ในปี 2020 เราพบการโจมตีหลายครั้งในโคลัมเบีย โดยมีเป้าหมายหลักเป็นหน่วยงานรัฐบาลและเอกชน ในภาคพลังงานและงานโลหะ อาชญากรไซเบอร์ใช้ RAT (Remote Access Trojan) เพื่อสอดแนมเป้าหมาย
พวกเขามีโครงสร้างเครือข่ายที่ค่อนข้างใหญ่ เนื่องจากมี IP Address อย่างน้อย 24 IP และอาจมีคอมพิวเตอร์ที่แทรกซึมไว้เพื่อเป็น Proxy ของเซิร์ฟเวอร์ C&C ป้องกันการสืบย้อนกลับไป
นักวิจัยของ QiAnXin เปิดเผยกิจกรรมของกลุ่มแฮกเกอร์ที่คาดว่าน่าจะดำเนินการมาตั้งแต่เดือน เมษายน 2018 ซึ่งตรงกับข้อมูลที่เราพบ:
- เราพบตัวอย่างอันตราย รวมถึง IoC ที่ตรงกับทาง QiAnXin และตัวอย่างใหม่ในหน่วยงานของรัฐ
- อีเมลปลอม (Phishing) ถูกส่งจาก IP เดียวกัน
- เนื้อหาของอีเมลปลอมมีความใกล้เคียงกัน อ้างหน่วยงานชื่อเดียวกัน Office of the Attorney General (Fiscalia General de la Nacion) หรือ the National Directorate of Taxes และ Customs (DIAN)
- เซิร์ฟเวอร์ C&C บางตัวใน Operation Spalax ใช้ซับโดเมน linkpc.net และ publicvm.com ร่วมกับ IP Address ของ Powerhouse Management เหมือนกับแผนการก่อนหน้า
การโจมตีของแฮกเกอร์กลุ่มใช้ช่องทางอีเมล โดยพวกเขาแนบไฟล์อันตรายเป็น PDF เข้ามา ซึ่งมีลิงก์สำหรับดาวน์โหลดและเริ่มทำงานมัลแวร์ ไฟล์ที่ดาวน์โหลดมาจะเป็นในรูปแบบของ RAR หรือไฟล์บีบอัด เพื่อซ่อนไฟล์ .exe ที่อันตรายเอาไว้จากการสแกน
ส่วนเนื้อหาของอีเมลปลอมจะมีหลายรูปแบบเพื่อหลอกล่อให้ผู้ใช้เปิดไฟล์ที่แนบมา
- การแจ้งเตือนเกี่ยวกับการละเมิดกฎการขับขี่
- แจ้งเตือนให้ทำการตรวจ COVID-19 ภาคบังคับ
- การแจ้งความจำนงเข้าฟังคำพิพากษา
- การเปิดสอบสวนผู้รับใช้เงินสาธารณะในทางที่ผิด
- การแจ้งการห้ามส่งสินค้าทางบัญชีธนาคาร
ต่อไปจะเป็นตัวอย่างอีเมลค่าปรับจำนวน 250 เหรียญข้อหาละเมิดกฎหมายขับขี่ ซึ่งในอีเมลจะบอกว่าพวกเขาแนบไฟล์รูปภาพการฝ่าฝืน และข้อมูลวันเวลา หากเราเปรียบเทียบจะพบว่าอีเมลของพวกเขากับอีเมลจาก SIMIT (ช่องทางชำระเงินค่าปรับ) ของโคลัมเบียมาก
ไฟล์ PDF ดังกล่าวมีลิงก์แนบไฟล์ในเพื่อให้ดาวน์โหลด หากกดดาวน์โหลดระบบจะดาวน์โหลดไฟล์ .rar และมีไฟล์ .exe อันตรายอยู่ภายใน
สำหรับรายละเอียด Indicators of Compromise (IoCs) และตัวอย่างสามารถค้นหาได้ที่ GitHub
Author: Matías Porolli
Source: https://www.welivesecurity.com/2021/01/12/operation-spalax-targeted-malware-attacks-colombia/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
ในปี 2020 เราพบการโจมตีหลายครั้งในโคลัมเบีย โดยมีเป้าหมายหลักเป็นหน่วยงานรัฐบาลและเอกชน ในภาคพลังงานและงานโลหะ อาชญากรไซเบอร์ใช้ RAT (Remote Access Trojan) เพื่อสอดแนมเป้าหมาย
พวกเขามีโครงสร้างเครือข่ายที่ค่อนข้างใหญ่ เนื่องจากมี IP Address อย่างน้อย 24 IP และอาจมีคอมพิวเตอร์ที่แทรกซึมไว้เพื่อเป็น Proxy ของเซิร์ฟเวอร์ C&C ป้องกันการสืบย้อนกลับไป
นักวิจัยของ QiAnXin เปิดเผยกิจกรรมของกลุ่มแฮกเกอร์ที่คาดว่าน่าจะดำเนินการมาตั้งแต่เดือน เมษายน 2018 ซึ่งตรงกับข้อมูลที่เราพบ:
การโจมตีของแฮกเกอร์กลุ่มใช้ช่องทางอีเมล โดยพวกเขาแนบไฟล์อันตรายเป็น PDF เข้ามา ซึ่งมีลิงก์สำหรับดาวน์โหลดและเริ่มทำงานมัลแวร์ ไฟล์ที่ดาวน์โหลดมาจะเป็นในรูปแบบของ RAR หรือไฟล์บีบอัด เพื่อซ่อนไฟล์ .exe ที่อันตรายเอาไว้จากการสแกน
ส่วนเนื้อหาของอีเมลปลอมจะมีหลายรูปแบบเพื่อหลอกล่อให้ผู้ใช้เปิดไฟล์ที่แนบมา
ต่อไปจะเป็นตัวอย่างอีเมลค่าปรับจำนวน 250 เหรียญข้อหาละเมิดกฎหมายขับขี่ ซึ่งในอีเมลจะบอกว่าพวกเขาแนบไฟล์รูปภาพการฝ่าฝืน และข้อมูลวันเวลา หากเราเปรียบเทียบจะพบว่าอีเมลของพวกเขากับอีเมลจาก SIMIT (ช่องทางชำระเงินค่าปรับ) ของโคลัมเบียมาก
ไฟล์ PDF ดังกล่าวมีลิงก์แนบไฟล์ในเพื่อให้ดาวน์โหลด หากกดดาวน์โหลดระบบจะดาวน์โหลดไฟล์ .rar และมีไฟล์ .exe อันตรายอยู่ภายใน
สำหรับรายละเอียด Indicators of Compromise (IoCs) และตัวอย่างสามารถค้นหาได้ที่ GitHub
Author: Matías Porolli
Source: https://www.welivesecurity.com/2021/01/12/operation-spalax-targeted-malware-attacks-colombia/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: