ແຮັກເກີກຸ່ມ TetrisPhantom ລັກຂໍ້ມູນຈາກ USB Drive ທີ່ມີຄວາມປອດໄພໃນລະບົບ ຂອງລັດຖະບານ

ກຸ່ມ​ແຮັກ​ເກີ​ໃໝ່​ ທີ່​ຖືກ​ຕິດ​ຕາມ​ໃນ​ຊື່ ‘TetrisPhantom’ ໄດ້​ໃຊ້ secure USB drives ເພື່ອ​ໂຈມ​ຕີ​ລະບົບ​ຂອງ​ລັດຖະບານ​ໃນ​ເອ​ເຊຍປາ​ຊິ​ຟິກ.

Secure USB drives ຈະ​ໃຊ້​ຈັດ​ເກັບ​ຂໍ້​ມູນ​ໄວ້​ໃນ​ສ່ວນ​ທີ່​ເຂົ້າ​ລະ​ຫັດ​ຂອງ​ອຸປະກອນ ແລະ​ ໃຊ້​ເພື່ອ​ຖ່າຍ​ໂອນ​ຂໍ້​ມູນ​ຢ່າງ​ປອດໄ​ພ ລະຫວ່າງ ​ລະບົບ​ຕ່າງໆ ລວມ​ເຖິງ​ລະບົບ ​ທີ່​ຖືກ​ແຍກ​ອອກ​ມາ​ຈາກ​ເຄືອ​ຂ່າຍ.

ການ​ເຂົ້າ​ເຖິງ​ພາ​ດ​ຕິ​ຊັນ ​ທີ່​ໄດ້ຮັບ​ການ​ປ້ອງ​ກັນ​ນັ້ນ ຈະ​ຕ້ອງ​ໃຊ້​ງານ​ຜ່ານ​ທາງ​ຊອບ​ແວ ​ທີ່​ຖືກ​ກຳນົດ​ຂຶ້ນ ຊຶ່ງ​ຈະ​ທຳການ​ຖອດ​ລະ​ຫັດຂໍ້ມູນ​ດ້ວຍ​ລະ​ຫັດ​ຜ່ານ​ ທີ່​ຜູ້​ໃຊ້​ລະ​ບຸ ໜຶ່ງ​ໃນ​ຊອບ​ແວ​ເຫຼົ່າ​ນັ້ນ​ຄື UTetris.exe ຊຶ່ງ​ຢູ່ໃນ​ສ່ວນ ​ທີ່​ບໍ່ໄດ້ເຂົ້າ​ລະ​ຫັດ​ຂອງ USB drives.

ນັກ​ວິໃ​ຈ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ກວດພົບ​ໂຕຣ​ຈັນ​ ຂອງ​ແອັບ​ພລິ​ເຄ​ຊັນ UTetris ທີ່​ໃຊ້​ໃນ secure USB devices ໃນ​ແຄມ​ເປນ (Campaign) ​ການ​ໂຈມ​ຕີ​ທີ່​ດຳ​ເນີນ​ມາ​ເປັນໄລ​​ຍະເວລາ​ຢ່າງ​ນ້ອຍ 2-3 ປີ ແລະ ​ມີ​ເປົ້າ​ໝາຍ​ເປັນ​ລັດຖະບານ​ໃນ​ພູມິພາກ​ເອ​ເຊຍປາ​ຊິ​ຟິກ.

ຕາມ​ລາຍ​ງານຫ​ລ່າ​ສຸດ​ຂອງ Kaspersky ກ່ຽວກັບ​ແນວ​ໂນ້ມ​ຂອງ​ກຸ່ມ APT, ກຸ່ມ TetrisPhantom ມີ​ການ​ໃຊ້​ເຄື່ອງ​ມື ຄຳ​ສັ່ງ ແລະ ​ສ່ວນ​ປະກອບ​ມັນ​ແວ​​ຕ່າງໆ ຊຶ່ງ​​ຊີ້​ໃຫ້ເຫັນວ່າ​ ເປັນ​ກຸ່ມ​ແຮັກ​ເກີ ​ທີ່​ມີ​ຄວາມ​ຊັບ​ຊ້ອນ ແລະ ​ມີ​ຊັບພະ​ຍາກ​ອນ​ຫລາຍ​ໃນ​ການ​ດຳ​ເນີນ​ການ.

ການ​ໂຈມ​ຕີ​ນີ້ ​ໃຊ້​ເຄື່ອງ​ມື ແລະ​ ເຕັກ​ນິກ​ ທີ່​ຊັບ​ຊ້ອນ, ລວມ​ເຖິງ​ການສ້າງ​ຄວາມ​ສັບ​ສົນ​ໃຫ້​ກັບ​ຊອບ​ແວ virtualization-based, ການ​ສື່​ສານ​ແບບ low-level ກັບ USB drive ໂດຍ​ໃຊ້ SCSI commands ໂດຍ​ກົງ, ການ​ຈຳ​ລອງ​ຕົວ​ເອງ​ຜ່ານ secure USB drives ທີ່​ເຊື່ອມ​ຕໍ່​ກັນ ​ເພື່ອ​ແຜ່ກະ​ຈາຍ​ໄປ​ທີ່​ລະບົບ​ທີ່​ແຍກ​ອອກຈາກ​ເຄືອ​ຂ່າຍ ແລະ ​ການ​ແຊກ​ໂຄ້​ດ​ເຂົ້າໄປ​ໃນ​ໂປຣ​ແກຣມ​ການ​ຈັດການ​ການ​ເຂົ້າ​ເຖິງ ​ທີ່​ຖືກ​ຕ້ອງ​ໃນ USB drive ຊຶ່ງ​ເຮັດ​ຫນ້າທີ່​ເປັນ​ຕົວ​ໂຫຼດ​ມັນ​ແວໃນ​ຄອມພິວເຕີ​ເຄື່ອງ​ໃໝ່.

ລາຍ​ລະອຽດ​ການ​ໂຈມ​ຕີ

Kaspersky ອະທິບາຍ​ເພິ່ມເຕິມ​ວ່າ ການ​ໂຈມ​ຕີ​ດ້ວຍ​ແອັບ Utetris ທີ່​ຖືກ​ຝັງ​ມັນ​ແວ ເລີ່ມ​ຕົ້ນ​ດ້ວຍ​ການ​ເປີດ payload ​ທີ່​ຮຽກວ່າ AcroShell ເທິງ​ຄອມພິວເຕີ ​ຂອງ​ເປົ້າ​ໝາຍ.

AcroShell ຈະ​ສ້າງ​ຊ່ອງ​ທາງ​ການ​ສື່​ສານ​ກັບ C2 ເ​ຊິ​​ເວີຂອງ​ຜູ້​ໂຈມ​ຕີ ແລະ ​ສາມາດ​ດຶງ ແລະ ​ຮຽກ​ໃຊ້​ Payload ​ເພິ່ມເຕິມ ​ເພື່ອ​ລັກ​ເອກະສານ ແລະ ​ໄຟ​ລ​໌ ​ທີ່​ມີ​ຄວາມ​ສຳຄັນ ແລະ ​ລວບລວມ​ລາຍ​ລະອຽດ​ສະເພາະ ​ກ່ຽວກັບ USB drive ທີ່​ເປົ້າ​ໝາຍ​ໃຊ້.

ຜູ້​ໂຈມ​ຕີ​ຍັງ​ໃຊ້​ຂໍ້​ມູນ​ ທີ່​ລວບລວມ​ດ້ວຍ​ວິທີ​ນີ້​ ເພື່ອ​ການ​ວິໄ​ຈ ແລະ ​ພັດທະນາ​ມັນ​ແວ​ອື່ນ​ທີ່​ຮຽກວ່າ XMKR ແລະ​ໂປຣ​ແກຣມ UTetris.exe ທີ່​ຖືກ​ຝັງ​ມັນ​ແວ ​ເພື່ອ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ.

XMKR ສາມາດ​ລັກ​ໄຟ​ລ​໌ ​ເພື່ອ​ການ​ສອດແນມ ແລະ ​ຂຽນ​ຂໍ້​ມູນ​ລົງ​ເທິງ USB drives ຂໍ້​ມູນ​ເທິງ USB ທີ່​ຖືກ​ໂຈມ​ຕີ​ ຈະ​ຖືກ​ນຳ​ອອກ​ໄປ​ທີ່ເ​ຊິ​ເວີຂອງ​ຜູ້​ໂຈມ​ຕີ ເມື່ອ​ອຸປະກອນ​ຖືກ​ສຽບ​ເຂົ້າ​ກັບ​ຄອມພິວເຕີ​ທີ່​ເຊື່ອມ​ຕໍ່​ອິນ​ເຕີ​ເນັດ ແລະ ​ໄດ້ຮັບ​ການ​ຄວບ​ຄຸມ​ໂດຍ​ໂປຣ​ແກຣມ AcroShell.

Kaspersky ໄດ້​ຄົ້ນ​ພົບ ແລະ​ ວິ​ເຄາະ​ຕົວ​ຢ່າງ​ຂອງ​ໂປຣ​ແກຣມ Utetris ສອງ​ຕົວ ໄດ້​ແກ່ ຮຸ່ນ 1.0 ຊຶ່ງ​ໃຊ້​ລະຫວ່າງ​ເດືອນ ​ກັນຍາ ​ເຖິງ ​ຕຸລາ 2022 ແລະ ​ຮຸ່ນ 2.0 ຊຶ່ງ​ໃຊ້​ໃນ​ເຄືອ​ຂ່າຍ​ ຂອງ​ລັດຖະບານ ​ຕັ້ງ​ແຕ່​ເດືອນ ​ຕຸລາ 2022 ຈົນ​ເຖິງ​ປະຈຸບັນ.

Kaspersky ລາຍ​ງານ​ວ່າ ​ການ​ໂຈມ​ຕີ​ເຫຼົ່າ​ນີ້​ດຳ​ເນີນ​ມາ​ຢ່າງ​ຕໍ່​ເນື່ອງ​ເປັນ​ເວລາ​ຢ່າງ​ນ້ອຍ 2-3 ປີ​ແລ້ວ ໂດຍ​ມີ​ເປົ້າ ​ໝາຍ​ຫຼັກ​ໃນ​ການ​ສອດແນມ​ຂອງ TetrisPhantom ນັກ​ວິ​ໄຈ​ພົບ​ການ​ໂຈມ​ຕີ​ຈຳນວນ​ນ້ອຍ​ໃນ​ເຄືອ​ຂ່າຍ​ຂອງ​ລັດຖະບານ​ໃນ​ພູມິພາກ​ເອ​ເຊຍ​ປາ​ຊິ​ຟິກ ຊຶ່ງ​ສະແດງ​ໃຫ້​ເຫັນ​ວ່າ ​ມີ​ເປົ້າ​ໝາຍ​ຂອງ​ການ​ດຳ​ເນີນ​ການ​ໂຈມ​ຕີ

ທີ່​ມາ : www.bleepingcomputer.com/news/security/new-tetrisphantom-hackers-steal-data-from-secure-usb-drives-on-govt-systems/

789 Views