ผู้เชี่ยวชาญจาก CheckPoint ได้ค้นพบแคมเปญใหม่ที่เกิดจากกลุ่มแฮ็คเกอร์ที่ชื่อ Tropic Trooper จากประเทศจีน โดยใช้มัลแวร์ Nimbda และ Yahoyah Trojan ในการโจมตี
Trojan นี้อยู่ใน Tool ที่ชื่อ 'SMS Bomber' ซึ่งใช้สำหรับการโจมตีแบบปฏิเสธการให้บริการ (DoS) บนโทรศัพท์ โดยทำการส่ง SMS ไปจำนวนมาก ซึ่งส่วนใหญ่เครื่องมือนี้จะถูกใช้งานโดยแฮกเกอร์มือใหม่
ลักษณะการโจมตี
เมื่อเป้าหมายทำการดาวน์โหลด SMS Bomber ซึ่งปกติไฟล์ Install จะมีฟังก์ชันตามมาตรฐานทั่วไป แต่ในครั้งนี้ผู้โจมตีได้เพิ่มโค้ดที่จะถูก inject เข้าไปยัง process notepad.exe โดยไฟล์ติดตั้งจะใช้ไอคอนเดียวกับ SMS Bomber แต่จริงๆแล้วมันคือมัลแวร์ Nimbda ซึ่งผู้ใช้งานก็ยังติดตั้งใช้งาน SMS Bomber ได้ตามปกติ แต่ในเบื้องหลัง Nimbda จะทำการเชื่อมต่อไปยัง GitHub เพื่อดึงไฟล์ executable จากนั้นมันจะทำการถอดรหัส แล้วเรียกใช้งานผ่าน dllhost.exe
Payload นี้เป็นรูปแบบใหม่ของโทรจัน Yahoyah มันจะทำการรวบรวมข้อมูลเกี่ยวกับโฮสต์เพื่อส่งไปยังเซิร์ฟเวอร์ C2 มีข้อมูลดังต่อไปนี้:
SSID ของ Wireless Network ในพื้นที่บริเวณใกล้เคียงเครื่องของเป้าหมาย
ชื่อคอมพิวเตอร์
Mac Address
เวอร์ชันของระบบปฏิบัติการ
ชนิดของผลิตภัณฑ์ Antivirus
ไฟล์ WeChat และ Tencent
เพย์โหลดสุดท้ายที่ทิ้งโดยไฟล์ executable ของ Yahoyah นั้นถูกเข้ารหัสเป็นภาพ JPG โดยใช้ Steganography ที่เป็นการใช้งาน AES แบบกำหนดเอง ทำให้การวิเคราะห์ตัวอย่างทำได้ยากขึ้น โดยผู้เชี่ยวชาญจาก Check Point ระบุว่าเป็น TClient ซึ่งเป็น Backdoor Tropic Trooper ที่ใช้ในแคมเปญที่ผ่านมา
ในปัจจุบัน แม้ว่าจะไม่ทราบเป้าหมายที่แน่นอนของแฮกเกอร์ แต่แคมเปญนี้แสดงให้เห็นถึงความสามารถของกลุ่ม Tropic Trooper ในด้านพัฒนามัลแวร์ และความรู้เกี่ยวกับการเข้ารหัสที่สูงมาก
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.