อดีตรัฐสหภาพโซเวียตจำนวนหนึ่งก็อยู่ในรายชื่อเป้าหมายเช่นกัน
นักวิจัยที่ติดตามกลุ่มภัยคุกคามแฟนซีแบร์ได้เปิดเผยการกำหนดเป้าหมายอย่างต่อเนื่องของรัฐชาติที่อยู่ในแนวเดียวกับนาโต้ผ่านการรณรงค์ใหม่
ความปลอดภัย
- 8 นิสัยของคนทำงานระยะไกลที่มีความปลอดภัยสูง
- วิธีค้นหาและลบสปายแวร์ออกจากโทรศัพท์ของคุณ
- บริการ VPN ที่ดีที่สุด: 5 อันดับแรกเปรียบเทียบได้อย่างไร?
- จะทราบได้อย่างไรว่าคุณมีส่วนร่วมในการละเมิดข้อมูลหรือไม่ และต้องทำอย่างไรต่อไป
ตามที่นักวิจัยจาก Palo Alto Networks การโจมตีระลอกล่าสุดซึ่งมีป้ายกำกับว่าเป็นขบวนการ "Dear Joohn" ก็กำลังโจมตีอดีตรัฐชาติสหภาพโซเวียตเช่นกัน
ในโพสต์บล็อก สัปดาห์นี้ ทีมงานกล่าวว่า Fancy Bear หรือที่รู้จักในชื่อ Sofacy, APT28, STRONTIUM, Pawn Storm และ Sednit เป็นกลุ่มที่โดดเด่นซึ่งมีความสัมพันธ์ทางการเมือง เช่นเดียวกับองค์กรเอกชน
APT เปิดใช้งานมาตั้งแต่ปี 2014 เป็นอย่างน้อย และมีความเชื่อมโยงกับการโจมตีทางไซเบอร์ต่อสหรัฐฯ คณะกรรมการแห่งชาติประชาธิปไตย (DNC) หน่วยงานต่อต้านการใช้สารต้องห้ามโลก (WADA) กองทัพยูเครน และ อื่น ๆ อีกมากมาย โดยทั่วไปเชื่อกันว่าผู้แสดงภัยคุกคามได้รับการสนับสนุนจากรัฐบาลรัสเซีย
แฟนซีแบร์ก็มี เพิ่งได้รับการเชื่อมต่อ ไปจนถึง Earworm ซึ่งเป็นกลุ่มแฮ็กรัสเซียที่แยกจากกัน เนื่องจากมีการแบ่งปันเครื่องมือและโครงสร้างพื้นฐาน
แคมเปญนี้ได้รับการปรับปรุงใหม่ในช่วงท้ายด้วยการติดตั้งเอกสารติดอาวุธที่เพิ่มขึ้นภายใต้ชื่อ "Joohn" ซึ่งใช้เครื่องมือ Zebrocy และ Cannon
ในช่วงเดือนตุลาคมและพฤศจิกายนของปีนี้ เป้าหมายที่ตั้งอยู่ในสี่ทวีปกลายเป็นผู้รับเอกสารของ Joohn
พาโล อัลโตเก็บตัวอย่างเก้าตัวอย่างจากองค์กรที่อาจตกเป็นเหยื่อ รวมถึงสำนักงานการต่างประเทศและหน่วยงานรัฐบาล ในแต่ละกรณี เวกเตอร์การโจมตีเบื้องต้นคือฟิชชิ่งแบบหอก โดยมีชื่อไฟล์ที่สร้างขึ้นเพื่ออ้างอิงถึงประเด็นทางการเมืองในปัจจุบัน เช่น Brexit เหตุเครื่องบินตกของ Lion Air และการโจมตีด้วยจรวดในอิสราเอล
ผู้รับข้อความเหล่านี้ซึ่งส่งจากที่อยู่อีเมลซึ่งมีลักษณะคล้ายกับหน่วยงานรัฐบาลที่ถูกกฎหมาย จะถูกขอให้ดาวน์โหลดไฟล์ Microsoft Word ที่เป็นอันตราย
เอกสารเหล่านี้จะดึงมาโครที่เป็นอันตรายและขออนุญาตจากผู้ใช้เพื่อเปิดใช้งานมาโครเพื่อแพร่เชื้อไปยังระบบของเหยื่อ
"เอกสารการจัดส่งส่วนใหญ่มีภาพล่อทั่วไปที่ขอให้เหยื่อเปิดใช้งานมาโครโดยไม่มีเนื้อหาเพิ่มเติม ดูเหมือนว่าฝ่ายตรงข้ามจะอาศัยเพียงชื่อไฟล์ล่อลวงเพื่อล่อลวงเหยื่อให้เปิดเอกสารที่เป็นอันตราย” นักวิจัย พูดว่า.
ภาพล่อเหล่านี้บางส่วนอาจมีแมวน้ำ EOD ของ NATO ตัวอย่างหนึ่งที่บริษัทได้รับมีคำแนะนำเป็นภาษารัสเซีย ซึ่งทีมงานกล่าวว่า "อาจบ่งชี้ว่าเป้าหมายที่ตั้งใจไว้คือรัฐชาติที่พูดภาษารัสเซีย"
ดูสิ่งนี้ด้วย: อดีตซีอีโอ Mt. Gox อาจเผชิญโทษจำคุก 10 ปีในคดียักยอกเงิน
หากเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ของ Fancy Bear ทำงานอยู่เมื่อดำเนินการเอกสาร แมโครจะถูกโหลดผ่านเทมเพลตระยะไกล อย่างไรก็ตาม หากไม่ได้ใช้งาน ข้อความแจ้งเปิดใช้งานแมโครจะไม่ปรากฏขึ้น
ชื่อผู้แต่ง Joohn ถูกใช้ในเอกสารส่วนใหญ่ที่ได้รับ เช่นเดียวกับเทมเพลตระยะไกล นอกจากนี้ ปรากฏว่า C2 ที่ใช้ IP ที่ใช้ในแคมเปญ Dear Joohn นั้นแยกจากโครงสร้างพื้นฐานโครงการอาชญากรรมอื่นๆ ที่แฟนซีแบร์ใช้
เมื่อดำเนินการแล้ว เอกสารจะส่ง Cannon และ Zebrocy Trojans ผู้โจมตีใช้ตัวแปร Zebrocy จำนวนหนึ่งและเขียนเป็นภาษาต่างๆ รวมถึง Delphi, C# และ VB.NET
เทครีพับลิค: 15 ทักษะที่คุณต้องเป็นแฮ็กเกอร์หมวกขาวและสร้างรายได้สูงถึง 145,000 ดอลลาร์ต่อปี
ก่อนหน้านี้นักวิจัยรู้จักเฉพาะตัวแปรเดลฟีเท่านั้น
โทรจันสามารถรวบรวมข้อมูลระบบและส่งสิ่งนี้ไปยังเซิร์ฟเวอร์ C2 ผ่านการร้องขอ HTTP POST รับและดำเนินการในเพย์โหลดส่งคืน เช่น ชุดทดสอบการเจาะโอเพ่นซอร์ส Koadic
ตัวอย่างปืนใหญ่ที่รู้จักชุดแรกถูกรวบรวมในเดือนเมษายนปีนี้ ที่ เครื่องมือ C# เชื่อกันว่ามีอย่างน้อยเจ็ดรสชาติและฟังก์ชั่นเป็นตัวดาวน์โหลดโดยการส่งอีเมลไปยังเซิร์ฟเวอร์ C2 เพื่อรับเพย์โหลดเพิ่มเติม
อย่างไรก็ตาม Cannon ยังมีวิธีการรวบรวมข้อมูลระบบ ถ่ายภาพหน้าจอเดสก์ท็อป และรักษาความคงอยู่ผ่านกลไกที่หลากหลาย
“เราเชื่อว่าเราได้พบรูปแบบปืนใหญ่ที่เขียนด้วยภาษาเดลฟีด้วย” พาโลอัลโตกล่าว “เราได้เห็น Sofacy ใช้หลายภาษาเพื่อสร้างตัวแปรของโทรจัน Zebrocy ดูเหมือนว่า เหมาะสมที่กลุ่มจะสร้างรูปแบบเพิ่มเติมของ Cannon ในภาษาการเขียนโปรแกรมหลายภาษา ดี."
ซีเน็ต: มีรายงานว่าแฮกเกอร์เชื่อมโยงกับอิหร่านมุ่งเป้าไปที่นักเคลื่อนไหวและเจ้าหน้าที่สหรัฐฯ
“กลุ่มแสดงให้เห็นอย่างชัดเจนว่าต้องการใช้เครื่องมือดาวน์โหลดอย่าง Zebrocy เป็นเพย์โหลดขั้นแรกในการโจมตีเหล่านี้” นักวิจัยกล่าวเสริม "กลุ่มยังคงพัฒนารูปแบบใหม่ของ Zebrocy โดยการเพิ่มเวอร์ชัน VB.NET และ C# และปรากฏว่าพวกเขายังใช้เครื่องมือ Cannon รูปแบบที่แตกต่างกันในแคมเปญการโจมตีที่ผ่านมา"
ย้อนกลับไปเมื่อเดือนกันยายน นักวิจัยของ ESET เปิดเผย แคมเปญแฟนซีแบร์แยกต่างหากซึ่งใช้ LoJack ในสิ่งที่อาจเป็นกรณีแรกของรูทคิท UEFI ในป่า
ทีมงานกล่าวว่าชุดรูทคิทนั้นมาพร้อมกับชุดเครื่องมือการกู้คืนระบบ LoJack ที่ถูกต้องตามกฎหมาย ซึ่งสามารถแพทช์ระบบของเหยื่อเพื่อติดตั้งมัลแวร์ในระดับเฟิร์มแวร์
ราคาไม่แพง: เทคโนโลยีชั้นนำ อุปกรณ์ต่างๆ ราคาต่ำกว่า 100 ดอลลาร์
ความคุ้มครองก่อนหน้าและที่เกี่ยวข้อง
- จีนกล่าวโทษการละเมิดข้อมูลของแมริออท
- ข้อบกพร่องด้านความปลอดภัย Android และ iOS ที่อันตรายที่สุดหลายประการในปี 2018 ยังคงคุกคามความปลอดภัยบนมือถือของคุณ
- มัลแวร์ Android ขโมยเงินจากบัญชี PayPal ในขณะที่ผู้ใช้ดูทำอะไรไม่ถูก