แฮ็กเกอร์ที่มีความเชื่อมโยงกับรัฐบาลเบลารุสกำลังกำหนดเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาล และกองทัพในยูเครน และโปแลนด์ด้วยแคมเปญ Spear-Phishing เพื่อแอบติดตั้ง Trojans ที่ใช้เพื่อเข้าถึงได้จากระยะไกล
นักวิจัยจาก Cisco Talos บริษัทรักษาความปลอดภัยทางไซเบอร์ระบุว่า เป้าหมายของผู้โจมตีคือการขโมยข้อมูล และการควบคุมระบบเป้าหมายจากระยะไกล และพบการติดตั้ง payload ของมัลแวร์ njRAT ที่ใช้ขโมยข้อมูล โดยการโจมตีดังกล่าวเริ่มตั้งแต่เดือนเมษายน 2565
เมื่อเร็ว ๆ นี้ทีม Computer Emergency Response ของยูเครนได้ระบุเหตุการณ์ในเดือนกรกฎาคมที่เกิดจากกลุ่มแฮ็กเกอร์ Ghostwriter หรือที่รู้จักกันในชื่อ UNC1151 โดย Mandiant ระบุว่าแฮ็กเกอร์มีความสัมพันธ์ใกล้ชิดกับรัฐบาลเบลารุส ซึ่งเป็นพันธมิตรที่ใกล้ชิดที่สุดของรัสเซียหลังจากการรุกรานยูเครนในเดือนกุมภาพันธ์ 2565 และในรายงานบางฉบับระบุว่ากลุ่ม Ghostwriter นั้นยังมีความเชื่อมโยงกับแฮ็กเกอร์ชาวรัสเซียที่กำหนดเป้าหมายเป็นบุคลากรทางทหารของยูเครน และหน่วยงานราชการของโปแลนด์อย่างต่อเนื่อง
โดยทั่วไปแล้วแฮ็กเกอร์กลุ่มนี้จะกำหนดเป้าหมายระดับสูงโดยใช้แคมเปญ Spear-Phishing เพื่อติดตั้ง info stealers และหลอกเอาข้อมูล email credentials, admin panel credentials และแพร่กระจายมัลแวร์อื่น ๆ รวมถึง RAT เช่น AgentTesla และ njRAT
ในแคมเปญที่ Cisco Talos ตรวจพบนั้น ผู้โจมตีจะใช้การติดตั้งมัลแวร์แบบ multistage โดยขั้นตอนการโจมตีจะเริ่มต้นด้วยไฟล์แนบอีเมลที่เป็นอันตราย ซึ่งจะมีรูปแบบเป็นไฟล์ Microsoft Excel และ PowerPoint
CERT-UA และ Cisco Talos ระบุว่าไฟล์ดังกล่าวจะปลอมเป็นกระทรวงกลาโหมของยูเครน, กระทรวงกลาโหมของโปแลนด์ และกระทรวงการคลังของรัฐยูเครน เพื่อหลอกล่อให้เหยื่อเปิด และเรียกใช้งานมาโครที่นำไปสู่การใช้โค้ดที่เป็นอันตรายในเบื้องหลัง ตัวอย่างเช่น เอกสาร Excel ฉบับหนึ่งออกแบบมาเพื่อปลอมแปลงแบบฟอร์มที่ใช้ในการคำนวณการจ่ายเงินเดือนของทหารในหน่วยงานของทหารโดยเฉพาะ
Cisco Talos ยังพบการใช้สเปรดชีต Excel ที่ปลอมแปลงเป็นแบบฟอร์มการคืนภาษีมูลค่าเพิ่มที่มีการเรียกใช้โค้ด VBA ที่เป็นอันตราย ซึ่งแคมเปญทั้งหมดนี้เริ่มต้นด้วยเอกสาร Microsoft Office ซึ่งอาจส่งไปยังเป้าหมายในรูปแบบไฟล์แนบอีเมล แต่ในกรณีส่วนใหญ่ไฟล์ดังกล่าวคือสเปรดชีต Excel ที่มีมาโคร VBA แต่พบ 4 กรณีที่ใช้ไฟล์ PowerPoint OLE2 ที่เป็นอันตราย ซึ่งบ่งบอกได้ว่าผู้โจมตีพร้อมที่จะใช้รูปแบบไฟล์ต่าง ๆ ที่ไม่ค่อยถูกใช้ในการโจมตี
โค้ด VBA มีหน้าที่โหลดมัลแวร์ที่เรียกว่า PicassoLoader ซึ่งจะใช้งานเพย์โหลดอื่น ๆ เพิ่มเติม รวมถึงใช้ AgentTesla remote access Trojan, njRAT และ Cobalt Strike beacons ซึ่งใช้เพื่อให้สามารถแฝงตัวอยู่ในระบบต่อไปได้ และขโมยข้อมูลสำคัญจากระบบของเหยื่อ
SmokeLoader Trojan
ในช่วงหลายเดือนที่ผ่านมา ผู้โจมตีได้ทำการทดลองโจมตีเป้าหมายไปยังประเทศยูเครน และพันธมิตรโดยการใช้ไฟล์ในรูปแบบต่าง ๆ และ Phishing lures เพื่อหลีกเลี่ยงการตรวจจับ และในวันพฤหัสบดี CERT-UA ได้มีการบันทึก mass campaign ที่มีใบเสร็จรับเงิน และมีไฟล์ ZIP - Act_Zvirky_ta_rach.fakt_vid_12_07_2023.zip - เป็นไฟล์แนบ
ผู้โจมตีมักจะใช้บัญชีอีเมลที่ถูกโจมตีมาก่อนเพื่อส่งอีเมลฟิชชิ่งเหล่านี้ และเมื่อมีการเปิดไฟล์ ZIP จะทำการดาวน์โหลด และเรียกใช้มัลแวร์ SmokeLoader ซึ่งเป็นโทรจันที่รู้จักกันตั้งแต่ปี 2011 ซึ่งสามารถโหลดมัลแวร์อื่น ๆ เพิ่มเติม และมีปลั๊กอินสำหรับการขโมยข้อมูล ซึ่งแตกต่างจากกลุ่มผู้โจมตีอื่น ๆ ที่ใช้ RAT ในการโจมตี โดยผู้โจมตีที่ใช้ไฟล์ ZIP (ถูกรู้จักในชื่อ UAC-0006) นั้นมีแรงจูงใจทางด้านการเงิน และโดยทั่วไปแล้วจะกำหนดเป้าหมายไปยังคอมพิวเตอร์ของนักบัญชี และพยายามเข้าถึงระบบธนาคาร และข้อมูลประจำตัว เพื่อขโมยเงินออกจากบัญชี
You must be logged in to post a comment.