อ้างอิงจากบริษัทวิจัยด้านความปลอดภัย Trend Micro กลุ่ม Lazarus ซึ่งเป็น APT ที่เชื่อมโยงกับเกาหลีเหนือได้เล็งเป้าหมายไปที่กลุ่มธนาคารในละตินอเมริกา
กิจกรรมของกลุ่ม Lazarus เพิ่มขึ้นในปี 2014 และ 2015 ส่วนใหญ่สมาชิกของกลุ่มจะใช้มัลแวร์ที่ปรับแต่งเองในการโจมตี โดยกลุ่มนี้มีกิจกรรมย้อนกลับไปตั้งแต่ปี 2009 หรืออาจเป็นช่วงต้นปี 2007 และมีส่วนเกี่ยวข้องกับแคมเปญการสอดแนมทางไซเบอร์และกิจกรรมก่อวินาศกรรมที่มุ่งทำลายข้อมูลและทำลายระบบ กลุ่มนี้ถูกระบุว่าเป็นผู้รับผิดชอบการโจมตี WannaCry ransomware, การโจมตี SWIFT ในปี 2016 และการแฮกบริษัท Sony Pictures
เมื่อไม่นานมานี้กลุ่ม Lazarus เกี่ยวข้องกับการโจมตีตู้ ATM ในเอเชียและแอฟริกา โดยใช้โทรจันชื่อ FastCash โดยใช้มาอย่างน้อยตั้งแต่ปี 2016
ตอนนี้ผู้เชี่ยวชาญจากบริษัท Trend Micro ได้ค้นพบ backdoor ที่น่าจะเป็นของกลุ่ม Lazarus ในเครื่อง ATM ของสถาบันการเงินทั่วละตินอเมริกา โดยถูกติดตั้งตั้งแต่ 19 กันยายนที่ผ่านมา
ไฟล์ Backdoor ประกอบด้วย 3 ส่วน คือ
1 AuditCred.dll/ROptimizer.dll เป็น DLL ที่ทำงานเป็น service
2 Msadoz.dll เป็น backdoor ที่ถูกเข้ารหัส โดย n ในที่นี้แทนจำนวนตัวอักษรในชื่อของ loader dll
3 Auditcred.dll.mui/rOptimizer.dll.mui เป็นไฟล์ตั้งค่าที่ถูกเข้ารหัส
โดยข้อมูลจาก backdoor จะถูกส่งไปยัง Command and Control Servers คือ
107[.]172[.]195[.]20
192[.]3[.]12[.]154
46[.]21[.]147[.]161
โดยสามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับรายงานดังกล่าวได้จาก blog.trendmicro.com
ที่มา:securityaffairs.co
You must be logged in to post a comment.