นักวิจัยค้นพบมัลแวร์ชนิดใหม่จากกลุ่มผู้ไม่ประสงค์ดีชาวอิหร่าน

กลุ่มผู้ไม่ประสงค์ดีชาวอิหร่านได้ทำการโจมตีกลุ่มเป้าหมายชาวเลบานีสโดยการฝัง backdoor ในเครื่องเป้าหมายเพื่อขโมยข้อมูล 

          กลุ่มผู้ไม่ประสงค์ดีที่ใช้ชื่อว่า “APT34” หรือที่รู้จักในนาม “OilRig” เป็นที่รู้จักดีในการค้นหาเป้าหมายการโจมตีในกลุ่มสถาบันการเงิน องค์กรภาครัฐ กลุ่มพลังงาน และธุรกิจการสื่อสาร 

          การโจมตีเป้าหมายกระทำโดยการส่งข้อความผ่าน “LinkedIn message” โดยมีไฟล์เอกสารเสนอตำแหน่งงานซึ่งมี malicious macros ฝังอยู่ให้แก่เป้าหมาย 

ตัวอย่างเอกสารที่ APT34 ใช้ส่งถึงเป้าหมายการโจมตี 

 เมื่อเป้าหมายเปิดใช้ macros จะทำให้เครื่องติดไวรัสและถูกติดตั้ง backdoor ที่มีชื่อว่า “SideTwist” ที่สามารถติดต่อกลับไปยังรีโมทเซิร์ฟเวอร์เพื่อดาวน์โหลดไฟล์เพิ่มเติมสำหรับใช้ในการโจมตี และสามารถขโมยข้อมูลในเครื่องเป้าหมายได้ 

IOCs: 

Malicious Document:
MD5: 6615c410b8d7411ed14946635947325e
SHA1: 9bba72ac66af84253b55dd7789afc90e0344bf25
SHA256: 13c27e5049a7fc5a36416f2c1ae49c12438d45ce50a82a96d3f792bfdacf3dcd 

SideTwist backdoor:
MD5: 94004648630739c154f78a0bae0bec0a
SHA1: 273488416b5d6f1297501825fa07a5a9325e9b56
SHA256: 47d3e6c389cfdbc9cf7eb61f3051c9f4e50e30cf2d97499144e023ae87d68d5a 

คำแนะนำ 

  • ไม่เปิดไฟล์ที่ส่งมาจากผู้ที่ไม่รู้จัก 
  • ปิดการใช้งาน macros จากไฟล์เอกสาร 

ที่มา : https://thehackernews.com/2021/04/researchers-uncover-new-iranian-malware.html

Share