Asher Malhotra และ Vitor Ventura นักวิจัยจาก Cisco Talos ได้รายงานถึงผลการวิเคราะห์การโจมตีของกลุ่มแฮ็กเกอร์ YoroTrooper ว่า พบข้อมูลที่ถูกขโมยออกไปจากการโจมตีนั้นเป็นข้อมูล credentials ที่มาจากการใช้งานแอปพลิเคชันต่าง ๆ, ประวัติการเข้าใช้งานบนเบราว์เซอร์ และคุกกี้, ข้อมูลของระบบ, รวมไปถึงข้อมูลการจับภาพหน้าจอ (screenshot)

โดย YoroTrooper มีเป้าหมายการโจมตีเป็นหน่วยงานรัฐบาล, องค์กรด้านพลังงาน และองค์กรระหว่างประเทศทั่วยุโรป ซึ่งเป็นส่วนหนึ่งของภัยคุกคามทางไซเบอร์ที่ดำเนินการมาตั้งแต่เดือนมิถุนายน 2022 ต่อมาประเทศที่เป็นเป้าหมายของแฮ็กเกอร์กลุ่มนี้ ได้แก่ อาเซอร์ไบจาน, ทาจิกิสถาน, คีร์กีซสถาน, เติร์กเมนิสถาน และประเทศในเครือรัฐเอกราช (CIS) อื่น ๆ ซึ่งเป็นกลุ่มประเทศในเอเชียกลาง เชื่อกันว่าแฮ็กเกอร์สามารถสื่อสารภาษารัสเซียได้ เนื่องจากมีการใช้เครื่องมือในการโจมตีเหยื่อเป็นอักษรซีริลลิก (อักษรที่ใช้เขียนของภาษารัสเซีย)

กลุ่ม YoroTrooper ถูกพบว่ามีการใช้ชุดคำสั่งร่วมกับ PoetRAT ที่มีการบันทึกไว้ในปี 2020 ว่าเป็นการโจมตีหน่วยงานรัฐบาล และองค์กรด้านพลังงานของอาเซอร์ไบจานโดยการใช้ประโยชน์จากโคโรนาไวรัสเป็นหัวข้อในการหลอกล่อเหยื่อ

การขโมยข้อมูลของ YoroTrooper เริ่มต้นด้วยการใช้มัลแวร์ เช่น Ave Maria (หรือที่รู้จักในชื่อ Warzone RAT), LodaRAT, Meterpreter และ Stink ทำหน้าที่เป็นส่วนหนึ่งในการแพร่กระจายมัลแวร์ผ่านทาง shortcut files (LNKs) ในไฟล์ ZIP หรือ RAR ผ่านการโจมตีแบบ spear-phishing

โดยไฟล์ LNK ทำหน้าที่เป็นตัวดาวน์โหลดเพื่อเรียกใช้งานไฟล์ HTA ที่สามารถดึงข้อมูลจากเซิร์ฟเวอร์ภายนอก (remote server) ได้ ส่วนไฟล์เอกสาร PDF จะถูกใช้เพื่อเป็นช่องทางในการติดตั้งมัลแวร์สำหรับขโมยข้อมูล และส่งข้อมูลออกไปผ่านทาง Telegram

การใช้งาน LodaRAT เป็นที่น่าสนใจ เนื่องจากมัลแวร์ตัวนี้ถูกใช้งานในการขโมยข้อมูลจากกลุ่มผู้โจมตีอีกหลายราย เช่น Kasablanka ซึ่งพบว่ามีการใช้งาน Ave Maria (หรือที่รู้จักในชื่อ Warzone RAT) ในแคมเปญล่าสุดที่กำหนดเป้าหมายการโจมตีไปที่รัสเซีย

YoroTrooper ยังมีการปรับใช้เครื่องมือเสริมอื่น ๆ ได้แก่ Backshell และ Keylogger ที่สร้างขึ้นมาเองโดยใช้ภาษา C ซึ่งสามารถบันทึกการกดแป้นพิมพ์ และบันทึกลงในไฟล์บนฮาร์ดดิสก์ได้

 

ที่มา : thehackernews