ยังคงพยายามสืบเรื่องราวไปเรื่อยๆกับการหาต้นตอของ Petya ล่าสุดพบว่า M.E. Doc Software ซึ่งเป็น Software ที่เชื่อกันว่าเป็นแหล่งแพร่กระจายของ Petya เคยโดน hack มา 3 ครั้งแล้วด้วยกัน

จากการที่ยึดเครื่อง Server มา (ซึ่งเป็นของบริษัท Intellect Service ที่เป็นเจ้าของ M.E. Doc) ซึ่งมีการจัดการที่ไม่ดี ไม่มีการ update มาตั้งแต่ 2013 (ทาง Fujitsu UK Team ได้กล่าวว่ามีช่องโหว่มากมายทั้ง OpenSSH version เก่า, Web Server, FTP Server เก่าๆ)ทำให้โดนเจาะฝัง backdoor มาแล้ว 3 ครั้งด้วยกันในช่วงไม่กี่เดือนที่ผ่านมา ผู้โจมตีเข้าถึง M.E.Doc โดยใช้ credential ของพนักงาน มีการฝังทั้ง backdoor ใน M.E.Doc แล้วยังมีการฝัง webshell ไว้ใน web server อีกด้วย โดยฝัง backdoor ดังกล่าวในไฟล์ที่ชื่อว่า “ZvitPublishedObjects.dll,” ซึ่งเป็นส่วนหนึ่งของ package ในการ install และ update ของ M.E. Doc

ทั้ง ESET และ CISCO ยืนยันว่าพบมีการใช้งาน TeleBots ฝังไว้ใน backdoor ดังกล่าวด้วย โดยพบว่ามีการฝังใน 3 version ด้วยกัน

  • M.E.Doc version 01.175-10.01.176, ออกเมื่อ 14 เมษายน 2017
  • M.E.Doc version 01.180-10.01.181, ออกเมื่อ 15 พฤษภาคม 2017
  • M.E.Doc version 01.188-10.01.189, ออกเมื่อ 22 มิถุนายน 2017

Backdoor ดังกล่าวทำให้ Hacker remote execute code ไปยังเครื่องที่ติดตั้ง M.E.Doc ได้, นั่นคือทำไมเค้าถึงส่ง NotPetya ransomware ไปยังเครื่องของ users และบริษัทต่างๆที่ลงไฟล์เหล่านี้ได้ โดยการฝังในครั้งแรกน่าจะเป็นการทดสอบ ในขณะครั้งที่ 2 และ 3 จะส่งไฟล์ XData และ NotPetya ransomware ไปให้ อีกทั้งตัว backdoor มีการใส่ส่วนเก็บข้อมูล ID ท่ีเป็น financial code ของแต่ละธุรกิจใน Ukraine ในเครื่องที่ติดตั้งใน M.E.Doc software ด้วย

ESET researcher Anton Cherepanov กล่าวว่า backdoor นั้นมีความซับซ้อนมาก ใช้ tricks ที่ฉลาดหลายๆอย่าง เช่นตัว backdoor ไม่ได้ติดต่อไปยัง C&C โดนตรง กลุ่ม Hacker ได้ทำการฝัง TeleBot server ไว้ในเครื่อง update ของ M.E.Doc ที่ชื่อว่า upd.me-doc.com[.]ua. การสื่อสารใดๆจะถูกวางไว้ในส่วน cookie ทำให้การตรวจจับใดๆเป็นไปได้ยาก และรอดพ้นการสอดส่องของ researcher ต่างๆ

 

Timeline of M.E.Doc server activity and NotPetya attacks

Source:: BleepingComputer

Next Article

Wikileak เปิดเผยเครื่องมือที่ 15 ของ CIA ที่หลุดออกมา ใช้เพื่อขโมย credential ของ SSH 

View Post

Leave a Reply

Your email address will not be published. Required fields are marked *

*
*