Hacker “Dark Caracal” ใช้ Backdoor Trojan “Bandook”
วิจัยพบกลุ่ม Hacker “Dark Caracal” ใช้ Backdoor Trojan “Bandook” โดยกำหนดเป้าหมายการโจมตีไปที่ หน่วยงานรัฐบาล สถาบันกฎหมาย และ สถาบันการเงิน ในหลาย ๆ ประเทศ
ขั้นตอนการติดเชื้อนั้น เมื่อเหยื่อทำการดาวน์โหลดไฟล์ .Zip ซึ่งภายในมีเอกสาร Microsoft Word ที่ฝัง Script อันตรายจาก Website ภายนอก หากเหยื่อเปิดเอกสารขึ้นมา Macros ที่อันตรายจะถูกดาวน์โหลดขึ้นมาเพื่อเรียกใช้ PowerShell Script
PowerShell Script ทำการดาวน์โหลดไฟล์.Zip จาก Dropbox หรือ Bitbucket ซึ่งไฟล์ .Zip จะถูกเก็บไว้ Folder ของเหยื่อ และไฟล์จะถูกแตกออกมาภายในเครื่อง เพื่อใช้เป็นส่วนประกอบของ “Bandook Loder”
จากนั้น “Bandook Loder” จะใช้ Process Hollowing เพื่อทำการฝัง Backdoor Trojan “Bandook” เข้าสู่ Internet Explorer process
IOC
C2 Domains
ntsclouds[.]com, jtoolbox[.]org, idcmht[.]com, htname[.]info, vdscloud[.]net, mainsrv[.]top, olex[.]live, branchesv[.]com, s1[.]megawoc[.]com, s2[.]megawoc[.]com, s3[.]megawoc[.]com, s1[.]fikofiko[.]top, s2[.]fikofiko[.]top, s3[.]fikofiko[.]top, d1[.]p2020[.]club, d2[.]p2020[.]club, pronews[.]icu, p2020[.]xyz, 2ndprog[.]monster, ercuc[.]com, tancredis[.]com, ec2[.]mbcde[.]net, nopejohn[.]com
External Templates
horizongb[.]com, styleco[.]me, ewsdocs[.]com, raysdoor[.]com, vsimperial[.]com, mxtms[.]com
MD5
27f8d8bbbeeda5fc439ee18d9d4da343
44584c8d010242fddb44afe5ce860872
a6501c62b3a6ffa8d028a88138fe509f
7c15ee5b9a12dacaace8fb62271f12f1
4e9e12c98cfbc5f3aa3c1345bd063fa0
7ef261c151519e66ec369c63e4b1aed4
6effed1b1bb5e9ed6aafacb075c1d4e2
0475771b8bc3efc28b1834f3add608f3
045ce6679ed4086e2ded58470e24c15a
28ad9ace11919b57bf540e2b9debf8dd
5a3f7c46748791494e29383d1f58a908
07776b2dd00bcd0be1c7713c37d41120
d22b31848b6f17efc87d538dede2f2a7
b9b8d6f46ff3a9058ffe4b304604b4e7
573c7dbf4d3aed421bff58df770610fe
f037f3961f7d9fe1eb7afa889b556cb1
d1600f45005aa8b8fcbb446f34f7b9f5
4d7e67ed02713c789336f8804231b1ca
9bcf889b14968c61df95961a161719ba
54ad403349831b175a98a429f818f02a
83311c960609418d5f0a5160324ceb1d
96f09c5c56f59c733d1a9b01fea0cfb4
b5138c77983dba10c4976c411161bbf9
53b7bdd75776f342bf5f5395d4c46520
07111aff7afc052a81f267ea2e83dcef
eb402e8dd2cae58476acc8e697ee7171
cfea49c577ef865de659d5b8025db3f9
วิธีการป้องกัน
1. สร้างความตระหนักถึงภัยคุกคามทางไซเบอร์ ไม่ควรเข้าชม Website ที่ไม่น่าเชื่อถือ
2. หากทำการดาวน์โหลดไฟล์มาจาก Website ภายนอก ควรตรวบสอบไฟล์ด้วย Sandboxing Online เช่น Virustotal หรือ Hybrid-analysis
3. ใช้ Software Anti-Virus เพื่อป้องกันการดาวน์โหลดไฟล์ที่เป็นอันตราย
4. ควร Scan เครื่อง Computer ของคุณอย่างสม่ำเสมอ
5. บล็อก Domain ที่ได้กล่าวไว้ตาม IOC