สุดเสี่ยง!!! เอเชียแปซิฟิก’ พื้นที่เป้าหมายภัยคุกคามออนไลน์

แคสเปอร์สกี้ (Kaspersky) เปิดรายงานล่าสุดเรื่องรูปแบบแนวโน้มของ APT (Advanced Persistent Threats) หรือ การโจมตีแบบระบุเป้าหมาย ซึ่งถือเป็นการโจมตีของภัยคุกคามขั้นสูง ของไตรมาสที่สองของปี 2023

นักวิจัยแคสเปอร์สกี้ได้วิเคราะห์  รวมไปถึงการสร้าง มัลแวร์ สายพันธุ์ใหม่ และการใช้เทคนิคใหม่ๆ ของ อาชญากรไซเบอร์ โดยเฉพาะ เรื่องสำคัญคือแคมเปญการโจมตีที่มีความซับซ้อน ชื่อว่า “Operation Triangulation” ที่ดำเนินการใช้แพลตฟอร์มมัลแวร์ iOS มายาวนานโดยไม่มีใครรู้จักมาก่อน

ข้อมูลสำคัญจากรายงาน APT ไตรมาส 2 ได้แก่

• เอเชียแปซิฟิกเป็นพื้นที่ถูกคุกคามตัวใหม่ “Mysterious Elephant”

แคสเปอร์สกี้ได้ค้นพบตัวการคุกคามตัวใหม่จากตระกูล Elephants ซึ่งปฏิบัติการในภูมิภาคเอเชียแปซิฟิก ซึ่งมีชื่อว่า “Mysterious Elephant” ในแคมเปญล่าสุดนี้ผู้ก่อภัยคุกคามใช้ตระกูลแบ็คดอร์ใหม่ ซึ่งสามารถเรียกใช้ไฟล์และคำสั่งบนคอมพิวเตอร์ของเหยื่อ และรับไฟล์หรือคำสั่งจากเซิร์ฟเวอร์ที่เป็นอันตรายเพื่อดำเนินการกับระบบที่ติดมัลแวร์ ในขณะที่นักวิจัยของแคสเปอร์สกี้สังเกตเห็นการโจมตีที่ทับซ้อนกับ Confucius และ SideWinder แต่ Mysterious Elephant มีชุด TTP ที่โดดเด่นและไม่เหมือนใคร แตกต่างจากกลุ่มอื่นๆ

•  ผู้คุกคามอัปเกรดชุดเครื่องมือใหม่: Lazarus พัฒนามัลแวร์สายพันธุ์ใหม่ BlueNoroff โจมตี macOS และอื่นๆ

ผู้คุกคามกำลังปรับปรุงเทคนิคของตนอย่างต่อเนื่อง โดยกลุ่ม Lazarus ได้อัปเกรดเฟรมเวิร์ก MATA และใช้ MATAv5 ที่เป็นตระกูลมัลแวร์ MATA ที่ซับซ้อนสายพันธุ์ใหม่ ส่วนกลุ่ม BlueNoroff ซึ่งเป็นกลุ่มย่อยที่เน้นการโจมตีทางการเงินของ Lazarus ได้ใช้วิธีการส่งและภาษาการเขียนโปรแกรมใหม่

รวมถึงการใช้โปรแกรมอ่าน PDF แบบโทรจันในแคมเปญล่าสุด การใช้มัลแวร์ macOS และภาษาโปรแกรม Rust นอกจากนี้ กลุ่ม ScarCruft APT ยังได้พัฒนาวิธีการติดมัลแวร์แบบใหม่ โดยหลีกเลี่ยงกลไกการรักษาความปลอดภัย Mark-of-the-Web (MOTW) กลยุทธ์ที่พัฒนาตลอดเวลาของผู้คุกคามเหล่านี้สร้างความท้าทายใหม่ให้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์

•   อิทธิพลของภูมิรัฐศาสตร์ยังคงเป็นตัวขับเคลื่อนหลักของกิจกรรม APT

แคมเปญ APT ยังคงกระจายไปตามพื้นที่ทางภูมิศาสตร์ โดยผู้ก่อภัยคุกคามได้มุ่งโจมตีในภูมิภาคต่างๆ เช่น ยุโรป ละตินอเมริกา ตะวันออกกลาง และส่วนต่างๆ ของเอเชีย การจารกรรมทางไซเบอร์ซึ่งเน้นภูมิรัฐศาสตร์ที่มั่นคงยังคงเป็นอิทธิพลสำคัญสำหรับความพยายามโจมตีทางไซเบอร์

นายเดวิด เอมม์ หัวหน้านักวิจัยความปลอดภัยของทีมวิจัยและวิเคราะห์ระดับโลก (GReAT) แคสเปอร์สกี้ กล่าวว่า “ผู้ก่อภัยคุกคามบางรายยึดติดกับกลยุทธ์เดิมๆ ที่คุ้นเคย เช่น วิศวกรรมสังคม แต่ผู้ก่อภัยคุกคามรายอื่นๆ ก็พัฒนาปรับปรุงชุดเครื่องมือและกิจกรรมการโจมตี

ยิ่งไปกว่านั้น ผู้คุกคามขั้นสูงใหม่ๆ อย่างเช่นเจ้าของแคมเปญ 'Operation Triangulation' ก็ปรากฏตัวออกมาอย่างต่อเนื่อง แคมเปญนี้ใช้แพลตฟอร์มมัลแวร์ iOS ซึ่งกระจายผ่านช่องโหว่ iMessage แบบซีโร่คลิก แคสเปอร์สกี้ขอแนะนำว่า การเฝ้าระวังโดยใช้ข้อมูลภัยคุกคามอัจฉริยะและเครื่องมือป้องกันที่เหมาะสม เป็นสิ่งสำคัญสำหรับบริษัทระดับโลก เพื่อป้องกันตนเองจากภัยคุกคามทั้งที่มีอยู่แล้วและที่เกิดขึ้นใหม่ได้ การตรวจสอบรายไตรมาสของเราเน้นข้อมูลการพัฒนาที่สำคัญที่สุดในกลุ่ม APT เพื่อช่วยป้องกันและลดความเสี่ยงที่อาจเกิดขึ้น”

แนะมาตรการเลี่ยงตกเป็นเหยื่อการโจมตีแบบระบุเป้าหมาย

• ตรวจสอบความปลอดภัยของระบบ อัปเดตระบบปฏิบัติการและซอฟต์แวร์ของบริษัทตัวเองและเธิร์ดปาร์ตี้ให้เป็นเวอร์ชันล่าสุดโดยทันที การรักษาตารางการอัปเดตอย่างสม่ำเสมอเป็นสิ่งสำคัญ เพื่อให้ได้รับการปกป้องจากช่องโหว่และความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น
• ยกระดับทีมรักษาความปลอดภัยทางไซเบอร์ด้วยการฝึกอบรมออนไลน์ Kaspersky online training ที่พัฒนาโดยผู้เชี่ยวชาญ GReAT
• ใช้ข้อมูลภัยคุกคามอัจฉริยะล่าสุด (Threat Intelligence) เพื่อให้ก้าวทันกับ TTP จริงที่ผู้ก่อัยคุกคามใช้
• สำหรับการตรวจจับ การสืบสวน และการแก้ไขเหตุการณ์อย่างทันท่วงทีในระดับเอ็นด์พ้อยต์ แนะนำให้ใช้โซลูชัน EDR โดยเฉพาะ เช่น Kaspersky Endpoint Detection and Response