แคสเปอร์สกี้รายงานความปลอดภัยไซเบอร์ไตรมาส 3

ศุกร์ ๒๒ พฤศจิกายน ๒๐๑๙ ๑๐:๓๒
เปิดโปงกลุ่ม APT พุ่งเป้าไล่ล่าเงินคริปโต-ข่าวกรองจากองค์กรในอาเซียนและเกาหลี
แคสเปอร์สกี้รายงานความปลอดภัยไซเบอร์ไตรมาส 3

รายงานด้านความปลอดภัยทางไซเบอร์จากแคสเปอร์สกี้ประจำไตรมาสที่ 3 ปี 2562 ชี้ผู้บุกรุก (Attackers) ไล่ล่าข้อมูลสำคัญ ความลับ ข่าวกรองจากบรรดาธนาคารสถาบันการเงิน หน่วยงานราชการภาครัฐ ภาคการเงิน และองค์กรด้านทหารและความมั่นคง แอนดรอยด์มัลแวร์ที่แฝงตัวมาในรูปแอปส่งข้อความโมบาย หรือแอปเงินดิจิทัล (cryptocurrency app) มีเป้าหมายคือกลุ่มคนและองค์กรที่ซื้อขายเงินดิจิทัล (cryptocurrency trader) โดยกลุ่มอาชญากรรมที่ใช้ APT (Advanced Persistent Threat) นี้จะเปลี่ยนทูลอยู่บ่อยๆ เพื่อสกัดกั้นไม่ให้สถาบันการเงินจับได้ไล่ทัน เกิดเป็นช่องโหว่ นอกจากนี้ยังมีกลุ่มย่อยของลาซารัส (Lazarus) ที่ก็ใช้ CVE-2017-10271 เพื่อเป็นตัวเจาะเข้าเวนเดอร์ด้านไซเบอร์ซิเคียวริตี้เพิ่มขึ้นมาอีกด้วย

กลุ่มอาชญากรเหล่านี้มีเป้าหมายหลากหลายแตกต่างกัน แต่ทุกกลุ่มใช้ภาษาเกาหลี (Korean-speaking actors) เป็นตัวนำร่องลุยก่ออาชญากรรมในคาบสมุทรเกาหลีและภูมิภาคเอเชียตะวันออกเฉียงใต้ รายละเอียดฉบับเต็มสามารถอ่านได้ที่ Kaspersky's APT Trends Reports Q3 2019

# KONNI และแก๊งก่อกวนคริปโตเคอเรนซี่แถบคาบสมุทรเกาหลี นักวิจัยของแคสเปอร์สกี้ตรวจพบความเคลื่อนไหวคึกคักทีเดียวของแอนดรอยด์มัลแวร์ ที่ใช้การแฝงตัวเป็นแอปส่งข้อความโมบาย หรือแอปพลิเคชั่นเกี่ยวกับคริปโตเคอเรนซี่ แคสเปอร์สกี้จับมือกับทีม CERT ของเกาหลี ร่วมกันโค่นเซิร์ฟเวอร์ของอาชญากรลงได้เป็นผลสำเร็จ และตรวจสอบมัลแวร์ตัวใหม่นี้ จึงได้พบความเชื่อมโยงกับคอนนิ (KONNI) ซึ่งเป็นสายพันธุ์ของวินโดวส์มัลแวร์ที่เคยพบกันมาแล้ว ตอนนั้นได้ก่อกวนองค์กรด้านสิทธิ์มนุษยชน บุคคลมีชื่อเสียงที่เกี่ยวข้องหรือแสดงความสนใจกิจการด้านคาบสมุทรเกาหลี

นอกจากนี้เป้าหมายที่ชัดเจนคือคริปโตเคอเรนซี่ พอได้เหยื่อจะติดตั้งฟังก์ชั่นที่มีฟีเจอร์ครบทุกสิ่งที่ผู้ร้ายต้องการทันที จากนั้นเข้าควบคุมเครื่องแอนดรอยด์ของเหยื่อ และดูดข้อมูลคริปโตเคอเรนซี่ส่วนตัวไปได้ง่ายๆ

# BlueNoroff และสถาบันการเงินในเอเชียตะวันออกเฉียงใต้

แคสเปอร์สกี้จับตาดูบลูโนรอฟฟ (BlueNoroff) ซึ่งกลุ่ม APT อันอื้อฉาวที่ชื่อ ลาซารัส ใช้เป็นตัวเจาะเข้าสถาบันการเงิน โดยเมื่อไตรมาสที่ 3 ของปีนี้ มีธนาคารในเมียนมาร์เป็นเหยื่อไปแล้ว

