Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ບົດຄວາມ

Gazer – Malware Campaign ສຳລັບການແຜ່ກະຈາຍໃນກຸ່ມນັກການທູດ

Gazer – Malware Campaign ສຳລັບການແຜ່ກະຈາຍໃນກຸ່ມນັກການທູດ

Security Researcher ຈາກ​ ESET ພົບ​ malware campaign ເປັນການສອດແນມ​ຂໍ້​ມູນ​ຂອງ​ໜ່ວຍ​ງານ​ພາກລັດ ​ແລະ ​ການ​ທູດ, ຊຶ່ງມີເປົ້າໝາຍເນັ້ນ​ໄປທີ່ບັນດາ​ກົງ​ສຸນ​, ໜ່ວຍ​ງານການ​ທະຫານ ​ແລະ ​ສະຖານທູດ​ຕ່າງ​ໆ​ໃນທົ່ວ​ໂລກ.

Malware campaign ດັ່ງ​ກ່າວ​ເລີ່ມ​ປະຕິບັດການ​ມາ​ຕັ້ງ​ແຕ່​ປີ​ 2016 ໂດຍ​​ການນຳ​ໃຊ້​ backdoor ທີ່​ບໍ່​ເຄີຍ​ພົບມາ​ກ່ອນ​ທີ່ຊື່​ວ່າ​ Gazer ຊຶ່ງ​ເຊື່ອ​ວ່າ​ມາ​ຈາກ​ກຸ່ມ​ Hacker ທີ່​ຊື່​ວ່າ​ Turla ທີ່ເຄີຍ​ຖືກດຶງໄປກ່ຽວຂ້ອງ​​​ກັບ​ໜ່ວຍ​ງານ​ຂ່າວ​ສານ​ຂອງ​ຣັດ​ເຊຍ​.

Gazer ຖືກ​ຂຽນ​ດ້ວຍ​ພາສາ​ C++ ແລະ ​ມີ​ການ​ແຜ່ກະ​ຈາຍ​ຜ່ານ​ spear phishing attack ແລະ​ ຢຶດ​ເຄື່ອງ​ໂດຍ​ໃຊ້​ 2 ຂັ້ນຕອນ. ຂັ້ນ​ຕອນ​ທີ 1: ການ​ວາງ​ backdoor ທີ່​ຊື່​ວ່າ​ Skipper backdoor ຊຶ່ງ​ເປັນ​ backdoor ທີ່​ຖືກ​ໃຊ້​ໂດຍ​ Turla ມາ​ກ່ອນ​ ແລະ ຈາກ​ນັ້ນ​ຈຶ່ງ​ຕິດ​ຕັ້ງ​ Gazer ອີກ​ເທື່ອໜຶ່ງ, ​ຂັ້ນ​ຕອນ​ທີ​ 2: ໂຕ​ Gazer ຈະ​ຮັບ​ຄຳ​ສັ່ງ​ຈາກ​ C&C Server ໂດຍ​ການ​ເຂົ້າ​ລະ​ຫັດ​ຄຳ​ສັ່ງ ​ແລະ​ ເພື່ອ​ຫຼີກລ້ຽງ​ການ​ກວດ​ຈັບ​ຈຶ່ງ​ໄດ້​ມີ​ການ​ພະຍາຍາມ​ເຮັດ​ website ທົ່ວ​ໄປ​ (ຊຶ່ງໂດຍປົກກະຕິເປັນ WordPress) ເປັນ​ຕົວ​ proxy ໃນ​ການ​ຮັບ​ສົ່ງ​ຄຳ​ສັ່ງ​.

Gazer ມີ​ການ​ໃຊ້​ງານ​ 3DES ແລະ​ RSA Encryption library ທີ່​ຂຽນ​ຂຶ້ນ​ມາ​ໂດຍ​ສະເພາະ​ ແທນ​ທີ່​ຈະ​ໃຊ້​ Windows Crypto API ໃນ​ການ​ຮັບ​ສົ່ງ​ຂໍ້​ມູນ​ກັບ​ C&C Server ຊຶ່ງ​ເປັນ​ລັກສະນະ​ປົກກະຕິ​ຂອງ​ການ​ເຮັດ​ວຽກ​ໂດຍ​ກຸ່ມ​ Turla.

Gazer ​ໃຊ້​ງານ​ code injection ໃນ​ການ​ຄວບ​ຄຸມ​ເຄື່ອງ​ເຫຍື່ອ ແລະ ເຊື່ອງຕົນ​ເອງ​ເພື່ອລັກ​ເກັບ​ຂໍ້​ມູນ​ພາຍ​ໃນ​ໄປເລື່ອຍໆ, Gazer ຍັງມີ​ຄວາມ​ສາມາດໃນ​ການ​ສົ່ງ​ຄຳ​ສັ່ງ​ຕໍ່ໄປ​ຍັງ​ເຄື່ອງ​ອື່ນ​ ທີ່​ຕິດ​ ຢູ່ໃນລະບົບ​ເຄືອຂ່າຍດຽວ​ກັນ​ອີກ​ດ້ວຍ.

ESET ມີ​ການ​ກວດ​ພົບ​ວ່າຕອນ​ນີ້​ Gazer ມີ​ 4 ສາຍ​ພັນ ຊຶ່ງ​ແຜ່ກະ​ຈາຍ ​ແລະ ລັກ​ເກັບ​ຂໍ້​ມູນ​ໃນ​ໜ່ວຍ​ງານ​ໃນແຖບເອີຣົບ​ຕາເວັນ​ອອກ​ສຽງ​ໃຕ້​ ແລະ​ ກຸ່ມອາ​ດີດນັກ​ການ​ເມືອງ​ ໂຊຫວຽດ ແລະ ຍັງ​ພົບ​ອີກ​ວ່າ​ version ກ່ອນ​ໜ້າ​ນີ້​ ທາງ​ Gazer ໄດ້​ sign ໂດຍ​ໃຊ້​ certificate ຂອງ​ Comodo ສຳລັບ​ບໍລິສັດ​ “Solid Loop Ltd,” ອີກ​ດ້ວຍ​ ແລະ​ ເມື່ອເປັນ​ version ລ່າ​ສຸດ ​ໃຊ້​ certificate ຂອງ​ບໍລິສັດ​ “Ultimate Computer Support Ltd.”

ເອກະສານອ້າງອີງ: 

  1. https://thehackernews.com/2017/08/gazer-backdoor-malware.html
  2. https://www.techsuii.com/2017/08/31/gazer-a-new-backdoor-targets-ministries-and-embassies-worldwide/

 

Porher 05 March 2020 4841 reads Print