Computer hacker silhouette of hooded man with binary data and network security terms
บริษัท Malwarebytes ได้เผยแพร่รายงาน threat intelligence ประจำเดือนเมษายน 2563 โดยเป็นการรวบรวมและวิเคราะห์ข้อมูลการโจมตีโดยกลุ่ม APT (Advanced Persistent Threat) ที่อาศัยเรื่องไวรัสโคโรน่าหรือ COVID-19 เป็นช่องทางในการหลอกล่อ ทั้งนี้ในรายงานฉบับดังกล่าวมีข้อมูลของกลุ่ม APT ที่มุ่งเป้าโจมตีหน่วยงานในประเทศไทยด้วย
การโจมตีแบบ APT คือการใช้เทคนิคขั้นสูงเพื่อเจาะเข้ามาฝังตัวอยู่ในระบบเป็นเวลานาน โดยในขั้นตอนแรก ๆ ของการโจมตีมักใช้วิธีเจาะระบบผ่านช่องโหว่ หรือหลอกล่อให้บุคคลภายในหลงเชื่อเปิดไฟล์มัลแวร์ที่เปิดช่องทางให้ผู้โจมตีเชื่อมต่อเข้ามาในระบบได้ ตัวอย่างเทคนิคการโจมตีที่พบ เช่น ส่งไฟล์ Microsoft Office ที่อ้างว่าเป็นข้อมูลการรับมือ COVID-19 โดยไฟล์เอกสารดังกล่าวมีสคริปต์ Macro ฝังอยู่ หากอนุญาตให้สคริปต์ทำงาน มัลแวร์ก็จะถูกดาวน์โหลดมาติดตั้งลงในเครื่อง เป็นต้น นอกจากนี้ยังพบการโจมตีผ่านช่องโหว่ของการประมวลผลไฟล์ RTF หรือฝังคำสั่งอันตรายมาในไฟล์ LNK เป็นต้น ซึ่งช่องทางเหล่านี้อาจถูกใช้เพื่อติดตั้งมัลแวร์หรือเปิดช่องทางให้ผู้โจมตีเชื่อมต่อเข้ามาควบคุมเครื่องคอมพิวเตอร์ของเหยื่อได้ในภายหลัง
ในรายงานของ Malwarebytes ระบุว่ากลุ่ม APT ที่มุ่งเป้าโจมตีประเทศไทยนั้นมีทั้งหมด 2 กลุ่ม ประกอบด้วย Ocean Lotus และ Calypso โดยกลุ่มแรกจะเน้นโจมตีหน่วยงานภาครัฐและนักข่าว ช่องทางการโจมตีจะใช้วิธีหลอกให้เข้าไปยังเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่ หรือส่งอีเมลแนบไฟล์ Microsoft Office ที่มีสคริปต์ Macro จุดประสงค์เพื่อติดตั้งมัลแวร์ประเภทโทรจัน ส่วนกลุ่มที่สองจะเน้นโจมตีหน่วยงานภาครัฐ โดยโจมตีผ่านช่องโหว่ของการประมวลผลไฟล์ RTF จุดประสงค์เพื่อฝังมัลแวร์ขโมยข้อมูลด้านการข่าว
ในรายงานฉบับเต็มมีบทวิเคราะห์เทคนิคการโจมตีที่เกี่ยวข้องด้วย ซึ่งผู้ที่สนใจสามารถศึกษารายละเอียดเพิ่มเติมได้ ทั้งนี้ จากตัวอย่างกรณีการโจมตีที่พบในรายงานฉบับดังกล่าว ส่วนใหญ่ผู้โจมตีจะใช้ช่องโหว่ที่มีแพตช์แล้ว เพื่อลดความเสี่ยง ผู้ดูแลระบบควรติดตั้งแพตช์และปรับปรุงระบบความมั่นคงปลอดภัยให้ทันสมัยอยู่ตลอดเวลา ให้สิทธิ์ผู้ใช้เท่าที่จำเป็นเพื่อจำกัดขอบเขตความเสียหาย ปิดการใช้งาน Macro เป็นค่าเริ่มต้น ส่วนในฝั่งของผู้ใช้ทั่วไป ควรระมัดระวังก่อนคลิกลิงก์หรือเปิดไฟล์ที่แนบมากับอีเมล และควรหมั่นติดตามข่าวสารด้านความมั่นคงปลอดภัยอย่างสม่ำเสมอ
—————————————————————
ที่มา : ThaiCERT / 14 เมษายน 2563
Link : https://www.thaicert.or.th/newsbite/2020-04-14-01.html#2020-04-14-01
