กลุ่มแฮกเกอร์ Cavalry Werewolf โจมตีรัฐบาลรัสเซียด้วยมัลแวร์ ShellNET – ใช้ Telegram ควบคุมระบบจากระยะไกล
กลุ่มแฮกเกอร์ชื่อว่า Cavalry Werewolf ได้เปิดปฏิบัติการโจมตีแบบเจาะจงต่อหน่วยงานรัฐบาลรัสเซีย โดยใช้มัลแวร์ตัวใหม่ชื่อ BackDoor.ShellNET.1 ที่สามารถควบคุมเครื่องเป้าหมายผ่าน Telegram และเปิดช่องให้แฮกเกอร์เข้าถึงข้อมูลลับและโครงสร้างเครือข่ายภายใน
การโจมตีเริ่มต้นในเดือนกรกฎาคม 2025 เมื่อองค์กรเป้าหมายพบว่าอีเมลสแปมถูกส่งออกจากระบบของตนเอง ซึ่งนำไปสู่การสืบสวนภายในและพบว่าเป็นการโจมตีแบบฟิชชิ่ง โดยใช้ไฟล์เอกสารปลอมที่ถูกเข้ารหัสด้วยรหัสผ่านเพื่อหลอกให้เปิดใช้งานมัลแวร์
มัลแวร์ ShellNET ใช้โค้ดจากโปรเจกต์โอเพ่นซอร์ส Reverse-Shell-CS เมื่อถูกเปิดใช้งานจะสร้าง reverse shell เพื่อให้แฮกเกอร์สามารถสั่งงานจากระยะไกล และดาวน์โหลดเครื่องมือเพิ่มเติม เช่น Trojan.FileSpyNET.5 สำหรับขโมยไฟล์ และ BackDoor.Tunnel.41 สำหรับสร้าง SOCKS5 tunnel เพื่อสื่อสารแบบลับ
กลุ่มนี้ยังใช้ Telegram bots เป็นเครื่องมือควบคุมมัลแวร์ ซึ่งช่วยซ่อนโครงสร้างพื้นฐานของผู้โจมตีได้อย่างแนบเนียน นอกจากนี้ยังมีการใช้โปรแกรมยอดนิยมที่ถูกดัดแปลง เช่น WinRAR, 7-Zip และ Visual Studio Code เพื่อเปิดช่องให้มัลแวร์ตัวอื่นทำงานเมื่อผู้ใช้เปิดโปรแกรมเหล่านี้
ลักษณะการโจมตี
เริ่มจากอีเมลฟิชชิ่งที่แนบไฟล์ปลอม
ใช้มัลแวร์ ShellNET สร้าง reverse shell
ดาวน์โหลดเครื่องมือขโมยข้อมูลและควบคุมระบบเพิ่มเติม
เครื่องมือที่ใช้ในการโจมตี
Trojan.FileSpyNET.5 สำหรับขโมยไฟล์
BackDoor.Tunnel.41 สำหรับสร้างช่องทางสื่อสารลับ
Telegram bots สำหรับควบคุมมัลแวร์จากระยะไกล
การใช้โปรแกรมปลอม
ดัดแปลงโปรแกรมยอดนิยมให้เปิดมัลแวร์
เช่น WinRAR, 7-Zip, Visual Studio Code
เป้าหมายของการโจมตี
ข้อมูลลับขององค์กรรัฐบาล
โครงสร้างเครือข่ายภายใน
ข้อมูลผู้ใช้และระบบที่เชื่อมต่อ
ประวัติของกลุ่ม Cavalry Werewolf
เคยโจมตีหน่วยงานรัฐและอุตสาหกรรมในรัสเซีย
ใช้ชื่อปลอมเป็นเจ้าหน้าที่รัฐบาลคีร์กีซ
มีความเชื่อมโยงกับกลุ่ม Silent Lynx และ YoroTrooper
https://hackread.com/cavalry-werewolf-russia-government-shellnet-backdoor/
กลุ่มแฮกเกอร์ชื่อว่า Cavalry Werewolf ได้เปิดปฏิบัติการโจมตีแบบเจาะจงต่อหน่วยงานรัฐบาลรัสเซีย โดยใช้มัลแวร์ตัวใหม่ชื่อ BackDoor.ShellNET.1 ที่สามารถควบคุมเครื่องเป้าหมายผ่าน Telegram และเปิดช่องให้แฮกเกอร์เข้าถึงข้อมูลลับและโครงสร้างเครือข่ายภายใน
การโจมตีเริ่มต้นในเดือนกรกฎาคม 2025 เมื่อองค์กรเป้าหมายพบว่าอีเมลสแปมถูกส่งออกจากระบบของตนเอง ซึ่งนำไปสู่การสืบสวนภายในและพบว่าเป็นการโจมตีแบบฟิชชิ่ง โดยใช้ไฟล์เอกสารปลอมที่ถูกเข้ารหัสด้วยรหัสผ่านเพื่อหลอกให้เปิดใช้งานมัลแวร์
มัลแวร์ ShellNET ใช้โค้ดจากโปรเจกต์โอเพ่นซอร์ส Reverse-Shell-CS เมื่อถูกเปิดใช้งานจะสร้าง reverse shell เพื่อให้แฮกเกอร์สามารถสั่งงานจากระยะไกล และดาวน์โหลดเครื่องมือเพิ่มเติม เช่น Trojan.FileSpyNET.5 สำหรับขโมยไฟล์ และ BackDoor.Tunnel.41 สำหรับสร้าง SOCKS5 tunnel เพื่อสื่อสารแบบลับ
กลุ่มนี้ยังใช้ Telegram bots เป็นเครื่องมือควบคุมมัลแวร์ ซึ่งช่วยซ่อนโครงสร้างพื้นฐานของผู้โจมตีได้อย่างแนบเนียน นอกจากนี้ยังมีการใช้โปรแกรมยอดนิยมที่ถูกดัดแปลง เช่น WinRAR, 7-Zip และ Visual Studio Code เพื่อเปิดช่องให้มัลแวร์ตัวอื่นทำงานเมื่อผู้ใช้เปิดโปรแกรมเหล่านี้
ลักษณะการโจมตี
เริ่มจากอีเมลฟิชชิ่งที่แนบไฟล์ปลอม
ใช้มัลแวร์ ShellNET สร้าง reverse shell
ดาวน์โหลดเครื่องมือขโมยข้อมูลและควบคุมระบบเพิ่มเติม
เครื่องมือที่ใช้ในการโจมตี
Trojan.FileSpyNET.5 สำหรับขโมยไฟล์
BackDoor.Tunnel.41 สำหรับสร้างช่องทางสื่อสารลับ
Telegram bots สำหรับควบคุมมัลแวร์จากระยะไกล
การใช้โปรแกรมปลอม
ดัดแปลงโปรแกรมยอดนิยมให้เปิดมัลแวร์
เช่น WinRAR, 7-Zip, Visual Studio Code
เป้าหมายของการโจมตี
ข้อมูลลับขององค์กรรัฐบาล
โครงสร้างเครือข่ายภายใน
ข้อมูลผู้ใช้และระบบที่เชื่อมต่อ
ประวัติของกลุ่ม Cavalry Werewolf
เคยโจมตีหน่วยงานรัฐและอุตสาหกรรมในรัสเซีย
ใช้ชื่อปลอมเป็นเจ้าหน้าที่รัฐบาลคีร์กีซ
มีความเชื่อมโยงกับกลุ่ม Silent Lynx และ YoroTrooper
https://hackread.com/cavalry-werewolf-russia-government-shellnet-backdoor/
🎯 กลุ่มแฮกเกอร์ Cavalry Werewolf โจมตีรัฐบาลรัสเซียด้วยมัลแวร์ ShellNET – ใช้ Telegram ควบคุมระบบจากระยะไกล
กลุ่มแฮกเกอร์ชื่อว่า Cavalry Werewolf ได้เปิดปฏิบัติการโจมตีแบบเจาะจงต่อหน่วยงานรัฐบาลรัสเซีย โดยใช้มัลแวร์ตัวใหม่ชื่อ BackDoor.ShellNET.1 ที่สามารถควบคุมเครื่องเป้าหมายผ่าน Telegram และเปิดช่องให้แฮกเกอร์เข้าถึงข้อมูลลับและโครงสร้างเครือข่ายภายใน
การโจมตีเริ่มต้นในเดือนกรกฎาคม 2025 เมื่อองค์กรเป้าหมายพบว่าอีเมลสแปมถูกส่งออกจากระบบของตนเอง ซึ่งนำไปสู่การสืบสวนภายในและพบว่าเป็นการโจมตีแบบฟิชชิ่ง โดยใช้ไฟล์เอกสารปลอมที่ถูกเข้ารหัสด้วยรหัสผ่านเพื่อหลอกให้เปิดใช้งานมัลแวร์
มัลแวร์ ShellNET ใช้โค้ดจากโปรเจกต์โอเพ่นซอร์ส Reverse-Shell-CS เมื่อถูกเปิดใช้งานจะสร้าง reverse shell เพื่อให้แฮกเกอร์สามารถสั่งงานจากระยะไกล และดาวน์โหลดเครื่องมือเพิ่มเติม เช่น Trojan.FileSpyNET.5 สำหรับขโมยไฟล์ และ BackDoor.Tunnel.41 สำหรับสร้าง SOCKS5 tunnel เพื่อสื่อสารแบบลับ
กลุ่มนี้ยังใช้ Telegram bots เป็นเครื่องมือควบคุมมัลแวร์ ซึ่งช่วยซ่อนโครงสร้างพื้นฐานของผู้โจมตีได้อย่างแนบเนียน นอกจากนี้ยังมีการใช้โปรแกรมยอดนิยมที่ถูกดัดแปลง เช่น WinRAR, 7-Zip และ Visual Studio Code เพื่อเปิดช่องให้มัลแวร์ตัวอื่นทำงานเมื่อผู้ใช้เปิดโปรแกรมเหล่านี้
✅ ลักษณะการโจมตี
➡️ เริ่มจากอีเมลฟิชชิ่งที่แนบไฟล์ปลอม
➡️ ใช้มัลแวร์ ShellNET สร้าง reverse shell
➡️ ดาวน์โหลดเครื่องมือขโมยข้อมูลและควบคุมระบบเพิ่มเติม
✅ เครื่องมือที่ใช้ในการโจมตี
➡️ Trojan.FileSpyNET.5 สำหรับขโมยไฟล์
➡️ BackDoor.Tunnel.41 สำหรับสร้างช่องทางสื่อสารลับ
➡️ Telegram bots สำหรับควบคุมมัลแวร์จากระยะไกล
✅ การใช้โปรแกรมปลอม
➡️ ดัดแปลงโปรแกรมยอดนิยมให้เปิดมัลแวร์
➡️ เช่น WinRAR, 7-Zip, Visual Studio Code
✅ เป้าหมายของการโจมตี
➡️ ข้อมูลลับขององค์กรรัฐบาล
➡️ โครงสร้างเครือข่ายภายใน
➡️ ข้อมูลผู้ใช้และระบบที่เชื่อมต่อ
✅ ประวัติของกลุ่ม Cavalry Werewolf
➡️ เคยโจมตีหน่วยงานรัฐและอุตสาหกรรมในรัสเซีย
➡️ ใช้ชื่อปลอมเป็นเจ้าหน้าที่รัฐบาลคีร์กีซ
➡️ มีความเชื่อมโยงกับกลุ่ม Silent Lynx และ YoroTrooper
https://hackread.com/cavalry-werewolf-russia-government-shellnet-backdoor/
0 Comments
0 Shares
19 Views
0 Reviews
Thai