นักวิจัยของ ESET พบแผนการที่ดำเนินในประเทศแถบบอลข่าน ที่ใช้เครื่องมือ 2 ตัวที่มีความสามารถเดียวกันก็คือ BalkanDoor และ BalkanRAT ที่เป็นทั้ง backdoor และโทรจันรีโมต
BalkanRAT เป็นโทรจันที่ทำให้แฮกเกอร์สามารถควบคุมคอมพิวเตอร์ของเหยื่อผ่านระบบรีโมต ส่วน BalkanDoor จะสามารถสั่งการผ่านคำสั่งเป็นตัวอักษร โดยผลิตภัณฑ์ของ ESET สามารถตรวจจับภัยคุกคามเหล่านี้ได้ในชื่อ Win{32,64}/BalkanRAT และ Win32/BalkanDoor
โดยใช้การแพร่กระจายผ่านอีเมลอันตราย หากผู้ใช้ติดจะทำให้แฮกเกอร์สามารถควบคุมคอมพิวเตอร์ได้ เนื้อหาในอีเมลจะเกี่ยวกับภาษีเพราะเป็นเรื่องที่ทุกคนต้องเจอ พร้อมแนบลิงก์หรือไฟล์จำพวก PDF เป้าหมายหลักของพวกเขาก็คือฝ่ายการเงินในองค์กรแถบบอลข่าน และมีจุดประสงค์เป็นเงิน
แผนการนี้น่าจะดำเนินมาตั้งแต่มกราคม 2016 เป็นอย่างน้อย และจากการศึกษาของเราแผนการดำเนินในพื้นที่แถบ โครเอเชีย เซอร์เบีย มอนเตเนโกร บอสเนียและเฮอร์เซโก
หลากครั้งที่แฮกเกอร์ใช้วิธีการเปลี่ยนชื่อไฟล์ WinRaR และเปลี่ยนชื่อไฟล์ให้เหมือนนามสกุลเป็น .PDF หากผู้ใช้เปิดไฟล์ BalkanRAT หรือ BalkanDoor จะเริ่มทำงาน ซึ่งอาจนำไปสู่การโอนเงินและการหลอกลวงฝ่ายบัญชีได้
สิ่งที่เราพูดอย่างสม่ำเสมอก็คือความรู้ความเข้าใจเกี่ยวกับความปลอดภัยไซเบอร์ ผู้ใช้ควรระมัดระวังลิงก์และไฟล์ที่แนบมาในอีเมล พร้อมอัพเดตซอฟต์แวร์กับระบบปฏิบัติการให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ และเพิ่มความปลอดภัยด้วยโปรแกรมรักษาความปลอดภัย
ชื่อไฟล์
BalkanDoor
Dropper: Zakon.exe
Backdoors: weather.exe, winmihc.exe, Preserve.exe, PreservS.exe, WindowsConnect.exe
Scripts: weather.cmd, winmihc4.cmd, mihcupdate.cmd
Decoy PDF file: Zakon.pdf
BalkanRAT
Droppers: ZPDGI.exe, ZPDGV.exe, ZPDGE.exe, ZPDGO.exe, ZPDGU.exe, ZPDGA.exe, Ponovljeni-Stav.exe, AUG_1031.exe, MIP1023.exe
Configuration file: stg.cfg
Decoy PDF files: ZPDG.pdf, Ponovljeni-Stav.pdf, AUG_1031.pdf, MIP1023.pdf
Core component: winchk32.exe, wininit.exe, hide.exe, winchk64.exe
RDS: rutserv.exe, rfusclient.exe
Userland rootkit: winmmon.dll, winmmon64.dll
GUI hider components: serk.bat, serk.exe
Author: Zuzana Hromcová
Source: https://www.welivesecurity.com/2019/08/14/balkans-businesses-double-barreled-weapon/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
นักวิจัยของ ESET พบแผนการที่ดำเนินในประเทศแถบบอลข่าน ที่ใช้เครื่องมือ 2 ตัวที่มีความสามารถเดียวกันก็คือ BalkanDoor และ BalkanRAT ที่เป็นทั้ง backdoor และโทรจันรีโมต
BalkanRAT เป็นโทรจันที่ทำให้แฮกเกอร์สามารถควบคุมคอมพิวเตอร์ของเหยื่อผ่านระบบรีโมต ส่วน BalkanDoor จะสามารถสั่งการผ่านคำสั่งเป็นตัวอักษร โดยผลิตภัณฑ์ของ ESET สามารถตรวจจับภัยคุกคามเหล่านี้ได้ในชื่อ Win{32,64}/BalkanRAT และ Win32/BalkanDoor
โดยใช้การแพร่กระจายผ่านอีเมลอันตราย หากผู้ใช้ติดจะทำให้แฮกเกอร์สามารถควบคุมคอมพิวเตอร์ได้ เนื้อหาในอีเมลจะเกี่ยวกับภาษีเพราะเป็นเรื่องที่ทุกคนต้องเจอ พร้อมแนบลิงก์หรือไฟล์จำพวก PDF เป้าหมายหลักของพวกเขาก็คือฝ่ายการเงินในองค์กรแถบบอลข่าน และมีจุดประสงค์เป็นเงิน
แผนการนี้น่าจะดำเนินมาตั้งแต่มกราคม 2016 เป็นอย่างน้อย และจากการศึกษาของเราแผนการดำเนินในพื้นที่แถบ โครเอเชีย เซอร์เบีย มอนเตเนโกร บอสเนียและเฮอร์เซโก
หลากครั้งที่แฮกเกอร์ใช้วิธีการเปลี่ยนชื่อไฟล์ WinRaR และเปลี่ยนชื่อไฟล์ให้เหมือนนามสกุลเป็น .PDF หากผู้ใช้เปิดไฟล์ BalkanRAT หรือ BalkanDoor จะเริ่มทำงาน ซึ่งอาจนำไปสู่การโอนเงินและการหลอกลวงฝ่ายบัญชีได้
สิ่งที่เราพูดอย่างสม่ำเสมอก็คือความรู้ความเข้าใจเกี่ยวกับความปลอดภัยไซเบอร์ ผู้ใช้ควรระมัดระวังลิงก์และไฟล์ที่แนบมาในอีเมล พร้อมอัพเดตซอฟต์แวร์กับระบบปฏิบัติการให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ และเพิ่มความปลอดภัยด้วยโปรแกรมรักษาความปลอดภัย
ชื่อไฟล์
BalkanDoor
Dropper: Zakon.exe
Backdoors: weather.exe, winmihc.exe, Preserve.exe, PreservS.exe, WindowsConnect.exe
Scripts: weather.cmd, winmihc4.cmd, mihcupdate.cmd
Decoy PDF file: Zakon.pdf
BalkanRAT
Droppers: ZPDGI.exe, ZPDGV.exe, ZPDGE.exe, ZPDGO.exe, ZPDGU.exe, ZPDGA.exe, Ponovljeni-Stav.exe, AUG_1031.exe, MIP1023.exe
Configuration file: stg.cfg
Decoy PDF files: ZPDG.pdf, Ponovljeni-Stav.pdf, AUG_1031.pdf, MIP1023.pdf
Core component: winchk32.exe, wininit.exe, hide.exe, winchk64.exe
RDS: rutserv.exe, rfusclient.exe
Userland rootkit: winmmon.dll, winmmon64.dll
GUI hider components: serk.bat, serk.exe
Author: Zuzana Hromcová
Source: https://www.welivesecurity.com/2019/08/14/balkans-businesses-double-barreled-weapon/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: