กลุ่มแฮ็กเกอร์จากประเทศรัสเซียที่รู้จักกันในชื่อ "Turla" ถูกพบว่าทำการโจมตีระบบ infrastructure ของมัลแวร์ในยุคเก่าหลายสิบปี เพื่อนำมาใช้เป็นฐานในการแพร่กระจายแบ็คดอร์ไปยังเป้าหมายในประเทศยูเครน
Mandiant (ปัจจุบันถูกซื้อไปโดย Google) กำลังติดตามการดำเนินงานของกลุ่ม UNC4210 โดยพบว่ากลุ่มดังกล่าวกำลังทำการโจมตีระบบ infrastructure ที่มีความเกี่ยวข้องกับมัลแวร์ที่ชื่อว่า ANDROMEDA (หรือที่รู้จักกันในชื่อ Gamarue) ซึ่งเคยถูกนำไปตรวจสอบบน VirusTotal มาตั้งแต่ปี 2013 โดย UNC4210 ได้จดโดเมน command-and-control (C2) ที่หมดอายุไปแล้วของ ANDROMEDA กลับมาอย่างน้อยสามโดเมน และเริ่มทำโปรไฟล์เหยื่อเพื่อโจมตีโดยใช้มัลแวร์ KOPILUWAK และ QUIETCANARY ในเดือนกันยายน 2022
Turla หรือที่รู้จักกันในชื่อ Iron Hunter, Krypton, Uroburos, Venomous Bear และ Waterbug เป็นกลุ่มที่มุ่งเป้าการโจมตีไปที่องค์กรรัฐบาล การทูต และการทหารเป็นหลัก โดยการใช้มัลแวร์ที่สร้างขึ้นมาเองจำนวนมาก
นับตั้งแต่การโจมตีทางทหารของรัสเซียต่อยูเครนในเดือนกุมภาพันธ์ 2022 กลุ่มแฮ็กเกอร์จากประเทศรัสเซียถูกเชื่อมโยงเข้ากับการโจมตีแบบ credential phishing และความพยายามทำ reconnaissance ที่มุ่งเป้าไปที่หน่วยงานต่าง ๆ ที่อยู่ในยูเครนหลายครั้ง
ในเดือนกรกฎาคม 2022 กลุ่มนักวิเคราะห์ภัยคุกคามของ Google (TAG) ได้มีการเปิดเผยว่า Turla เคยสร้างแอปพลิเคชั่นที่เป็นอันตรายบนแอนดรอยด์ โดยอ้างว่าสามารถใช้เพื่อทำการโจมตีในรูปแบบ Distributed Denials-of-service(DDoS) ไปยังเว็ปไซต์ของรัสเซียได้
โดยจากรายงานล่าสุดจาก Mandiant แสดงให้เห็นว่า Turla มีการใช้กลไกการแพร่กระจายมัลแวร์ในรูปแบบเก่า ซึ่งเคยถูกใช้โดยมัลแวร์ ANDROMEDA โดยใช้การแพร่กระจายโดยการใช้ USB
โดยรายงานจาก Mandiant ระบุว่ามีการเสียบ USB ที่ติดมัลแวร์ในองค์กรณ์ที่ไม่ระบุชื่อในยูเครนในช่วงเดือนธันวาคม 2021 ซึ่งนำไปสู่การติดตั้งมัลแวร์ ANDROMEDA บนเครื่องผู้ใช้งาน เมื่อมีการเปิดไฟล์ link (.LNK) ที่ปลอมเป็น folder ที่มากับ USB drive
จากนั้นผู้โจมตีได้ใช้หนึ่งในโดเมนที่เคยเป็นส่วนหนึ่งของ C2 server ของ ANDROMEDA ซึ่งถูกลงทะเบียนกลับมาใช้อีกครั้งในเดือนมกราคม 2022 เพื่อแพร่กระจาย KOPILUWAK dropper ที่ถูกเขียนด้วย JavaScript ซึ่งเป็นเครื่องมือที่ใช้สำหรับ reconnaissance บนระบบของเหยื่อ
ต่อมาในวันที่ 8 กันยายน 2022 การโจมตีได้ดำเนินมาถึงช่วงสุดท้ายด้วยการดำเนินการของ QUIETCANARY (หรือที่รู้จักกันในชื่อ Tunnus) ซึ่งถูกเขียนด้วย .NET-based ที่ถูกใช้ในการขโมยข้อมูลของเหยื่อออกไป
โดยเครื่องมือที่ถูกใช้โดยกลุ่ม Turla รวมกับรายงานก่อนหน้านี้เกี่ยวกับความพยายามในการค้นหาโปรไฟล์เหยื่อซึ่งเกิดขึ้นพร้อมกับสงครามรัสเซีย-ยูเครน ซึ่งทำให้อาจมีความเกี่ยวข้องกับการรวบรวมข้อมูลต่าง ๆ ที่เป็นที่ต้องการของรัสเซีย นอกจากนี้ยังเป็นหนึ่งในกรณีที่พบไม่บ่อยนักที่กลุ่มแฮ็กเกอร์ได้รับการระบุเป้าหมายเหยื่อของแคมเปญต่าง ๆ เพื่อให้บรรลุเป้าหมายเชิงกลยุทธ์ของตนเอง ในขณะเดียวกันก็ปิดบังพฤติกรรมของตัวมันเองด้วย
“เนื่องจากมัลแวร์ ANDROMEDA ยังคงถูกใช้ในการแพร่กระจายผ่าน USB รวมไปถึงโดเมนที่ถูกนำกลับมาใช้ซ้ำเหล่านี้ จึงทำให้ผู้โจมตีรายใหม่สามารถเข้าควบคุม และส่งมัลแวร์รูปแบบใหม่ ๆ ไปยังเหยื่อได้ นอกจากนี้มัลแวร์ และ C2 server เก่า ๆ อาจถูกมองข้ามจากอุปกรณ์ด้านความปลอดภัยในปัจจุบัน"
การค้นพบนี้ยังเกิดขึ้นในขณะเดียวกันกับที่สำนักข่าวรอยเตอร์รายงานว่า กลุ่มผู้โจมตีที่คาดว่าได้รับการสนับสนุนจากรัฐบาลรัสเซียอีกกลุ่มหนึ่งที่มีชื่อว่า COLDRIVER (หรือที่รู้จักกันในชื่อ Callisto หรือ SEABORGIUM) ได้กำหนดเป้าหมายการโจมตีไปยังห้องปฏิบัติการวิจัยนิวเคลียร์สามแห่งในสหรัฐอเมริกาในช่วงต้นปี 2022
ที่มา: thehackernews
You must be logged in to post a comment.