“Lazarus ปล่อย Comebacker Backdoor เวอร์ชันใหม่ เจาะอุตสาหกรรมการบิน-กลาโหมด้วย ChaCha20”
นักวิจัยด้านความปลอดภัยไซเบอร์ตรวจพบการโจมตีล่าสุดจากกลุ่ม Lazarus ซึ่งมุ่งเป้าไปยังองค์กรด้านอวกาศและกลาโหม โดยใช้มัลแวร์ backdoor ที่เรียกว่า “Comebacker” เวอร์ชันใหม่ ซึ่งมีการเข้ารหัสข้อมูลด้วยอัลกอริธึม ChaCha20 เพื่อหลีกเลี่ยงการตรวจจับและเพิ่มความปลอดภัยในการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2)
มัลแวร์ Comebacker ถูกออกแบบมาให้สามารถสื่อสารแบบเข้ารหัสกับ C2, ดาวน์โหลดคำสั่งเพิ่มเติม และขโมยข้อมูลจากระบบเป้าหมาย โดยใช้เทคนิคการพรางตัว เช่น การฝังโค้ดในไฟล์ DLL และการใช้ชื่อไฟล์ที่ดูเหมือนไฟล์ระบบปกติ
กลุ่ม Lazarus และเป้าหมายการโจมตี
กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ
มุ่งเป้าไปยังองค์กรด้านอวกาศและกลาโหมในหลายประเทศ
มีประวัติการโจมตีที่เกี่ยวข้องกับการขโมยทรัพย์สินทางปัญญาและข้อมูลลับ
คุณสมบัติของ Comebacker Backdoor เวอร์ชันใหม่
ใช้การเข้ารหัส ChaCha20 เพื่อปกปิดการสื่อสารกับ C2
รองรับการดาวน์โหลด payload เพิ่มเติมและการสั่งงานจากระยะไกล
ฝังตัวใน DLL และใช้ชื่อไฟล์ที่ดูเหมือนไม่เป็นอันตราย
เทคนิคการหลบเลี่ยงการตรวจจับ
ใช้การโหลดแบบ dynamic และ reflective DLL injection
ใช้ชื่อฟังก์ชันและพารามิเตอร์ที่คลุมเครือ
ซ่อนการทำงานผ่านการตรวจสอบสิทธิ์และการตรวจสภาพแวดล้อม
คำเตือนด้านความปลอดภัย
องค์กรที่เกี่ยวข้องกับเทคโนโลยีขั้นสูง เช่น การบินและกลาโหม เป็นเป้าหมายหลัก
การเข้ารหัสแบบ ChaCha20 ทำให้การวิเคราะห์ traffic ยากขึ้น
การฝังตัวใน DLL และใช้ชื่อไฟล์ปลอมทำให้ยากต่อการตรวจจับด้วย antivirus ทั่วไป
https://securityonline.info/lazarus-group-attacks-aerospace-defense-with-new-chacha20-encrypted-comebacker-backdoor/
นักวิจัยด้านความปลอดภัยไซเบอร์ตรวจพบการโจมตีล่าสุดจากกลุ่ม Lazarus ซึ่งมุ่งเป้าไปยังองค์กรด้านอวกาศและกลาโหม โดยใช้มัลแวร์ backdoor ที่เรียกว่า “Comebacker” เวอร์ชันใหม่ ซึ่งมีการเข้ารหัสข้อมูลด้วยอัลกอริธึม ChaCha20 เพื่อหลีกเลี่ยงการตรวจจับและเพิ่มความปลอดภัยในการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2)
มัลแวร์ Comebacker ถูกออกแบบมาให้สามารถสื่อสารแบบเข้ารหัสกับ C2, ดาวน์โหลดคำสั่งเพิ่มเติม และขโมยข้อมูลจากระบบเป้าหมาย โดยใช้เทคนิคการพรางตัว เช่น การฝังโค้ดในไฟล์ DLL และการใช้ชื่อไฟล์ที่ดูเหมือนไฟล์ระบบปกติ
กลุ่ม Lazarus และเป้าหมายการโจมตี
กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ
มุ่งเป้าไปยังองค์กรด้านอวกาศและกลาโหมในหลายประเทศ
มีประวัติการโจมตีที่เกี่ยวข้องกับการขโมยทรัพย์สินทางปัญญาและข้อมูลลับ
คุณสมบัติของ Comebacker Backdoor เวอร์ชันใหม่
ใช้การเข้ารหัส ChaCha20 เพื่อปกปิดการสื่อสารกับ C2
รองรับการดาวน์โหลด payload เพิ่มเติมและการสั่งงานจากระยะไกล
ฝังตัวใน DLL และใช้ชื่อไฟล์ที่ดูเหมือนไม่เป็นอันตราย
เทคนิคการหลบเลี่ยงการตรวจจับ
ใช้การโหลดแบบ dynamic และ reflective DLL injection
ใช้ชื่อฟังก์ชันและพารามิเตอร์ที่คลุมเครือ
ซ่อนการทำงานผ่านการตรวจสอบสิทธิ์และการตรวจสภาพแวดล้อม
คำเตือนด้านความปลอดภัย
องค์กรที่เกี่ยวข้องกับเทคโนโลยีขั้นสูง เช่น การบินและกลาโหม เป็นเป้าหมายหลัก
การเข้ารหัสแบบ ChaCha20 ทำให้การวิเคราะห์ traffic ยากขึ้น
การฝังตัวใน DLL และใช้ชื่อไฟล์ปลอมทำให้ยากต่อการตรวจจับด้วย antivirus ทั่วไป
https://securityonline.info/lazarus-group-attacks-aerospace-defense-with-new-chacha20-encrypted-comebacker-backdoor/
🚀 “Lazarus ปล่อย Comebacker Backdoor เวอร์ชันใหม่ เจาะอุตสาหกรรมการบิน-กลาโหมด้วย ChaCha20”
นักวิจัยด้านความปลอดภัยไซเบอร์ตรวจพบการโจมตีล่าสุดจากกลุ่ม Lazarus ซึ่งมุ่งเป้าไปยังองค์กรด้านอวกาศและกลาโหม โดยใช้มัลแวร์ backdoor ที่เรียกว่า “Comebacker” เวอร์ชันใหม่ ซึ่งมีการเข้ารหัสข้อมูลด้วยอัลกอริธึม ChaCha20 เพื่อหลีกเลี่ยงการตรวจจับและเพิ่มความปลอดภัยในการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2)
มัลแวร์ Comebacker ถูกออกแบบมาให้สามารถสื่อสารแบบเข้ารหัสกับ C2, ดาวน์โหลดคำสั่งเพิ่มเติม และขโมยข้อมูลจากระบบเป้าหมาย โดยใช้เทคนิคการพรางตัว เช่น การฝังโค้ดในไฟล์ DLL และการใช้ชื่อไฟล์ที่ดูเหมือนไฟล์ระบบปกติ
✅ กลุ่ม Lazarus และเป้าหมายการโจมตี
➡️ กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ
➡️ มุ่งเป้าไปยังองค์กรด้านอวกาศและกลาโหมในหลายประเทศ
➡️ มีประวัติการโจมตีที่เกี่ยวข้องกับการขโมยทรัพย์สินทางปัญญาและข้อมูลลับ
✅ คุณสมบัติของ Comebacker Backdoor เวอร์ชันใหม่
➡️ ใช้การเข้ารหัส ChaCha20 เพื่อปกปิดการสื่อสารกับ C2
➡️ รองรับการดาวน์โหลด payload เพิ่มเติมและการสั่งงานจากระยะไกล
➡️ ฝังตัวใน DLL และใช้ชื่อไฟล์ที่ดูเหมือนไม่เป็นอันตราย
✅ เทคนิคการหลบเลี่ยงการตรวจจับ
➡️ ใช้การโหลดแบบ dynamic และ reflective DLL injection
➡️ ใช้ชื่อฟังก์ชันและพารามิเตอร์ที่คลุมเครือ
➡️ ซ่อนการทำงานผ่านการตรวจสอบสิทธิ์และการตรวจสภาพแวดล้อม
‼️ คำเตือนด้านความปลอดภัย
⛔ องค์กรที่เกี่ยวข้องกับเทคโนโลยีขั้นสูง เช่น การบินและกลาโหม เป็นเป้าหมายหลัก
⛔ การเข้ารหัสแบบ ChaCha20 ทำให้การวิเคราะห์ traffic ยากขึ้น
⛔ การฝังตัวใน DLL และใช้ชื่อไฟล์ปลอมทำให้ยากต่อการตรวจจับด้วย antivirus ทั่วไป
https://securityonline.info/lazarus-group-attacks-aerospace-defense-with-new-chacha20-encrypted-comebacker-backdoor/
0 ความคิดเห็น
0 การแบ่งปัน
29 มุมมอง
0 รีวิว
English