จากการที่บริษัทด้านไซเบอร์ซิเคียวริตี้ได้แจ้งเตือนสถาบันการเงิน ธนาคารต่างๆ จึงช่วยให้นักวิจัยได้เบาะแสที่มีประโยชน์ ชี้วิธีการที่ผู้เจาะเข้าระบบใช้ในการเคลื่อนย้ายตัวเมื่อเข้าระบบของสถาบันการเงินมาได้ โดยจะมุ่งหาโฮสต์ที่เก็บข้อมูลอันมีค่า ที่ทางธนาคารใช้ติดต่อ ทำธุรกรรมโอนเงินกับ SWIFT เป็นต้น

การสืบสวนของแคสเปอร์สกี้ยังได้เปิดโปงกลยุทธที่บลูโนรอฟฟติดตั้งใช้งานในการเป็นทางหนีทีไล่หลบเลี่ยงการตรวจจับ เช่น ใช้สคริปต์ Powershell และเปลี่ยนแปลงอยู่บ่อยๆ กลุ่มนี้ยังใช้ซอฟต์แวร์ที่มีความซับซ้อนซ่อนเขี้ยวเล็บ สามารถรันไปได้เรื่อยๆ เงียบๆ ไม่ก่อเหตุใดๆ หรือ เป็นตัวแบ็กดอร์ที่คอยทำงานลับหลัง หรือเป็นทูลใช้ในการเจาะเข้าระบบตามคำสั่งในคอมมานด์ไลน์พารามิเตอร์เลยทีเดียว

# Andariel APT และเวนเดอร์ซิเคียวริตี้เกาหลีใต้

ยังมีกลุ่มย่อยของลาซารัสอีกกลุ่มที่ชื่อ แอนดาเรียล (Andariel) กลุ่มนี้พยายามสร้างโครงสร้าง C2 ขึ้นใหม่ โดยใช้ประโยชน์จาก CVE-2017-10271 เพื่อเจาะเข้าเป้าหมายเว็บโลจิกเซิร์ฟเวอร์ที่มีช่องโหว่ กลยุทธ์เช่นนี้ได้ผลอยู่หลังจากที่ผู้บุกรุกได้ทำการเจาะเป้าหมายได้เป็นผลสำเร็จ โดยผู้เจาะเข้าไปได้ทำการติดตั้งมัลแวร์ที่ทิ้งลายเซ็นเอาไว้ โดยที่ลายเซ็นนี้เป็นอัตลักษณ์เฉพาะตัวของเวนเดอร์ซิเคียวริตี้ซอฟต์แวร์ในเกาหลีใต้ ซึ่งทางทีม CERT เกาหลีใต้ได้ดำเนินการยกเลิกได้ทันท่วงที

เมื่อมาพิจารณาถึงเรื่องการก่อจารกรรมจากเหตุทางภูมิศาสตร์การเมือง และข้อมูลการเงินในเกาหลีใต้ ก็ต้องพูดถึง แอนดาเรียล เป็นอีกตัวที่ใช้แบ็กดอร์ประเภทใหม่ล่าสุดที่ปลอมตัวเป็น ApolloZeus แบ็กดอร์ตัวนี้มีความซับซ้อน ใช้เชลล์โค้ดที่มีขนาดค่อนข้างใหญ่ จึงทำให้การวิเคราะห์ตรวจจับค่อนข้างยากลำบาก จากการตรวจสอบต่างๆ แคสเปอร์สกี้พบว่า การบุกรุกของกลุ่มเป็นขั้นตอนการเตรียมขั้นต้นสำหรับแคมเปญครั้งใหม่

คอสติน ไรอู ผู้อำนวยการทีมวิเคราะห์และวิจัย (Global Research & Analysis Team) บริษัท แคสเปอร์สกี้ กล่าวเตือนว่า "การเข้าโจมตีอย่างมีเป้าหมายชัดเจนเป็นสถาบันการเงินนี้เมื่อรวมกับการใช้เทคนิคที่มีความสลับซับซ้อนขั้นสูง ซึ่งเป็นรูปแบบที่เคยพบเห็นกระทำกันเฉพาะการโจมตี APT เท่านั้น ด้วยการใช้โครงสร้างทั่วๆ ไปที่ใช้ในการซักฟอกทรัพย์สินที่ถูกโจรกรรมมาเท่านั้นเอง ในไตรมาสที่ 3 เราสังเกตุพบผู้ปฏิบัติการโจมตีขั้นสูง เช่น Andariel และส่วนย่อยของ Lazarus พยายามเจาะเข้าธนาคาร และพยายามเข้าสถาบันการลงทุน และการแลกเปลี่ยนคริปโตเคอเรนซี่อีกด้วย เราจึงขอแนะนำบริษัททั้งหลายในภูมิภาคเอเชียแปซิฟิกให้เพิ่มความระวังป้องกันตัวการบุกรุกโจมตีในลักษณะดังกล่าว"

#DADJOKE และการโจมตีหน่วยงานภูมิศาสตร์การเมืองในเอเชียตะวันออกเฉียงใต้

นอกไปจากกลุ่ม APT ภาษาเกาหลีที่กำลังออกอาละวาดในไตรมาส 3 ปีนี้แล้ว ทางแคสเปอร์สกี้ยังสังเกตุพบแคมเปญใหม่ที่ใช้ชิ้นส่วนของมัลแวร์ในชื่อแดดโจ๊ก (DADJOKE) ออกล่าข้อมูลสำคัญและข่าวกรองต่างๆ ในภูมิภาคเอเชียตะวันออกเฉียงใต้

เมื่อช่วงต้นปี นักวิจัยสังเกตุพบแคมเปญจำนวนหนึ่งที่ใช้มัลแวร์ตัวนี้เข้าโจมตีหน่วยงานภาครัฐ ทหาร และองค์กรระหว่างประเทศในเอเชียตะวันออกเฉียงใต้ ความเคลื่อนไหวที่ตรวจพบล่าสุดเมื่อวันที่ 29 สิงหาคม เกี่ยวโยงกับบุคคลจำนวนหนึ่งที่ทำงานให้กับหน่วยงานด้านทหาร

ซองซู พาร์ค นักวิจัยความปลอดภัยอาวุโส บริษัท แคสเปอร์สกี้ ให้ข้อมูลเสริมว่า "เราได้เน้นย้ำในรายงาน APT ประจำไตรมาส 2 ถึงแคมเปญ APT ที่มีเป้าหมายที่เกาหลีและบรรดาหน่วยงานต่างๆ บุคคลผู้มีชื่อเสียงในเอเชียตะวันออกเฉียงใต้และเกาหลี และก็เป็นจริงตามคาดการณ์ เราตรวจพบการดำเนินร้ายมุ่งร้ายหลายอย่างของกลุ่ม APT ที่ใช้ภาษาเกาหลีในทั้งสองภูมิภาคนี้ ตั้งแต่เดือนกรกฎาคมจนถึงเดือนกันยายนในปีนี้ จากการสังเกตการณ์ของเราพบว่า ส่วนมากตามล่าข้อมูลลับ ข้อมูลสำคัญ ด้านการเงินและล้วงความลับข่าวกรองด้านภูมิศาสตร์การเมือง"

ท่านสามารถอ่านรายงานทิศทาง APT ประจำไตรมาส 3 ฉบับสมบูรณ์ได้ที่ securelist.com/…/94530/

ข่าวประชาสัมพันธ์ล่าสุด

๒๕ ก.พ. โมรินากะ ลุยตลาดออนไลน์ ส่งตรงผลิตภัณฑ์ อร่อย-กินเพลิน-ดีต่อสุขภาพ มัดใจผู้บริโภคไทย
๒๕ ก.พ. TM เผยงบปี 2563 กำไรสุทธิ 41.69 ล้านบาท เดินหน้าปันผล 0.10 บาทต่อหุ้น พร้อมเคาะจ่ายปันผล 14 พ.ค.นี้
๒๕ ก.พ. ทริส คอร์ปอเรชั่น เตรียมจัดงาน TRIS Annual Forum ภายใต้แนวคิด Maturity in Privacy เผยแพร่ความสำคัญของ Data Governance และ
๒๕ ก.พ. อินโดรามา เวนเจอร์ส แถลงผลประกอบการปี 2563
๒๕ ก.พ. 'เดอะเซนโทร คอนโด บางแสน' ยอดขายดีต่อเนื่อง ตอกย้ำความเป็นหนึ่ง แบบห้อง Dual Key แห่งเดียวในภาคตะวันออก มั่นใจ EEC
๒๕ ก.พ. ดาร์วิดฯ จับมือธ.ไทยเครดิตขายสินทรัพย์ติดจำนอง
๒๕ ก.พ. ATT จับมือ TEPCO PG คว้างานที่ปรึกษาก่อสร้างสถานีไฟฟ้าย่อยใต้ดินลุมพินี กฟน.
๒๕ ก.พ. เอ็นไอเอ เตรียมส่ง 66 สตาร์ทอัพฮีโร่ ร่วมแก้วิกฤตภาคเกษตรไทย พร้อมโชว์ 3 เทรนด์นวัตกรรมเกษตรทำแล้วรวย ตอบโจทย์ไลฟ์สไตล์การบริโภคปี
๒๕ ก.พ. ลลิล พร็อพเพอร์ตี้ ประกาศผลประกอบการปี 2563 รับรู้รายได้ 5,748.82 ล้านบาท ขยายตัว 24% กำไรสุทธิ 1,333.17 ล้านบาท ขยายตัว
๒๕ ก.พ. คณะวิศวฯ มก. สนับสนุนงบฯ 3 ล้านบาท เดินหน้าพัฒนา นวัตกรรมต้านภัยโควิด-19 อย่างต่อเนื่อง