Cybersecurity Malware

Okrum: กลุ่มแฮกเกอร์ Ke3chang โจมตีระบบการทูต

ความเกี่ยวข้องปละปฏิบัติการของกลุ่ม Ke3chang และมัลแวร์ Okrum ที่โจมตีสถานทูตในยุโรป

ESET ติดตามกลุ่มแฮกเกอร์ Ke3chang APT และพบมัลแวร์เวอร์ชั่นใหม่

ติดตามข้อมูลเต็มๆได้ที่ “Okrum and Ketrican: An overview of recent Ke3chang group activity

กลุ่มแฮกเกอร์ Ke3chang หรือ APT15 เป็นกลุ่มแฮกเกอร์ที่เคลื่อนไหวนอกประเทศจีน ตั้งแต่ปี 2010 หรือก่อนหน้า และมีเป้าหมายเป็นองค์กรทางการทูต เราพบภารกิจของพวกเขามีเป้าหมายในประเทศ สโลวาเกีย เบลเยี่ยม ชิลี กัวเตมาลาและบราซิล

เรามีรายชื่อปฏิบัติการของพวกเขาตลอดปี 2015-2019 ในผลิตภัณฑ์ของ ESET ตรวจจับได้ในชื่อ Win32/Ketrican รวมถึง backdoors/samples

ไทม์ไลน์ตรวจสอบ

2015: Ketrican

ในปี 2015 เราพบกิจกรรมต้องสงสัยในภูมิภาคยุโรป และพบตัวอย่างมัลแวร์ในประเทศ โคเอเชีย เช็ก และประเทศโดยรอบ

การวิเคราะห์เชิงเทคนิคมีความใกล้เคียงกับ BS2005 backdoor จาก Operation Ke3chang และมัลแวร์ TidePool

2016-2017: Okrum

ต่อเนื่องไปถึงปี 2016 เราพบ backdoor ปริศนา Okrum ที่มีเป้าหมายหลักเป็นสโลวาเกีย เหมือนกันกับ backdoor Ketrican ในปี 2015

2017: Ketrican และ RotalDNS

เราพบความเกี่ยวข้องของ backdoor Okrum และ backdoor Ketrican และคาดว่ามาจากที่เดียวกัน นอกจากนี้ยังพบเวอร์ชั่นใหม่ของมัลแวร์ RoyalDNS และ backdoor Ketrican 2017

2018-2019: Ketrican

ในปี 2018 เราพบเวอร์ชั่นใหม่ที่มีการอัพเดตฟีเจอร์และการพัฒนาโค้ด ในปี 2019 เราะบตัวอย่าง Ketrican ที่พัฒนามาจาก backdoor Ketrican 2018 และมีเป้าหมายเดียวกัน

ไทม์ไลน์ด้านล่่างจะแสดงให้เห็นการโจมตีของแฮกเกอร์และเครื่องมือกับกิจกรรมของ Okrum

จากการวิเคราะห์ของเราค่อนข้างแน่ใจว่า Okrum และกลุ่ม Ke3chang มีความเกี่ยวข้องกัน และยังคงปฏิบัติการอยู่

ติดตามรายละเอียดทั้งหมดได้ที่เอกสาร “Okrum and Ketrican: An overview of recent Ke3chang group activity

Author: Zuzana Hromcová
Source: https://www.welivesecurity.com/2019/07/18/okrum-ke3chang-targets-diplomatic-missions/
Translated by: Worapon H.

%d bloggers like this: