Malware

ธุรกิจประเทศแถบบอลข่าน (Balkans) กำลังถูกโจมตีไซเบอร์อย่างต่อเนื่อง

แผนการแพร่กระจายมัลแวร์แถบบอลข่าน (Balkans) โดยใช้เครื่องมือสองตัวพร้อมกัน

นักวิจัยของ ESET พบแผนการที่ดำเนินในประเทศแถบบอลข่าน ที่ใช้เครื่องมือ 2 ตัวที่มีความสามารถเดียวกันก็คือ BalkanDoor และ BalkanRAT ที่เป็นทั้ง backdoor และโทรจันรีโมต

BalkanRAT เป็นโทรจันที่ทำให้แฮกเกอร์สามารถควบคุมคอมพิวเตอร์ของเหยื่อผ่านระบบรีโมต ส่วน BalkanDoor จะสามารถสั่งการผ่านคำสั่งเป็นตัวอักษร โดยผลิตภัณฑ์ของ ESET สามารถตรวจจับภัยคุกคามเหล่านี้ได้ในชื่อ Win{32,64}/BalkanRAT และ Win32/BalkanDoor

โดยใช้การแพร่กระจายผ่านอีเมลอันตราย หากผู้ใช้ติดจะทำให้แฮกเกอร์สามารถควบคุมคอมพิวเตอร์ได้ เนื้อหาในอีเมลจะเกี่ยวกับภาษีเพราะเป็นเรื่องที่ทุกคนต้องเจอ พร้อมแนบลิงก์หรือไฟล์จำพวก PDF เป้าหมายหลักของพวกเขาก็คือฝ่ายการเงินในองค์กรแถบบอลข่าน และมีจุดประสงค์เป็นเงิน

แผนการนี้น่าจะดำเนินมาตั้งแต่มกราคม 2016 เป็นอย่างน้อย และจากการศึกษาของเราแผนการดำเนินในพื้นที่แถบ โครเอเชีย เซอร์เบีย มอนเตเนโกร บอสเนียและเฮอร์เซโก

หลากครั้งที่แฮกเกอร์ใช้วิธีการเปลี่ยนชื่อไฟล์ WinRaR และเปลี่ยนชื่อไฟล์ให้เหมือนนามสกุลเป็น .PDF หากผู้ใช้เปิดไฟล์ BalkanRAT หรือ BalkanDoor จะเริ่มทำงาน ซึ่งอาจนำไปสู่การโอนเงินและการหลอกลวงฝ่ายบัญชีได้

สิ่งที่เราพูดอย่างสม่ำเสมอก็คือความรู้ความเข้าใจเกี่ยวกับความปลอดภัยไซเบอร์ ผู้ใช้ควรระมัดระวังลิงก์และไฟล์ที่แนบมาในอีเมล พร้อมอัพเดตซอฟต์แวร์กับระบบปฏิบัติการให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ และเพิ่มความปลอดภัยด้วยโปรแกรมรักษาความปลอดภัย

ชื่อไฟล์

BalkanDoor

Dropper: Zakon.exe
Backdoors: weather.exe, winmihc.exe, Preserve.exe, PreservS.exe, WindowsConnect.exe
Scripts: weather.cmd, winmihc4.cmd, mihcupdate.cmd
Decoy PDF file: Zakon.pdf

BalkanRAT

Droppers: ZPDGI.exe, ZPDGV.exe, ZPDGE.exe, ZPDGO.exe, ZPDGU.exe, ZPDGA.exe, Ponovljeni-Stav.exe, AUG_1031.exe, MIP1023.exe
Configuration file: stg.cfg
Decoy PDF files: ZPDG.pdf, Ponovljeni-Stav.pdf, AUG_1031.pdf, MIP1023.pdf
Core component: winchk32.exe, wininit.exe, hide.exe, winchk64.exe
RDS: rutserv.exe, rfusclient.exe
Userland rootkit: winmmon.dll, winmmon64.dll
GUI hider components: serk.bat, serk.exe

Author: Zuzana Hromcová
Source:
https://www.welivesecurity.com/2019/08/14/balkans-businesses-double-barreled-weapon/
Translated by: Worapon H.

%d bloggers like this: