ຈາກຂໍ້ມູນທີ່ເຜີຍແຜ່ໃນໃນຄັ້ງວັນທີ 08 ທັນວາ 2017 ຂອງເວັບໄຊທ໌ www.laocert.gov.la ໃຫ້ຮູ້ວ່າ ບໍລິສັດ Symantec ພົບເຫັນກຸ່ມຜູ້ກໍ່ການຮ້າຍທາງໄຊເບີໃໝ່ ມີຊື່ວ່າ “SOWBUG” ທີ່ມີພຶດຕິກຳເນັ້ນເປົ້າໝາຍໂຈມຕີອົງກອນດ້ານ ການພົວພັນຕ່າງປະເທດ ຂອງພູມິພາກອາເມລິກາໃຕ້ ແລະ ອາຊີຕາເວັນອອກສຽງໃຕ້, ກຸ່ມ Sowbug ຈະເຂົ້າໄປໂຈລະກຳເອກະສານ ພາຍໃນອົງກອນ ໂດຍຜ່ານທາງ Backdoor ທີ່ແຊກຊຶມເຂົ້າໄປ ໃຊ້ຊື່ຄ້າຍຄືກັບໂປຣແກຣມ Adobe ພ້ອມທັງຕິດຕັ້ງໃນໂຟນເດີຂອງ ໂປຣແກຣມດັ່ງກ່າວເຮັດໃຫ້ກວດຈັບໄດ້ຍາກ.
ບໍລິສັດ Symantec ພົບຫຼັກຖານທໍາອິດຂອງກຸ່ມນີ້ໃນເດືອນ ມີນາ 2017 ທີ່ຜ່ານມາ ຈາກມັນແວ (Malware) ທີ່ເກີດຂຶ້ນມາໃໝ່ຊື່ Felismus ຊຶ່ງມີເປົ້າໝາຍໂຈມຕີໃນອາຊີຕາເວັນອອກສຽງໃຕ້ ໃນຕໍ່ມາມີຜູ້ຕົກເປັນເຫຍື່ອໃນ 2 ຝັ່ງຂອງມະຫາສະມຸດປາຊິຟິກ, ຄວາມຈິງແລ້ວ Symantec ເຄີຍພົບເຫັນການເຄື່ອນໄຫວຂອງກຸ່ມ Sowbug ແລ້ວ ຕັ້ງແຕ່ຕົ້ນປີ 2015 ແລະ ອາດຈະເລີ່ມປະຕິບັດ ການມາກ່ອນໜ້ານັ້ນແລ້ວ ປັດຈຸບັນພົບການໂຈມຕີຈາກກຸ່ມນີ້ ແຊກຊຶມໄປຫາອົງກອນລັດຖະບານຂອງອາເມລິກາໃຕ້ ແລະ ອາຊີຕາເວັນອອກສຽງໃຕ້ ເຊັ່ນ: ອາເຈນຕິນາ, ບຣາຊິວ, ເອກວາດໍ, ເປຣູ, ບຣູໄນ ແລະ ມາເລເຊຍ. ກຸ່ມ Sowbug ມີທ່າແຮງໃນການໂຈມຕີ ແລະ ແຊກຊຶມສູງ ໂດຍສ່ວນຫຼາຍຈະເລືອກໂຈມຕີເວລານອກໂມງການຂອງອົງກອນທີ່ເປັນເປົ້າໝາຍ ເພື່ອເຮັດໃຫ້ກວດຈັບໄດ້ຍາກທີ່ສຸດ.
ໂຈມຕີຢ່າງມີເປົ້າໝາຍ
ຫຼັກຖານທີ່ພົບເຫັນຫຼັງຈາກການແຊກຊຶມຂອງກຸ່ມນີ້ມີຕົວຢ່າງໃຫ້ເຫັນ ເຊັ່ນ: ໃນປີ 2015 ເຂົ້າໂຈມຕີກະຊວງການຕ່າງປະເທດຂອງ ອາເມລິກາໃຕ້, ພົບເຫັນວ່າມີພຶດຕິກຳເພື່ອຄົ້ນຫາຂໍ້ມູນບາງຢ່າງໂດຍເຈດຕະນາ. ຫຼັກຖານທຳອິດຂອງການແຊກຊຶມເກີດຂຶ້ນໃນວັນທີ 6 ພຶດສະພາ 2015 ແຕ່ປະກົດການໂຈມຕີຕົວຈິງແມ່ນວັນທີ 12 ຊຶ່ງກຸ່ມຜູ້ໂຈມຕີນີ້ເບິ່ງຄືມີຄວາມສົນໃຈໃນວຽກງານໜ່ວຍງານໜຶ່ງຂອງ ການທະຫານ ທີ່ເບິ່ງແຍງດ້ານຄວາມສຳພັນກັບພູມິພາກອາຊີປາຊິຟິກ ການປະຕິບັດການທີ່ເກີດຂຶ້ນເທື່ອນັ້ນມີຄວາມຕັ້ງໃຈທີ່ຈະດຶງໄຟລ໌ ເອກະສານ word ທັງໝົດ ທີ່ຢູ່ໃນ ໄຟລ໌ເຊີເວີຂອງໜ່ວຍງານນັ້ນອອກມາໂດຍໃຊ້ຄຳສັ່ງ “cmd.exe /c c:\windows\rar.exe a -m5 -r -ta20150511000000 -v3072 c:\recycler\[REDACTED].rar “\\[REDACTED]\*.docx” \\[REDACTED]\*.doc.” ທີ່ໜ້າສົນໃຈຄືພາຍໃນຄຳສັ່ງໄດ້ລະບຸສະເພາະເອກະສານທີ່ຖືກແກ້ໄຂຈາກວັນທີ 11 ພຶດສະພາ ຂຶ້ນໄປອອກມາເທົ່ານັ້ນ ຜົນການໂຈມຕີເທື່ອນີ້ ຄ້າຍຄືວ່າຈະສຳເລັດ ເພາະຫຼັງຈາກນັ້ນອີກ 1 ຊົ່ວໂມງຕໍ່ມາ ຜູ້ໂຈມຕີກໍ່ໄດ້ກັບມາເອີ້ນໄຟລ໌ທີ່ຖືກແກ້ໄຂໃນວັນທີ 7 ພຶດສະພາ ຂຶ້ນໄປ ຊຶ່ງອາດຈະເປັນໄປໄດ້ວ່າບໍ່ພົບໄຟລ໌ທີ່ຫາຢູ່ ຫຼື ສັງເກດເຫັນວ່າໄຟລ໌ທີ່ຕ້ອງການນັ້ນຢູ່ໃນວັນທີທີກ່ອນໜ້ານັ້ນ ຈຶ່ງເຂົ້າມາ ເກັບຂໍ້ມູນເພີ່ມອີກ.
ການໂຈມຕີຄັ້ງຕໍ່ມາ ຜູ້ໂຈມຕີເນັ້ນເຂົ້າໄປຫາ Remote Share Drive ສະເພາະສຳນັກງານລັດຖະບານທີ່ສົນໃຈ ເພື່ອນຳເອກະສານ word ອອກມາ ໃນກໍລະນີນີ້ຜູ້ໂຈມຕີເລືອກເອົາໄຟລ໌ທີ່ຖືກແກ້ໄຂເລີ່ມແຕ່ວັນທີ່ 9 ພຶດສະພາ ແລະ ຕໍ່ມາມີການຂະຫຍາຍຂອບເຂດການ ຄົ້ນຫາ ໂດຍສະແດງລາຍຊື່ຂອງໄຟລ໌ໃນຫຼາຍໆໂຟນເດີໃນ Remote Share ສ່ວນໜຶ່ງເປັນຂອງໜ່ວຍງານທາງດ້ານການຕ່າງປະເທດຂອງ ອາເມລິກາໃຕ້ທີ່ໄດ້ຮັບຜິດຊອບດ້ານຄວາມສຳພັນລະດັບສາກົນ, ນອກຈາກນີ້ ຍັງໃຊ້ payloads 2 ສ່ວນໃນເຄື່ອງເຊິເວີທີ່ຖືກແຊກຊຶມ. ສະຫຼຸບລວມແລ້ວການໂຈມຕີເທື່ອນີ້ ຜູ້ໂຈມຕີໄດ້ໃຊ້ເວລາຫຼາຍກວ່າ 4 ເດືອນ ຢູ່ໃນລະບົບເຄືອຂ່າຍ.
ສຳຫຼວດເຄືອຂ່າຍຢ່າງລະອຽດເພື່ອບໍ່ໃຫ້ກວດຈັບໄດ້ງ່າຍ
Sowbug ໄດ້ໃຊ້ເວລາກັບເຫຍື່ອບາງລາຍຫຼາຍກວ່າ 6 ເດືອນ ອີກເຕັກນິກໜຶ່ງທີ່ໃຊ້ເພື່ອບໍ່ໃຫ້ຕົນເອງນັ້ນເປັນຈຸດສົນໃຈ ກໍ່ຄືການປອມ ແປງເປັນຊ໋ອບແວທີ່ຖືກໃຊ້ງານເລື້ອຍໆເຊັ່ນ: Windows ຫຼື Adobe Reader ໂດຍການໃຊ້ເຄື່ອງມືທີ່ບໍ່ມີການແກ້ໄຂຊ໋ອບແວຕົວຈິງ ໃຫ້ຄ້າຍຄືກັບໂປຣແກຣມທີ່ຖືກຕ້ອງ ແລະ ວາງໃນໂຟນເດີທີ່ຖືກປອມແປງ ທັງໝົດເຮັດໃຫ້ຜູ້ໂຈມຕີສາມາດລອດພົ້ນຈາກການກວດຈັບ ດ້ວຍສາຍຕາ ຫຼື ບໍ່ເປັນຈຸດສັງເກດເມື່ອເບິ່ງລາຍຊື່ Process ເຊັ່ນຕົວຢ່າງ ໃນເດືອນ ກັນຍາ ປີ 2016 Sowbug ໄດ້ແຊກຊຶມ ເຂົ້າໄປໃນອົງກອນຂອງອາຊີແຫ່ງໜຶ່ງ ແລະ ຕິດຕັ້ງ Backdoor ຊື່ວ່າ Felismus ລົງໃນເຄື່ອງໂດຍໃຊ້ຊື່ adobecms.exe ໃນໂຟນເດີCSIDL_WINDOWS\debug ອີກທັງຍັງຕິດຕັ້ງເຄື່ອງມືເພີ່ມເຕີມໃນ CSIDL_APPDATA\ microsoft\security.
ຜູ້ໂຈມຕີໄດ້ເລີ່ມສໍາຫຼວດເຄື່ອງຂອງເຫຍື່ອຜ່ານ cmd.exe ເພື່ອເກັບຂໍ້ມູນເຊັ່ນ: OS version, Hardware Configuration ແລະ ຂໍ້ມູນເຄືອຂ່າຍ ຫຼັງຈາກນັ້ນອີກ 4 ມື້ຈະກັບມາສ້າງໂຟນເດີຍ່ອຍຊື່ ‘common’ ພາຍໃນ Adobe ທີ່ຢູ່ໃນ Program Files ດັ່ງນີ້ ‘c:\Program Files\Adobe\common’ ແລະ ຕິດຕັ້ງເຄື່ອງມືເພີ່ມເຕີມຊື່ adobecms.exe ຄາດວ່າອາດຈະເປັນ Backdoor ເວີຊັ່ນທີ່ປັບປຸງແລ້ວ ການສຳຫຼວດເຄືອຂ່າຍຄ້າຍຄືຈະສຳເລັດໄປໄດ້ດ້ວຍດີ ເພາະວ່າມີການແຊກຊຶມເຂົ້າໄປໃນເຄື່ອງຄອມພິວເຕີເຄື່ອງອື່ນ ເພີ່ມຂຶ້ນ ຈາກນັ້ນຜູ້ໂຈມຕີຈະກັບມາທີ່ເຄື່ອງທຳອິດອີກຄັ້ງ ແລະ ຕິດຕັ້ງໂປຣແກຣມທີ່ຊື່ fb.exe ຊຶ່ງອາດຈະເປັນໂປຣແກຣມທີ່ເອົາໄວ້ ເພື່ອສຳເນົາ Felismus ໄປຫາເຄື່ອງອື່ນໆ ໂດຍນຳໃຊ້ຊ່ວງເວລາໃນການເຮັດວຽກເທົ່ານັ້ນ ການໂຈມຕີເທື່ອນີ້ໃຊ້ເວລາປະມານ 6 ເດືອນ ຈາກເດືອນ ກັນຍາ 2016 ເຖິງເດືອນ ມີນາ 2017.
