Gazer – Malware Campaign ສຳລັບການແຜ່ກະຈາຍໃນກຸ່ມນັກການທູດ
Gazer – Malware Campaign ສຳລັບການແຜ່ກະຈາຍໃນກຸ່ມນັກການທູດ
Security Researcher ຈາກ ESET ພົບ malware campaign ເປັນການສອດແນມຂໍ້ມູນຂອງໜ່ວຍງານພາກລັດ ແລະ ການທູດ, ຊຶ່ງມີເປົ້າໝາຍເນັ້ນໄປທີ່ບັນດາກົງສຸນ, ໜ່ວຍງານການທະຫານ ແລະ ສະຖານທູດຕ່າງໆໃນທົ່ວໂລກ.
Malware campaign ດັ່ງກ່າວເລີ່ມປະຕິບັດການມາຕັ້ງແຕ່ປີ 2016 ໂດຍການນຳໃຊ້ backdoor ທີ່ບໍ່ເຄີຍພົບມາກ່ອນທີ່ຊື່ວ່າ Gazer ຊຶ່ງເຊື່ອວ່າມາຈາກກຸ່ມ Hacker ທີ່ຊື່ວ່າ Turla ທີ່ເຄີຍຖືກດຶງໄປກ່ຽວຂ້ອງກັບໜ່ວຍງານຂ່າວສານຂອງຣັດເຊຍ.
Gazer ຖືກຂຽນດ້ວຍພາສາ C++ ແລະ ມີການແຜ່ກະຈາຍຜ່ານ spear phishing attack ແລະ ຢຶດເຄື່ອງໂດຍໃຊ້ 2 ຂັ້ນຕອນ. ຂັ້ນຕອນທີ 1: ການວາງ backdoor ທີ່ຊື່ວ່າ Skipper backdoor ຊຶ່ງເປັນ backdoor ທີ່ຖືກໃຊ້ໂດຍ Turla ມາກ່ອນ ແລະ ຈາກນັ້ນຈຶ່ງຕິດຕັ້ງ Gazer ອີກເທື່ອໜຶ່ງ, ຂັ້ນຕອນທີ 2: ໂຕ Gazer ຈະຮັບຄຳສັ່ງຈາກ C&C Server ໂດຍການເຂົ້າລະຫັດຄຳສັ່ງ ແລະ ເພື່ອຫຼີກລ້ຽງການກວດຈັບຈຶ່ງໄດ້ມີການພະຍາຍາມເຮັດ website ທົ່ວໄປ (ຊຶ່ງໂດຍປົກກະຕິເປັນ WordPress) ເປັນຕົວ proxy ໃນການຮັບສົ່ງຄຳສັ່ງ.
Gazer ມີການໃຊ້ງານ 3DES ແລະ RSA Encryption library ທີ່ຂຽນຂຶ້ນມາໂດຍສະເພາະ ແທນທີ່ຈະໃຊ້ Windows Crypto API ໃນການຮັບສົ່ງຂໍ້ມູນກັບ C&C Server ຊຶ່ງເປັນລັກສະນະປົກກະຕິຂອງການເຮັດວຽກໂດຍກຸ່ມ Turla.
Gazer ໃຊ້ງານ code injection ໃນການຄວບຄຸມເຄື່ອງເຫຍື່ອ ແລະ ເຊື່ອງຕົນເອງເພື່ອລັກເກັບຂໍ້ມູນພາຍໃນໄປເລື່ອຍໆ, Gazer ຍັງມີຄວາມສາມາດໃນການສົ່ງຄຳສັ່ງຕໍ່ໄປຍັງເຄື່ອງອື່ນ ທີ່ຕິດ ຢູ່ໃນລະບົບເຄືອຂ່າຍດຽວກັນອີກດ້ວຍ.
ESET ມີການກວດພົບວ່າຕອນນີ້ Gazer ມີ 4 ສາຍພັນ ຊຶ່ງແຜ່ກະຈາຍ ແລະ ລັກເກັບຂໍ້ມູນໃນໜ່ວຍງານໃນແຖບເອີຣົບຕາເວັນອອກສຽງໃຕ້ ແລະ ກຸ່ມອາດີດນັກການເມືອງ ໂຊຫວຽດ ແລະ ຍັງພົບອີກວ່າ version ກ່ອນໜ້ານີ້ ທາງ Gazer ໄດ້ sign ໂດຍໃຊ້ certificate ຂອງ Comodo ສຳລັບບໍລິສັດ “Solid Loop Ltd,” ອີກດ້ວຍ ແລະ ເມື່ອເປັນ version ລ່າສຸດ ໃຊ້ certificate ຂອງບໍລິສັດ “Ultimate Computer Support Ltd.”
