Cybercrime Malware

Operation Spalax: การโจมตีด้วยมัลแวร์ในโคลัมเบีย

นักวิจัยของ ESET เปิดเผยการโจมตีหน่วยงานรัฐบาลและเอกชนในโคลัมเบีย

ในปี 2020 เราพบการโจมตีหลายครั้งในโคลัมเบีย โดยมีเป้าหมายหลักเป็นหน่วยงานรัฐบาลและเอกชน ในภาคพลังงานและงานโลหะ อาชญากรไซเบอร์ใช้ RAT (Remote Access Trojan) เพื่อสอดแนมเป้าหมาย

พวกเขามีโครงสร้างเครือข่ายที่ค่อนข้างใหญ่ เนื่องจากมี IP Address อย่างน้อย 24 IP และอาจมีคอมพิวเตอร์ที่แทรกซึมไว้เพื่อเป็น Proxy ของเซิร์ฟเวอร์ C&C ป้องกันการสืบย้อนกลับไป

นักวิจัยของ QiAnXin เปิดเผยกิจกรรมของกลุ่มแฮกเกอร์ที่คาดว่าน่าจะดำเนินการมาตั้งแต่เดือน เมษายน 2018 ซึ่งตรงกับข้อมูลที่เราพบ:

  • เราพบตัวอย่างอันตราย รวมถึง IoC ที่ตรงกับทาง QiAnXin และตัวอย่างใหม่ในหน่วยงานของรัฐ
  • อีเมลปลอม (Phishing) ถูกส่งจาก IP เดียวกัน
  • เนื้อหาของอีเมลปลอมมีความใกล้เคียงกัน อ้างหน่วยงานชื่อเดียวกัน Office of the Attorney General (Fiscalia General de la Nacion) หรือ the National Directorate of Taxes และ Customs (DIAN)
  • เซิร์ฟเวอร์ C&C บางตัวใน Operation Spalax ใช้ซับโดเมน linkpc.net และ publicvm.com ร่วมกับ IP Address ของ Powerhouse Management เหมือนกับแผนการก่อนหน้า

การโจมตีของแฮกเกอร์กลุ่มใช้ช่องทางอีเมล โดยพวกเขาแนบไฟล์อันตรายเป็น PDF เข้ามา ซึ่งมีลิงก์สำหรับดาวน์โหลดและเริ่มทำงานมัลแวร์ ไฟล์ที่ดาวน์โหลดมาจะเป็นในรูปแบบของ RAR หรือไฟล์บีบอัด เพื่อซ่อนไฟล์ .exe ที่อันตรายเอาไว้จากการสแกน

ส่วนเนื้อหาของอีเมลปลอมจะมีหลายรูปแบบเพื่อหลอกล่อให้ผู้ใช้เปิดไฟล์ที่แนบมา

  • การแจ้งเตือนเกี่ยวกับการละเมิดกฎการขับขี่
  • แจ้งเตือนให้ทำการตรวจ COVID-19 ภาคบังคับ
  • การแจ้งความจำนงเข้าฟังคำพิพากษา
  • การเปิดสอบสวนผู้รับใช้เงินสาธารณะในทางที่ผิด
  • การแจ้งการห้ามส่งสินค้าทางบัญชีธนาคาร

ต่อไปจะเป็นตัวอย่างอีเมลค่าปรับจำนวน 250 เหรียญข้อหาละเมิดกฎหมายขับขี่ ซึ่งในอีเมลจะบอกว่าพวกเขาแนบไฟล์รูปภาพการฝ่าฝืน และข้อมูลวันเวลา หากเราเปรียบเทียบจะพบว่าอีเมลของพวกเขากับอีเมลจาก SIMIT (ช่องทางชำระเงินค่าปรับ) ของโคลัมเบียมาก

ไฟล์ PDF ดังกล่าวมีลิงก์แนบไฟล์ในเพื่อให้ดาวน์โหลด หากกดดาวน์โหลดระบบจะดาวน์โหลดไฟล์ .rar และมีไฟล์ .exe อันตรายอยู่ภายใน

สำหรับรายละเอียด Indicators of Compromise (IoCs) และตัวอย่างสามารถค้นหาได้ที่ GitHub

Author: Matías Porolli
Source: https://www.welivesecurity.com/2021/01/12/operation-spalax-targeted-malware-attacks-colombia/
Translated by: Worapon H.

%d bloggers like this: