Cybersecurity News Windows

กลุ่มแฮกเกอร์ Buhtrap ใช้ช่องโหว่ Zero-Day

ตัวอย่างแผนการของกลุ่มแฮกเกอร์ที่ใช้โจมตีผู้ใช้บริการสถาบันการเงินและหน่วยงานของรัฐบาล

นักวิจัยของ ESET พบกลุ่มแฮกเกอร์ชื่อดังที่เชี่ยวชาญการจารกรรมออนไลน์มากว่า 5 ปี

เดิมทีกลุ่มแฮกเกอร์ Buhtrap มีเป้าหมายเป็นสถาบันทางการเงินและธุรกิจในประเทศรัสเซีย ตั้งแต่ช่วงปลายปี 2015 เราพบการเปลี่ยนแปลงของกลุ่มเป้าหมายจากกลุ่มอาชญากรไซเบอร์ที่ใช้เครื่องมือและมัลแวร์เพื่อหาเงิน กลายเป็นกลุ่มจากรรมไซเบอร์ในยุโรปตะวันออกและเอเชียกลาง

จากการติดตามที่ผ่านมาเราเพิ่งเห็นกลุ่ม Buhtrap ใช้ช่องโหว่ Zero-Day เป็นครั้งแรก โดยพวกเขาใช้ช่องโหว่ CVE-2019-1132 เพื่อโจมตีเป้าหมาย

จากไทม์ไลน์ในภาพด้านล่างเป็ยการพัฒนากิจกรรมของกลุ่มแฮกเกอร์ Buhtrap

การบอกว่าแผนการไหนเป็นของแฮกเกอร์กลุ่มไหนเป็นเรื่องยากเสมอ เพราะพวกเขาใช้เครื่องมือที่หาได้บนอินเตอร์เน็ต แต่อย่างไรก็ตามการเปลี่ยนเป้าหมายที่เกิดขึ้นก่อนโค้ดหลุดออกมา ทำให้เรามั่นใจได้ว่า Buhtrap มีเป้าหมายเป็นธุรกิจและสถาบันการาเงิน รวมถึงหน่วยงานรัฐบาลด้วย

การโจมตี

Buhtrap ใช้อีเมลที่แนบไฟล์อันตรายและหลอกล่อให้ทางผู้ใช้เปิด เมื่อพวกเขาโจมตีธุรกิจ พวกเขาจะใช้เอกสารเป็นสัญญาหรือ Invoice อย่างที่เห็นในภาพด้านล่าง เพื่อหลอกให้ผู้ที่ได้รับอีเมลเปิด

อีกกรณีคือสถาบันการเงิน เอกสารจะเปลี่ยนไปเป็นเอกสารเกี่ยวกับกฎหมายหรือคำแนะนำจาก FinCERT องค์กรของรัฐบาลที่ตั้งขึ้นมาเพื่อให้ความช่วยเหลือสถาบันทางการเงิน

เมื่อเราพบเอกสารที่เกี่ยวกับการทำงานของรัฐบาลพบว่า มีแผนการอื่นอีก เช่น เอกสารหลอกให้ดาวน์โหลดและติดตั้ง NSIS เพื่อฝัง backdoor ของ Buhtrap ลงไป

ลิงก์ตัวอักษรสีน้ำเงินมีความใกล้เคียงกับเว็บไซต์ State Migration Service ของยูเครน dmsu.gov.ua เนื้อหาของพวกเขาบอกว่าให้พนักงานส่งข้อมูลส่วนตัว โดยเฉพาะอีเมล

อีกตัวอย่างหนึ่งก็เป็นเอกสารจากหน่วยงานรัฐบาลที่ทำปลอมขึ้นมา

Author: Jean-Ian Boutin
Source: https://www.welivesecurity.com/2019/07/11/buhtrap-zero-day-espionage-campaigns/
Translated by: Worapon H.

%d bloggers like this: