dcc.fllimorettinilegnaegiardini[.]it
- icon.fllimorettinilegnaegiardini[.]it
- team.hitweb[.]it
- latest.hitweb[.]it
- amd.cibariefoodconsulting[.]it
Example domains used by the GootKit downloader module
- vps.cibariefoodconsulting[.]it
- ricci.bikescout24[.]fr
- drk.fm604[.]com
- gtdspr[.]space
- it.sunballast[.]de
Active DanaBot C&C servers (as of December 6, 2018)
- 5.8.55[.]205
- 31.214.157[.]12
- 47.74.130[.]165
- 149.154.157[.]106
- 176.119.1[.]99
- 176.119.1[.]100
- 176.119.1[.]120
- 176.119.1[.]176
- 176.223.133[.]15
- 185.254.121[.]44
- 188.68.208[.]77
- 192.71.249[.]50
Example VBS file from a spam email
|
SHA-1
|
ESET detection name
|
|
A05A71F11D84B75E8D33B06E9E1EBFE84FAE0C76
|
VBS/Kryptik.KY
|
Example of downloaded GootKit
|
SHA-1
|
ESET detection name
|
|
0C2389B3E0A489C8E101FFD0E3E2F00E0C461B31
|
Win32/Kryptik.GNNS
|
Author: ESET Research
Source: https://www.welivesecurity.com/2018/12/06/danabot-evolves-beyond-banking-trojan-new-spam/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
งานวิจัยของ ESET บอกว่าผู้อยู่เบื้องหลัง DanaBot ได้ขยายขอบเขตของมัลแวร์ และเพิ่มความสามารถในการทำงานร่วมกับกลุ่มอาชญากรไซเบอร์อื่น
DanaBot เป็นที่รู้จักในฐานะโทรจันธุรกรรม จากงานวิจัยพบว่ามีการรวบรวมอีเมล และส่งสแปม จากฐานข้อมูลบัญชีของเหยื่อ เพื่อขยายขอบเขตการแพร่กระจายมัลแวร์
นอกจากฟีเจอร์ใหม่แล้ว เรายังพบหลักฐานความร่วมมือกับแฮกเกอร์กลุ่มอื่นผู้อยู่เบื้องหลังมัลแวร์ Gootkit กับโทรจันที่วิเคราะห์จากความสามารถแล้วว่ามาจากกลุ่มอื่น
ส่งสแปมจากกล่องจดหมายของเหยื่อ
จากการวิจัยของเราโค้ด Javascript ที่แฮกเกอร์ใส่ลงไปในหน้าเซอร์วิส Webmail มีฟีเจอร์หลัก 2 รูปแบบ:
DanaBot จะรวบรวมรายชื่อีเมลที่อยู่ในกล่องจดหมาย ด้วยการใส่สคริปท์ลงไปในหน้าเซอร์วิส Webmail และเมื่อเหยื่อล็อคอิน สคริปท์จะเริ่มทำงานและส่งที่อยู่อีเมลไปยังเซิร์ฟเวอร์ C&C ของแฮกเกอร์
ถ้าเซอร์วิส Webmail ของเป้าหมายเป็น Open-Xchange suite อย่างเช่น libero.it ที่นิยมในอิตาลี — DanaBot จะใส่สคริปต์เพื่อส่งสแปมไปยังอีเมลที่รวบรวมมาได้
ซึ่งอีเมลที่ส่งไปจะเป็นการตอบกลับ (Reply) ทำให้ดูเหมือนมาจากเจ้าของอีเมลตัวจริง พร้อมลายเซ็นต์ Digital Signature
ความเกี่ยวข้องของ DanaBot และ GootKit
จากการวิเคราะห์ไฟล์ VBS อันตรายบนเซิร์ฟเวอร์ C&C ของ DanaBot เราพบจุดเชื่อมโยงไปยังโมดูลของ GootKit และโทรจันธุรกรรม
นี่เป็นครั้งแรกที่เราพบว่า DanaBot แพร่กระจายมัลแวร์ตัวอื่นๆ ซึ่งเราเชื่อว่า DanaBot อาจมีผู้อยู่เบื้องหลังเพียงคนเดียว หรือเป็นกลุ่มเฉพาะ แต่สำหรับ GootKit ซึ่งมีเครื่องมือที่ไม่ได้ขายอยู่ตามฟอรั่มใต้ดิน น่าจะมีกลุ่มเป็นของตัวเอง
สรุป
งานวิจัยของเราชี้ให้เห็นว่า DanaBot ครอบคลุมมากกว่าการเป็นแค่โทรจันธุรกรรม และมีการอัพเดตฟีเจอร์ใหม่ๆ ทดลองวิธีการแพร่กระจาย รวมถึงร่วมมือกับกลุ่มอาชญากรไซเบอร์รายอื่นๆ
ผลิตภัณฑ์ของ ESET สามารถตรวจจับและยับยั้งการทำงานของ DanaBot และ GootKit ได้
รายชื่อเซอร์วิส Webmail ที่เป็นเป้าหมายของฟีเจอร์รวบรวมอีเมล
เซอร์วิส Webmail ที่เป็นเป้าหมายของฟีเจอร์ส่งสแปม
Indicators of Compromise (IoCs)
Domains used by the VBS file to download malware (GootKit at the time of writing)
Example domains used by the GootKit downloader module
Active DanaBot C&C servers (as of December 6, 2018)
Example VBS file from a spam email
Example of downloaded GootKit
Author: ESET Research
Source: https://www.welivesecurity.com/2018/12/06/danabot-evolves-beyond-banking-trojan-new-spam/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: