การปกป้องและต่อต้าน Spear Phishing เราจำเป็นที่จะต้องให้พนักงานหรือเจ้าหน้าที่ในองค์กรทุกคนตระหนักถึงเรื่อง Cybersecurity Awareness
“Spear-Phishing” คือ การโจมตีที่มีเป้าหมายชัดเจน เหล่าบรรดาแฮกเกอร์จะค้นหาข้อมูลของเหยื่อที่เป็นเป้าหมายในหลายหลายช่องทางเพื่อสร้างอีเมล Phishing และแนบมากับอีเมล โดยเนื้อหาในอีเมลจะตรงกับลักษณะกิจกรรมที่เหยื่อกำลังสนใจอยู่
กลุ่มแฮกเกอร์เกาหลีเหนือได้ใช้โปรแกรม PuTTY SSH ซึ่งเป็นโปรแกรมลูกข่ายที่ใช้เชื่อมต่อไปยังเครื่องผู้ให้บริการและฝังโทรจันเพื่อติดตั้งแบ็คดอร์บนอุปกรณ์ของเหยื่อ
โดย Mandiant บริษัทข่าวกรองด้านภัยคุกคามได้ตรวจสอบการคุกคามครั้งนี้และได้ระบุว่า แคมเปญใหม่นี้มาจากคลัสเตอร์ภัยคุกคามที่กำลังเกิดขึ้นซึ่งติดตามภายใต้ชื่อ UNC4034 หรือ เรียกอีกอย่างว่า Temp.Hermit หรือ Labyrinth Chollima ในขณะนี้
วิธีการทำงานของ UNC4034 กำลังพัฒนาอยู่เรื่อย ๆ โดยกระบวนทำงานคือแฮกเกอร์จะพยายามหลอกล่อให้เหยื่อคลิกไฟล์แบบประเมินงานของ Amazon ซึ่งเป็นไฟล์ปลอมที่สร้างขึ้นจาก Operation Dream Job ที่มีอยู่แล้ว
UNC4034 เลือกใช้วิธีการสื่อสารกับเหยื่อผ่าน WhatsApp และล่อให้เหยื่อดาวน์โหลดแพ็คเกจ ISO ที่เป็นอันตรายเพื่อเสนองานปลอมซึ่งจะนำไปสู่การปรับใช้แบ็คดอร์ AIRDRY.V2 ผ่านโทรจันไปยัง PuTTY ของเหยื่อ ปัจจุบันการใช้ไฟล์ ISO ในการส่งมอบทั้งสินค้าต่างๆ และมัลแวร์กลายเป็นเรื่องปกติมากขึ้น อย่างกลุ่มจารกรรมรัสเซียที่มีชื่อเสียงในนามของ APT29 ก็มีการนำการใช้ไฟล์ ISO เพื่อส่งมัลแวร์ ด้วยเช่นกัน
หลักการทำงานคือ ไฟล์ปฏิบัติการที่ฝังอยู่ในไฟล์ ISO แต่ละไฟล์โดย UNC4034 นั้น เป็นแอปพลิเคชัน PuTTY ที่ทำงานได้อย่างสมบูรณ์และยังมีโค้ดที่เป็นอันตรายที่เขียนเพย์โหลด (payload) ที่ฝังไว้บนดิสก์และเปิดใช้งานอยู่
หลังจากเปิดโปรแกรมแล้ว โปรแกรมจะพยายามสร้างข่าวใหม่ๆ ตามกำหนดการในเวลาเดียวกันของทุก ๆ วัน ซึ่งนี่น่าจะเป็นหนึ่งในเทคนิคการส่งมัลแวร์หลายวิธีที่แฮกเกอร์ในเกาหลีเหนือใช้หลังจากเป้าหมายตอบสนองต่อการล่อลวง และขณะนี้ยังพบว่ามีการใช้แพลตฟอร์มโซเชียลมีเดียอื่น ๆ
เพื่ออ้างว่าเป็นบริษัทที่ถูกกฎหมายและโพสต์โฆษณางานปลอมมากมายและเหยื่อที่เป็นกลุ่มเป้าหมายคือนักพัฒนาสกุลเงินดิจิทัล (cryptocurrency developers) และเมื่อเร็วๆนี้ มีการเผยแพร่ข่าวหลังจากที่ทางการสหรัฐฯ ยึดเงินจำนวน 30 ล้านดอลลาร์ในสกุลเงินดิจิทัลที่ถูกขโมยมาจากเกาหลีเหนือได้สำเร็จ
ดังนั้น การปกป้องและต่อต้าน Spear Phishing เราจำเป็นที่จะต้องให้พนักงานหรือเจ้าหน้าที่ในองค์กรทุกคนตระหนักถึงเรื่อง Cybersecurity Awareness โดยองค์กรอาจจะต้องมีการจัดให้มี Cybersecurity Awareness Training หรือแม้กระทั้งส่งเสริมให้พนักงานมีความรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ อย่างน้อยควรจะมีการจัดเทรนนิ่งปีละ 2-3 ครั้ง
รวมถึงมีการทดสอบ phishing simulation ตลอดจนคอร์สเทรนนิ่งต่าง ๆ เพื่อให้พนักงานได้ตระหนักถึงความสำคัญและเป็นการอัพเดทข้อมูลภัยต่าง ๆ บนอินเทอร์เน็ตครับ
บทความโดย นักรบ เนียมนามธรรม
——————————————————————————————————————————
ที่มา : กรุงเทพธุรกิจออนไลน์ / วันที่เผยแพร่ 27 ต.ค.65
Link : https://www.bangkokbiznews.com/blogs/tech/gadget/1034478
