Malware

กลุ่มแฮกเกอร์ Turla หรือ Snake กับมัลแวร์ที่ทำงานในหน่วยความจำ (Memory)

มัลแวร์ที่สามารถโหลดและทำงานในหน่วยความจำ (Memory) โดยไม่ต้องลงไปในไดร์ฟ

นักวิจ้ยความปลอดภัยของ ESET วิเคราะห์คุณลักษณะใหม่ของ TTPs ที่กลุ่มแฮกเกอร์ Turla ใช้ PowerShell ในการทำงานมัลแวร์ในหน่วยความจำ

กลุ่มแฮกเกอร์ Turla หรือ Snake เป็นกลุ่มแฮกเกอร์ที่มีชื่อเสียงในการใช้งานมัลแวร์ที่ซับซ้อน เพื่อหลีกเลี่ยงการตรวจจับพวกเขาใช้สคริปต์ PowerShell ในการโหลดและทำงานมัลแวร์ในหน่วยความจำ

เชื่อว่ากลุ่ม Turla นั้นเริ่มปฏิบัติการมาตั้งแต่ปี 2008 และเคยเจาะระบบทหารของสหรัฐฯ และในเร็วๆมานี้ก็ได้โจมตีสำนักงานต่างประเทศในเยอรมนี และฝ่ายทหารของฝรั่งเศส

เป้าหมายของ Turla มักมีความเกี่ยวข้องกับทางการทูตในยุโรปตะวันออก ตะวันตก และตะวันออกกลาง จากที่สังเกตุ่านโค้ดที่มีความใกล้เคียงกัน โดยใช้เทคนิคที่ดัดแปลงมาสำหรับเป้าหมายโดยเฉพาะ

Author: Matthieu Faou และ Romain Dumont
Source:
https://www.welivesecurity.com/2019/05/29/turla-powershell-usage/
Translated by: Worapon H.

%d bloggers like this: