กลุ่มแฮ็กเกอร์ใหม่ที่ถูกติดตามในชื่อ ‘TetrisPhantom’ ได้ใช้ secure USB drives เพื่อโจมตีระบบของรัฐบาลในภูมิภาคเอเชียแปซิฟิก
Secure USB drives จะใช้จัดเก็บข้อมูลไว้ในส่วนที่เข้ารหัสของอุปกรณ์ และใช้เพื่อถ่ายโอนข้อมูลอย่างปลอดภัยระหว่างระบบต่าง ๆ รวมถึงระบบที่ถูกแยกออกมาจากเครือข่าย
การเข้าถึงพาร์ติชันที่ได้รับการป้องกันนั้น จะต้องใช้งานผ่านทางซอฟต์แวร์ที่ถูกกำหนดขึ้น ซึ่งจะทำการถอดรหัสเนื้อหาด้วยรหัสผ่านที่ผู้ใช้ระบุ หนึ่งในซอฟต์แวร์เหล่านั้นคือ UTetris.exe ซึ่งอยู่ในส่วนที่ไม่ได้เข้ารหัสของ USB drives
นักวิจัยด้านความปลอดภัยพบโทรจันของแอปพลิเคชัน UTetris ที่ใช้บน secure USB devices ในแคมเปญการโจมตีที่ดำเนินมาเป็นระยะเวลาอย่างน้อย 2-3 ปี และมีเป้าหมายเป็นรัฐบาลในภูมิภาคเอเชียแปซิฟิก
ตามรายงานล่าสุดของ Kaspersky เกี่ยวกับแนวโน้มของกลุ่ม APT กลุ่ม TetrisPhantom มีการใช้เครื่องมือ คำสั่ง และส่วนประกอบมัลแวร์ต่าง ๆ ซึ่งบ่งชี้ว่าเป็นกลุ่มแฮ็กเกอร์ที่มีความซับซ้อน และมีทรัพยากรมากในการดำเนินการ
การโจมตีนี้ใช้เครื่องมือ และเทคนิคที่ซับซ้อน, รวมถึงการสร้างความสับสนให้กับซอฟต์แวร์ virtualization-based, การสื่อสารแบบ low-level กับ USB drive โดยใช้ SCSI commands โดยตรง, การจำลองตัวเองผ่าน secure USB drives ที่เชื่อมต่อกันเพื่อแพร่กระจายไปยังยังระบบที่แยกออกจากเครือข่าย และการแทรกโค้ดเข้าไปในโปรแกรมการจัดการการเข้าถึงที่ถูกต้องบน USB drive ซึ่งทำหน้าที่เป็นตัวโหลดมัลแวร์บนคอมพิวเตอร์เครื่องใหม่
รายละเอียดการโจมตี
Kaspersky อธิบายเพิ่มเติมว่า การโจมตีด้วยแอป Utetris ที่ถูกฝังมัลแวร์ เริ่มต้นด้วยการรันเพย์โหลดที่เรียกว่า AcroShell บนคอมพิวเตอร์ของเป้าหมาย
AcroShell จะสร้างช่องทางการสื่อสารกับ C2 เซิร์ฟเวอร์ของผู้โจมตี และสามารถดึง และเรียกใช้เพย์โหลดเพิ่มเติมเพื่อขโมยเอกสาร และไฟล์ที่มีความสำคัญ และรวบรวมรายละเอียดเฉพาะเกี่ยวกับ USB drive ที่เป้าหมายใช้
ผู้โจมตียังใช้ข้อมูลที่รวบรวมด้วยวิธีนี้เพื่อการวิจัย และพัฒนามัลแวร์อื่นที่เรียกว่า XMKR และโปรแกรม UTetris.exe ที่ถูกฝังมัลแวร์เพื่อใช้ในการโจมตี
"โมดูล XMKR ถูกติดตั้งบนเครื่อง Windows และมีหน้าที่รับผิดชอบในการโจมตี secure USB drives ที่เชื่อมต่อกับระบบเพื่อแพร่กระจายการโจมตีไปยังระบบที่อาจจะแยกออกจากเครือข่าย" - Kaspersky
XMKR สามารถขโมยไฟล์เพื่อการสอดแนม และเขียนข้อมูลลงบน USB drives ข้อมูลบน USB ที่ถูกโจมตีจะถูกนำออกไปยังเซิร์ฟเวอร์ของผู้โจมตี เมื่ออุปกรณ์ถูกเสียบเข้ากับคอมพิวเตอร์ที่เชื่อมต่ออินเทอร์เน็ต และได้รับการควบคุมโดยโปรแกรม AcroShell
Kaspersky ได้ค้นพบ และวิเคราะห์ตัวอย่างของโปรแกรม Utetris สองตัว ได้แก่ เวอร์ชัน 1.0 ซึ่งใช้ระหว่างเดือนกันยายนถึงตุลาคม 2022 และเวอร์ชัน 2.0 ซึ่งใช้ในเครือข่ายของรัฐบาลตั้งแต่เดือนตุลาคม 2022 จนถึงปัจจุบัน
Kaspersky รายงานว่าการโจมตีเหล่านี้ดำเนินมาอย่างต่อเนื่องเป็นเวลาอย่างน้อย 2-3 ปีแล้ว โดยมีเป้าหมายหลักในการสอดแนมของ TetrisPhantom นักวิจัยพบการโจมตีจำนวนน้อยในเครือข่ายของรัฐบาลในภูมิภาคเอเชียแปซิฟิก ซึ่งแสดงให้เห็นว่ามีเป้าหมายของการดำเนินการโจมตี
ที่มา : bleepingcomputer
You must be logged in to post a comment.