กลุ่มแฮกเกอร์พุ่งเป้าโจมตีไปยังรัฐบาลรัซเซีย เป้าหมายคือเข้าควบคุมระบบ

กลุ่มแฮ็กเกอร์มุ่งเป้าโจมตีไปยังรัฐบาลรัสเซียด้วย Trojan โดยปลอมเป็น Windows update

เมื่อช่วงเดือนกุมภาพันธ์ถึงเดือนเมษานที่ผ่านมา กลุ่มแฮ็กเกอร์ได้มุ่งเป้าโจมตีไปที่หน่วยงานรัฐบาลของรัสเซีย โดยมีทั้งอีเมลฟิชชิ่งที่ปลอมเป็นไฟล์อัปเดตด้านความปลอดภัยของ Windows รวมไปถึงวิธีอื่นๆอีกมากมาย โดยมีเป้าหมายสูงสุดของแคมเปญคือการควบคุมเครื่องเป้าหมายจากระยะไกลด้วย remote access trojan (RAT)

รายละเอียดการโจมตี

ผู้เชี่ยวชาญจาก Malwarebytes ได้อธิบายว่า การโจมตีทั้งหมดมาจากกลุ่ม advanced persistent threat (APT) โดยแบ่งเป็น 4 แคมเปญหลักๆ ดังนี้

  • แคมเปญแรกมาจากฟิชชิ่งอีเมล ซึ่งเกิดขึ้นในเดือนกุมภาพันธ์ ไม่กี่วันหลังจากการรุกรานยูเครนของรัสเซีย โดยทำการแนบไฟล์ RAT ที่ชื่อ “interactive_map_UA.exe” ไปในอีเมล
  • แคมเปญที่สอง กลุ่มแฮ็กเกอร์มีการวางแผน และเตรียมตัวมามากขึ้น โดยแนบไฟล์ tar.gz โดยอ้างว่าเป็นไฟล์ทีใช้ในการแก้ไขช่องโหว่ Log4Shell พร้อมกับแนบไฟล์ PDF ที่มีคำแนะนำในการติดตั้งโปรแกรมแก้ไข Log4j นอกจากนี้ยังมีคำแนะนำอื่นๆเช่น “ไม่เปิดหรือตอบกลับอีเมลที่น่าสงสัย” ซึ่งไฟล์ทั้งหมดนี้ถูกส่งมาในนามกระทรวงการพัฒนาดิจิทัล โทรคมนาคม และการสื่อสารมวลชน เป้าหมายในรอบนี้ส่วนใหญ่จึงเป็นพนักงานของสถานีโทรทัศน์ RT TV ของรัสเซีย
  • แคมเปญที่สาม เป็นการปลอมแปลงเป็น Rostec ซึ่งเป็นบริษัทซึ่งทำธุรกิจด้านการป้องกันประเทศของรัสเซีย โดยครั้งนี้มีการจดทะเบียนโดเมนใหม่ที่ชื่อ “Rostec.digital” และมีการสร้างบัญชี Facebook ปลอมเพื่อแพร่กระจายมัลแวร์โดยทำให้ดูเหมือนว่าส่งมาจากหน่วยงานที่น่าเชื่อถือ
  • แคมเปญสุดท้าย เกิดขึ้นในเดือนเมษายน ซึ่งในรอบนี้ได้เปลี่ยนไปใช้เอกสาร Microsoft Word ที่มีสคริปต์ที่เป็นอันตรายแนบมา โดยเป็นเอกสารรับสมัครงานของบริษัท Saudi Aramco บริษัทน้ำมัน และก๊าซธรรมชาติขนาดใหญ่ โดยเป้าหมายของการโจมตีนี้คือผู้ที่สมัครตำแหน่ง "นักวิเคราะห์กลยุทธ์ และการเติบโต"
    นอกจากนี้ ผู้เชี่ยวชาญจาก Malwarebytes ได้ทำการดึงตัวอย่างเพย์โหลดที่มาจากแคมเปญทั้งสี่ พบว่าทั้งหมดมีชื่อ DLL เดียวกัน แต่ใช้ชื่อต่างกัน โดยโดเมนที่ Malwarebytes ตรวจพบในครั้งนี้คือ “windowsipdate[.]com”, “microsoftupdetes[.]com” และ “mirror-exchange[.]com”

แนวทางการป้องกัน

  • ตรวสอบไฟล์นี่แนบมาจากอีเมลทุกครั้ง รวมถึงทำการแสกนด้วย Antivirus ก่อนทำการเปิดไฟล์
  • Update AntiVirus หรือ EndPoint ให้เป็น Version ล่าสุดอยู่เสมอ
  • ทำการ Block Domain ดังต่อไปนี้

IOC
windowsipdate[.]com
microsoftupdetes[.]com
mirror-exchange[.]com

ที่มา : www.bleepingcomputer.com