กรุงเทพฯ--27 ก.ย.--โอเอซิส มีเดีย
ก่อนหน้าการประชุมสุดยอด G20 ในช่วงสัปดาห์นี้ที่เมืองเซนต์ปีเตอร์สเบิร์ก ประเทศรัสเซีย ไซแมนเทคพบว่าผู้โจมตีกำลังใช้ประโยชน์จากชื่อเสียงของการประชุมดังกล่าวเป็นเหยื่อล่อสำหรับการโจมตีแบบเจาะกลุ่มเป้าหมายหนึ่งในแคมแปญที่เราตรวจพบมุ่งโจมตีกลุ่มเป้าหมายหลายกลุ่ม รวมถึงสถาบันการเงิน หน่วยงานราชการ และองค์กรที่มีส่วนเกี่ยวข้องกับการพัฒนาเศรษฐกิจ
อีเมลปลอมฉบับหนึ่งถูกส่งในนามของตัวแทน G20 มีรายละเอียดว่า:ขอขอบคุณที่ช่วยส่งต่อชุดเอกสารล่าสุด (building blocks) ข้อคิดเห็นของ UK ปรากฏอยู่ในไฟล์ที่แนบมานี้ หวังว่าจะได้พบท่านที่เซนต์ปีเตอร์สเบิร์กในไม่ช้า
Building Blocksที่กล่าวถึงเป็นหัวข้อหลักของเอกสารหลายฉบับ ซึ่งระบุข้อคิดเห็นของรัฐบาลอังกฤษเกี่ยวกับ แนวทาง และพื้นฐาน สำหรับการพัฒนา การต่อต้านคอรัปชั่น และการจ้างงาน
ไฟล์ RAR ถูกแนบมากับอีเมล โดยประกอบด้วยไฟล์เอกสาร 5 ไฟล์ และมี 2 ไฟล์ที่เป็นชนิดไฟล์ที่ต่างออกไป ที่จริงแล้วหนึ่งในเอกสารนั้นเป็นโค้ดโปรแกรม ขณะที่ไฟล์ .msg เป็นไฟล์ .lnk ซึ่งเคยถูกใช้ในการโจมตีก่อนหน้านี้ หากเหยื่อพยายามที่จะรันไฟล์ .msg ก็จะมีการรันทั้งโค้ดอันตรายและเอกสารที่ปลอดภัย ไฟล์ทั้งห้า และ MD5s ของแต่ละไฟล์มีดังนี้:
เหยื่อจะเห็นเอกสาร โดยประเด็นที่น่าสนใจเกี่ยวกับเอกสารดังกล่าวก็คือ แต่ละไฟล์มีการเปิดใช้งานการติดตามการเปลี่ยนแปลง (Track Changes) และประกอบด้วยข้อคิดเห็นจาก UK ตามที่กล่าวถึงในอีเมลต้นฉบับ ในตอนนี้ เรายังไม่สามารถยืนยันได้ว่าเอกสารเหล่านี้เป็นของจริงหรือไม่ แต่จากการสังเกตการณ์ เราพบว่ามีการแก้ไขเอกสารเมื่อช่วงต้นเดือนนี้ โดยระบุว่าไฟล์ถูกแก้ไขล่าสุดโดยผู้ใช้ที่มีชื่อว่า “UK Government”
โค้ดอันตรายที่รันในส่วนพื้นหลังมีชื่อว่า Poison Ivy โดยไซแมนเทคตรวจพบว่ามัลแวร์ดังกล่าวคือ Backdoor.Darkmoon
Backdoor.Darkmoon เป็นโทรจันสำหรับการเข้าถึงระยะไกล (Remote Access Trojan - RAT) ที่มีชื่อเสียง ถูกใช้ในแคมเปญการโจมตีแบบเจาะกลุ่มเป้าหมายหลากหลายแคมเปญในช่วงเวลาหลายปีที่ผ่านมา รวมถึง The Nitro Attacks ที่ไซแมนเทครายงานเมื่อปี 2554
[http://]www.verizon.itemdb.com
[http://]www.verizon.dynssl.com
[http://]www.verizon.proxydns.com
เมื่อเรียกใช้งาน Backdoor.Darkmoon เวอร์ชั่นนี้จะคัดลอกตัวเองไปยัง %Windir% โดยใช้ชื่อว่า winupdsvc.exe จากนั้นจะพยายามเชื่อมต่อกับ URL ต่อไปนี้บนพอร์ต 80, 8080 หรือ 443:
[http://]www.verizon.itemdb.com
[http://]www.verizon.dynssl.com
[http://]www.verizon.proxydns.com.
ขณะที่แคมเปญนี้ใช้ Darkmoon เรายังพบแคมเปญอื่นๆ จากกลุ่มเดียวกันซึ่งใช้ภัยคุกคามที่แตกต่างกัน เมื่อเดือนที่แล้ว เราพบว่ามีการใช้เครื่องมือ Java remote access tools (jRAT) ที่เราระบุว่าเป็น Backdoor.Jeetrat และ Backdoor.Opsiness หรือเรียกอีกชื่อหนึ่งว่า Frutas RAT
ทีมงาน Security Response ของไซแมนเทครับทราบว่า ยังมีกลุ่มอื่นๆ ที่ใช้การประชุม G20 เป็นหัวข้อในการโจมตีแบบเจาะกลุ่มเป้าหมาย ซึ่งแสดงให้เห็นว่าการประชุมดังกล่าวได้รับความนิยมในหมู่ผู้โจมตี และถูกใช้เป็นเหยื่อล่ออย่างกว้างขวาง