ປັດໄຈທີ່ພາໃຫ້ຖືກແຊກຊຶມ
ປັດຈຸບັນນີ້ເຮົາຍັງບໍ່ສາມາດຮູ້ວິທີທີ່ Sowbug ນຳໃຊ້ເຂົ້າແຊກຊຶມເຄືອຂ່າຍຂອງເຫຍື່ອ ແລະ ບາງເທື່ອກໍ່ບໍ່ພົບຫຼັກຖານວ່າ Felismus ເຂົ້າໄປເຄື່ອງເຫຍື່ອໄດ້ແນວໃດ ໂດຍຄາດວ່າມັນຈະຕິດຕໍ່ມາຈາກເຄື່ອງອື່ນທີ່ຖືກແຊກຊຶມກ່ອນໜ້ານີ້ແລ້ວ ແຕ່ມີການໂຈມຕີໃນບາງຄັ້ງ ທີ່ ຖິ້ມຫຼັກຖານວ່າມີການຕິດຕັ້ງ Felismus ໂດຍໃຊ້ເຄື່ອງມືເຊັ່ນ: Starloader (ຄົ້ນພົບໂດຍ Symantec ຊື່ Trojan.Starloader) ການເຮັດວຽກຂອງ Trojan ເມື່ອຕິດຕັ້ງຈະເຂົ້າລະຫັດຕົວເອງຊື່ Stars.jpg, ນອກຈາກນີ້ ມັນຍັງເປັນຊ່ອງທາງໃຫ້ຜູ້ໂຈມຕີດາວໂຫຼດ ເຄື່ອງມືອື່ນ ເຊັ່ນ: Credential Dumpers ແລະ Keyloggers ມາຕິດຕັ້ງເພີ່ມເຕີມເຊັ່ນກັນ ແລະ ບໍ່ຮູ້ວ່າ Startloder ຖືກຕິດຕັ້ງໄດ້ແນວໃດ ຄວາມເປັນໄປໄດ້ຄືອາດຈະຜ່ານທາງການປອມຊ໋ອບແວປັບປຸງ ເພາະ Symantec ພົບວ່າ Starloader ພາຍໃຕ້ຊື່ AdobeUpdate.exe, AcrobatUpdate.exe ແລະ INTELUPDATE.EXE ທີ່ຖືກໃຊ້ສ້າງ Felismus ແລະ ເຄື່ອງມືອື່ນໆ.
ການປ້ອງກັນ
Symactec ແນະນຳວິທີການປ້ອງກັນໂດຍນຳໃຊ້ຜະລິດຕະພັນຄື Web Security Gateway, ProxySG, Advanced Secure gateway, Secure Analytics, Contect Analysis, Malware Analysis, SSL Visibility, PacketShaper ແລະ Symactec ມີ Signature ຂອງ Backdoor ຫຼື ເຄື່ອງມືອື່ນເຊັ່ນ: Backdoor.Felismus, Trojan.Starloader ໃນ ລະບົບ ປ້ອງກັນການບຸກລຸກ (Intrusion Protection System ”IPS”) ກໍ່ສາມາດກວດສອບພຶດຕິກຳໄດ້ເຊັ່ນກັນ ເຮົາຈະບໍ່ຄ່ອຍພົບເຫັນ ກຸ່ມຜູ້ໂຈມຕີທີ່ເນັ້ນໄປຫາອາເມລິກາໃຕ້ຫຼາຍ ແນວໃດກໍ່ຕາມ ກຸ່ມຜູ້ກໍ່ການຮ້າຍທາງໄຊເບີໄດ້ເພີ່ມຂື້ນທຸກປີ, ການພົບເຫັນກຸ່ມ Sowbug ເທື່ອນີ້ແມ່ນສາມາດຢືນຢັນແລ້ວວ່າບໍ່ມີເຂດໃດທີ່ຢູ່ນອກເໜືອຈາກໄພຂົ່ມຂູ່ທີ່ແທ້ຈິງ.
ຂໍຂອບໃຈຂໍ້ມູນດີໆຈາກ: www.laocert.gov.la
0 ความคิดเห็น