China-linked KHRAT Operators Adopt New Delivery Techniques

KHRAT เป็น Backdoor ที่ถูกใช้ในการจารกรรมข้อมูลความลับของกลุ่มแฮกเกอร์จากจีน ที่รู้จักกันในนาม 'DragonOK' ซึ่งก่อนหน้านี้เคยมีการใช้มัลแวร์ เช่น NetTraveler (TravNet), PlugX, Saker, Netbot, DarkStRat และ ZeroT โจมตีองค์กรในรัสเซียและประเทศอื่น ๆ โดยล่าสุดมุ่งเป้าหมายไปที่เหยื่อในกัมพูชา

มัลแวร์ถูกออกแบบมาให้ทำการเข้าถึงข้อมูลในเครื่องของเหยื่อ เช่น Username, ภาษาของระบบและ IP โดยใช้เทคนิค RAT เพื่อส่งข้อมูลกลับไปให้ C&C server เสมือนกับการลงทะเบียนเครื่องที่มีการแพร่กระจายแล้ว
นักวิจัยจาก Palo Alto ได้สรุปว่าแฮกเกอร์ได้มีการพัฒนาความสามารถของ spear phishing, ปรับหน้าตา และใช้วิธีหลากหลายในการดาวน์โหลดและเรียกใช้ payload เพิ่มเติม โดยใช้แอพพลิเคชัน built-in ของ Windows

นอกจากนี้แฮกเกอร์ยังขยายขนาดของไฟล์โฮสติ้ง โดยเลียนแบบ Dropbox ซึ่งเป็นไฟล์โฮสติ้งที่รู้จักกันดีในระบบคลาวด์เพื่อหลอกลวงเหยื่อ
แม้ว่าจะยังไม่มีการแพร่ระบาดมากนัก แต่ในช่วงสองเดือนที่ผ่านมาพบว่ามีการโจมตีเป้าหมายในกัมพูชา จากการพบเอกสาร Word ที่มีพฤติกรรมการติดต่อออกไปยังไฟล์โฮสติ้ง เมื่อช่วงเดือนมิถุนายนที่ผ่านโดยนีกวิจัยจาก Palo Alto

ที่มา: securityweek