นักวิจัยของ ESET อธิบายการทำงานของแผนการล่าสุดของกลุ่มแฮกเกอร์ Sednit
กลุ่มแฮกเกอร์ Sednit หรือที่รู้จักกันในชื่ออื่นๆอย่าง APT28, Fancy Bear, Sofacy หรือ STRONTIUM เริ่มปฏิบัติการตั้งแต่ปี 2004 และมีผลงานออกมาบ่อยในช่วงปีที่ผ่านมา มีเป้าหมายเป็นสถานทูต กระทรวงการต่างประเทศ ในภูมิภาคยุโรปตะวันออกและเอเชียกลาง
แผนการล่าสุดเริ่มต้นด้วย อีเมลปลอม (Phishing) ที่แนบไฟล์อันตรายที่เริ่มดาวน์โหลด จนไปสิ้นสุดที่ backdoor ตัวอย่างอีเมลได้ถูกอัพโหลดขึ้นบน Virustotal และสองวันหลังจากนั้น Telsy TRT ก็ปล่อยภาพรวมออกมา
การแทรกซึมที่ซับซ้อน
ภาพด้านล่างจะเป็นตัวอย่างของขั้นตอนการแทรกซึมเข้าสู่ระบบ จากอีเมลอันตรายที่เข้า Inbox ไปจนถึง backdoor
เมื่อเหยื่อถูกโจมตีด้วย Zebrocy ส่วนประกอบไฟล์อันตรายอย่างน้อย 6 ชิ้น จะถูกดาวน์โหลดลงคอมพิวเตอร์ ก่อนเริ่มทำงาน ซึ่งกิจกรรมเหล่านี้จะทำให้ซอฟต์แวร์ความปลอดภัยตรวจจับได้ง่าย
โดยทาง Sednit ได้พัฒนาตัวดาวน์โหลดและ backdoor ใหม่ และดูเหมือนทาง Sednit จะพอร์ตโค้ดหรือดำเนินการใหม่ในภาษาอื่นๆ เพื่อหลีกเลี่ยงการตรวจจับ แต่อย่างไรก็ตามปัจจัยการแทรกซึมซึ่งก็คืออีเมลปลอมยังไม่เปลี่ยน
Author: ESET Research
Source: https://www.welivesecurity.com/2019/09/24/no-summer-vacations-zebrocy/
Translated by: Worapon H.
Like this:
ถูกใจ กำลังโหลด...
นักวิจัยของ ESET อธิบายการทำงานของแผนการล่าสุดของกลุ่มแฮกเกอร์ Sednit
กลุ่มแฮกเกอร์ Sednit หรือที่รู้จักกันในชื่ออื่นๆอย่าง APT28, Fancy Bear, Sofacy หรือ STRONTIUM เริ่มปฏิบัติการตั้งแต่ปี 2004 และมีผลงานออกมาบ่อยในช่วงปีที่ผ่านมา มีเป้าหมายเป็นสถานทูต กระทรวงการต่างประเทศ ในภูมิภาคยุโรปตะวันออกและเอเชียกลาง
แผนการล่าสุดเริ่มต้นด้วย อีเมลปลอม (Phishing) ที่แนบไฟล์อันตรายที่เริ่มดาวน์โหลด จนไปสิ้นสุดที่ backdoor ตัวอย่างอีเมลได้ถูกอัพโหลดขึ้นบน Virustotal และสองวันหลังจากนั้น Telsy TRT ก็ปล่อยภาพรวมออกมา
การแทรกซึมที่ซับซ้อน
ภาพด้านล่างจะเป็นตัวอย่างของขั้นตอนการแทรกซึมเข้าสู่ระบบ จากอีเมลอันตรายที่เข้า Inbox ไปจนถึง backdoor
เมื่อเหยื่อถูกโจมตีด้วย Zebrocy ส่วนประกอบไฟล์อันตรายอย่างน้อย 6 ชิ้น จะถูกดาวน์โหลดลงคอมพิวเตอร์ ก่อนเริ่มทำงาน ซึ่งกิจกรรมเหล่านี้จะทำให้ซอฟต์แวร์ความปลอดภัยตรวจจับได้ง่าย
โดยทาง Sednit ได้พัฒนาตัวดาวน์โหลดและ backdoor ใหม่ และดูเหมือนทาง Sednit จะพอร์ตโค้ดหรือดำเนินการใหม่ในภาษาอื่นๆ เพื่อหลีกเลี่ยงการตรวจจับ แต่อย่างไรก็ตามปัจจัยการแทรกซึมซึ่งก็คืออีเมลปลอมยังไม่เปลี่ยน
Author: ESET Research
Source: https://www.welivesecurity.com/2019/09/24/no-summer-vacations-zebrocy/
Translated by: Worapon H.
Share this:
Like this: