Security Researcher จาก ESET พบ malware campaign ที่พุ่งเป้าไปยังกลุ่มสถานกงศุล,หน่วยงานทหารและทูตต่างๆทั่วโลกเพื่อทำการสอดส่องข้อมูลของหน่วยงานรัฐและนักการทูตต่างๆ

โดย Malware campaign ดังกล่าวเริ่มปฏิบัติการมาตั้งแต่ปี 2016 โดยม่ีการใช้ backdoor ที่ไม่เคยเจอมาก่อนชื่อว่า Gazer ซึ่งเชื่อว่ามาจากกลุ่ม Hacker ที่ชื่อว่า Turla ซึ่งเคยถูกโยงเกี่ยวข้องกับหน่วยงานข่าวกรองของรัสเซีย

Gazer ถูกเขียนด้วยภาษา C++ และมีการแพร่กระจายผ่าน spear phishing attack และยึดเครื่องโดยใช้ 2 step. 1 – การวาง backdoor ที่ชื่อว่า Skipper backdoor ซึ่งเป็น backdoor ที่ถูกใช้โดย Turla มาก่อน และจากนั้นจึงทำการติดตั้ง Gazer อีกที (ในการโจรกรรมทางด้าน cyber security ก่อนหน้านี้พบว่ากลุ่ม Turla มีการใช้งาน Carbon และ Kazuar backdoor เป็นส่วนในขั้นตอนที่ 2 ซึ่งคล้ายๆกับ Gazer ) หลังจากติดตั้งเรียบร้อย ตัว Gazer จะรับคำสั่งจาก C&C Server โดยการเข้ารหัสคำสั่งและเพื่อหลบเลี่ยงการตรวจจับจึงได้มีการพยายามทำ website ทั่วไป (ซึ่งโดยปกติเป็น WordPress) เป็นตัว proxy ในการรับส่งคำสั่ง

Gazer มีการใช้งาน 3DES และ RSA Encryption library ที่เขียนขึ้นมาโดยเฉพาะ แทนที่จะใช้ Windows Crypto API ในการรับส่งข้อมูลกับ C&C Server ซึ่งเป็นลักษณะปกติของการทำงานโดยกลุ่ม Turla

Gazer มีการใช้งาน code injection ในการควบคุมเครื่องเหยื่อและมีการซ่อนตัวเองเพื่อจะแอบเก็บข้อมูลภายในไปเรื่อยๆ อีกทั้ง Gazer ยังมีความสามารถในการส่งคำสั่งต่อไปยังเครื่องอื่นที่ติดที่อยู่ในวง network เดียวกันอีกด้วย

ESET มีการตรวจพบว่าตอนนี้ Gazer มี 4 สายพันธ์ุด้วยกัน ซึ่งแพร่กระจายและแอบเก็บข้อมูลในหน่วยงานแถวๆยุโรปตะวันออกเฉียงใต้และกลุ่มการเมืองอดีต Soviet และมีการพบอีกว่า version ก่อนหน้านี้ทาง Gazer มีการ sign โดยใช้ certificate ของ Comodo สำหรับบริษัท “Solid Loop Ltd,” อีกด้วย และพอเป็น version ล่าสุดใช้ certificate ของบริษัท “Ultimate Computer Support Ltd.”

โดย Kaspersky ก็ได้วิจัยเรื่องนี้เหมือนกัน โดยใช้ชื่อว่า Whitebear APT Campaign

Source:: TheHackerNews