ເອກະສານອ້າງອີງ:
- https://thehackernews.com/2017/08/gazer-backdoor-malware.html
- https://www.techsuii.com/2017/08/31/gazer-a-new-backdoor-targets-ministries-and-embassies-worldwide/
Porher 05 March 2020 4841 reads
Print
Gazer – Malware Campaign ສຳລັບການແຜ່ກະຈາຍໃນກຸ່ມນັກການທູດ
Security Researcher ຈາກ ESET ພົບ malware campaign ເປັນການສອດແນມຂໍ້ມູນຂອງໜ່ວຍງານພາກລັດ ແລະ ການທູດ, ຊຶ່ງມີເປົ້າໝາຍເນັ້ນໄປທີ່ບັນດາກົງສຸນ, ໜ່ວຍງານການທະຫານ ແລະ ສະຖານທູດຕ່າງໆໃນທົ່ວໂລກ.
Malware campaign ດັ່ງກ່າວເລີ່ມປະຕິບັດການມາຕັ້ງແຕ່ປີ 2016 ໂດຍການນຳໃຊ້ backdoor ທີ່ບໍ່ເຄີຍພົບມາກ່ອນທີ່ຊື່ວ່າ Gazer ຊຶ່ງເຊື່ອວ່າມາຈາກກຸ່ມ Hacker ທີ່ຊື່ວ່າ Turla ທີ່ເຄີຍຖືກດຶງໄປກ່ຽວຂ້ອງກັບໜ່ວຍງານຂ່າວສານຂອງຣັດເຊຍ.
Gazer ຖືກຂຽນດ້ວຍພາສາ C++ ແລະ ມີການແຜ່ກະຈາຍຜ່ານ spear phishing attack ແລະ ຢຶດເຄື່ອງໂດຍໃຊ້ 2 ຂັ້ນຕອນ. ຂັ້ນຕອນທີ 1: ການວາງ backdoor ທີ່ຊື່ວ່າ Skipper backdoor ຊຶ່ງເປັນ backdoor ທີ່ຖືກໃຊ້ໂດຍ Turla ມາກ່ອນ ແລະ ຈາກນັ້ນຈຶ່ງຕິດຕັ້ງ Gazer ອີກເທື່ອໜຶ່ງ, ຂັ້ນຕອນທີ 2: ໂຕ Gazer ຈະຮັບຄຳສັ່ງຈາກ C&C Server ໂດຍການເຂົ້າລະຫັດຄຳສັ່ງ ແລະ ເພື່ອຫຼີກລ້ຽງການກວດຈັບຈຶ່ງໄດ້ມີການພະຍາຍາມເຮັດ website ທົ່ວໄປ (ຊຶ່ງໂດຍປົກກະຕິເປັນ WordPress) ເປັນຕົວ proxy ໃນການຮັບສົ່ງຄຳສັ່ງ.
Gazer ມີການໃຊ້ງານ 3DES ແລະ RSA Encryption library ທີ່ຂຽນຂຶ້ນມາໂດຍສະເພາະ ແທນທີ່ຈະໃຊ້ Windows Crypto API ໃນການຮັບສົ່ງຂໍ້ມູນກັບ C&C Server ຊຶ່ງເປັນລັກສະນະປົກກະຕິຂອງການເຮັດວຽກໂດຍກຸ່ມ Turla.
Gazer ໃຊ້ງານ code injection ໃນການຄວບຄຸມເຄື່ອງເຫຍື່ອ ແລະ ເຊື່ອງຕົນເອງເພື່ອລັກເກັບຂໍ້ມູນພາຍໃນໄປເລື່ອຍໆ, Gazer ຍັງມີຄວາມສາມາດໃນການສົ່ງຄຳສັ່ງຕໍ່ໄປຍັງເຄື່ອງອື່ນ ທີ່ຕິດ ຢູ່ໃນລະບົບເຄືອຂ່າຍດຽວກັນອີກດ້ວຍ.
ESET ມີການກວດພົບວ່າຕອນນີ້ Gazer ມີ 4 ສາຍພັນ ຊຶ່ງແຜ່ກະຈາຍ ແລະ ລັກເກັບຂໍ້ມູນໃນໜ່ວຍງານໃນແຖບເອີຣົບຕາເວັນອອກສຽງໃຕ້ ແລະ ກຸ່ມອາດີດນັກການເມືອງ ໂຊຫວຽດ ແລະ ຍັງພົບອີກວ່າ version ກ່ອນໜ້ານີ້ ທາງ Gazer ໄດ້ sign ໂດຍໃຊ້ certificate ຂອງ Comodo ສຳລັບບໍລິສັດ “Solid Loop Ltd,” ອີກດ້ວຍ ແລະ ເມື່ອເປັນ version ລ່າສຸດ ໃຊ້ certificate ຂອງບໍລິສັດ “Ultimate Computer Support Ltd.”
ເອກະສານອ້າງອີງ:
- https://thehackernews.com/2017/08/gazer-backdoor-malware.html
- https://www.techsuii.com/2017/08/31/gazer-a-new-backdoor-targets-ministries-and-embassies-worldwide/