Uncategories

Zebrocy Land: แฮกเกอร์ทำอะไรหลังจากปล่อย backdoor ได้บ้าง

backdoor เครื่องมือของแฮกเกอร์กลุ่ม Sednit ในการรวบรวมข้อมูลจากเหยื่อ

Zebrocy Delphi เครื่องมือ Backdoor ยอดนิยมของกลุ่มแฮกเกอร์ Sednit จะเกิดอะไรขึ้นเมื่อโดนเล่นงานโดย backdoor และถูกควบคุมโดยแฮกเกอร์?

คำถามนี้จึงเป็นที่ตอบยากเพราะว่าผมคงไม่อาจอธิบายการย้อนสถาปัตยกรรม (Reverse Engineering) ทั้งหมดได้ แต่ในบทความนี้จะเป็นการความรู้ว่าแฮกเกอร์ออกคำสั่งมาแบบใด เพื่ออะไร

กลุ่มแฮกเกอร์ Sednit หรือในชื่ออื่นๆอย่าง APT28, Fancy Bear, Sofacy หรือ STRONTIUM เริ่มปฏิบัติการมาตั้งแต่ปี 2004 และสร้างผลงานมามากในช่วงที่ผ่านมา

สามปีก่อนหน้านี้กลุ่ม Sednit ได้ออกแบบการโจมตีเป้าหมายในหลายประเทศในตัวออกกลางและเอเชียตอนกลาง ซึ่งหลังจากนั้นก็มีส่วนประกอบใหม่ๆออกมาเรื่อยๆ นักวิจัยของ ESET และองค์กรพันธมิตรในหลายประเทศก็ได้ศึกษาส่วนประกอบ

Zebrocy Delphi Backdoor

ท้ายปี 2018 ทางกลุ่ม Sednit ได้เริ่มแผนการอีเมลปลอมหรือ Spear Phishing เพื่อแพร่กระจายมัลแวร์ผ่าน Shortened URLs ซึ่งเบื้องหลังไฟล์นี้เป็นส่วนประกอบของ Zebrocy ขั้นแรก ในภาพจะเห็นว่าตัว URL ดังกล่าวถูกคลิกกี่ครั้ง

ข้อมูลการตรวจจับของ ESET พบเป็น URL จึงไม่มีตัวอย่างของอีเมล ดังนั้นเราจึงไม่ทราบว่าพวกเขาใช้อีเมลแบบไหน ในไฟล์ดังกล่าวประกอบไปด้วยไฟล์ 2 ไฟล์ เป็น .exe และ .pdf

ไฟล์ภายใน .zip (แปลด้วย Google Translate “CATALOGUE — (2018).exe” และ “Order 97.pdf” จากภาษายูเครน)

หากเปิดไฟล์ .exe จะเปิด Password Prompt Dialog Box และไม่สามารถกรอกรหัสผ่านได้ซึ่งเป็นเหมือนนกต่อ เพราะหลังจากนั้นไฟล์ PDF จะเริ่มทำงานซึ่งเป็นเอกสารเปล่า แต่มีตัว Downloader ทำงานอยู่เบื้องหลัง

กระบวนการแรกสำเร็จก็ต่อเมื่อตัว Downloader สามารถดาวน์โหลดไฟล์ backdoor ลงมาได้ ซึ่ง backdoor ตัวนี้ก็จะเข้าควบคุมอุปกรณ์และออกคำสั่ง

คำสั่งที่แฮกเกอร์สามารถสั่งผ่าน Delphi backdoor

  • ถ่ายภาพหน้าจอ (Screenshot)
  • ส่งข้อมูลระบบ (System Information)
  • ส่งข้อมูลการเชื่อมต่อ (Get Network)
  • สแกนเครื่อง (Scan All)

หลังจากการสั่งคำสั่งซึ่งจะดูเหมือนการเก็บข้อมูล เพื่อนำไปใช้ในแผนการต่อๆไป แฮกเกอร์จะถอนมัลแวร์ออกและออกจากเครื่องไป คาดว่าแผนการนี้เป็กการรวบรวมข้อมูล และอีกประเด็นก็คือไม่ให้นักวิจัยความปลอดภัยได้ตัวอย่างมาศึกษา

Author: ESET Research
Source:
https://www.welivesecurity.com/2019/05/22/journey-zebrocy-land/
Translated by: Worapon H.

%d bloggers like this: