วันมีวันหยุดสำหรับ Zebrocy ชุดเครื่องมือใหม่

นักวิจัยของ ESET อธิบายการทำงานของแผนการล่าสุดของกลุ่มแฮกเกอร์ Sednit

กลุ่มแฮกเกอร์ Sednit หรือที่รู้จักกันในชื่ออื่นๆอย่าง APT28, Fancy Bear, Sofacy หรือ STRONTIUM เริ่มปฏิบัติการตั้งแต่ปี 2004 และมีผลงานออกมาบ่อยในช่วงปีที่ผ่านมา มีเป้าหมายเป็นสถานทูต กระทรวงการต่างประเทศ ในภูมิภาคยุโรปตะวันออกและเอเชียกลาง

แผนการล่าสุดเริ่มต้นด้วย อีเมลปลอม (Phishing) ที่แนบไฟล์อันตรายที่เริ่มดาวน์โหลด จนไปสิ้นสุดที่ backdoor ตัวอย่างอีเมลได้ถูกอัพโหลดขึ้นบน Virustotal และสองวันหลังจากนั้น Telsy TRT ก็ปล่อยภาพรวมออกมา

การแทรกซึมที่ซับซ้อน

ภาพด้านล่างจะเป็นตัวอย่างของขั้นตอนการแทรกซึมเข้าสู่ระบบ จากอีเมลอันตรายที่เข้า Inbox ไปจนถึง backdoor

เมื่อเหยื่อถูกโจมตีด้วย Zebrocy ส่วนประกอบไฟล์อันตรายอย่างน้อย 6 ชิ้น จะถูกดาวน์โหลดลงคอมพิวเตอร์ ก่อนเริ่มทำงาน ซึ่งกิจกรรมเหล่านี้จะทำให้ซอฟต์แวร์ความปลอดภัยตรวจจับได้ง่าย

โดยทาง Sednit ได้พัฒนาตัวดาวน์โหลดและ backdoor ใหม่ และดูเหมือนทาง Sednit จะพอร์ตโค้ดหรือดำเนินการใหม่ในภาษาอื่นๆ เพื่อหลีกเลี่ยงการตรวจจับ แต่อย่างไรก็ตามปัจจัยการแทรกซึมซึ่งก็คืออีเมลปลอมยังไม่เปลี่ยน

Author: ESET Research
Source: https://www.welivesecurity.com/2019/09/24/no-summer-vacations-zebrocy/
Translated by: Worapon H.