Lazarus ยังไม่หยุด! แคสเปอร์สกี้เผยเหตุการณ์โจมตีสองรายการเชื่อมโยงงานวิจัยวัคซีนสกัดโรคระบาด

ศุกร์ ๐๘ มกราคม ๒๐๒๑ ๐๙:๐๓
ช่วงปลายปี 2020 นักวิจัยของแคสเปอร์สกี้ระบุพบความเคลื่อนไหวของ APT จำนวน 2 รายการที่มีเป้าหมายเป็นงานค้นคว้าวิจัยเกี่ยวกับ COVID-19 หน่วยงานของกระทรวงสาธารณสุข และบริษัทธุรกิจยาและเวชภัณฑ์ ซึ่งทีมผู้เชี่ยวชาญของแคสเปอร์สกี้ประเมินว่าต้องมีความเกี่ยวโยงกับกลุ่มลาซารัส (Lazarus) อันอื้อฉาวอย่างแน่นอน
Lazarus ยังไม่หยุด! แคสเปอร์สกี้เผยเหตุการณ์โจมตีสองรายการเชื่อมโยงงานวิจัยวัคซีนสกัดโรคระบาด

ขณะที่ชาวโลกกำลังวุ่นวายอยู่กับเรื่องการแพร่ระบาดและมาตรการเฝ้าระวังต่างๆ หลายส่วนก็พยายามเร่งพัฒนาวัคซีนออกมาโดยเร็วเพื่อประโยชน์ของชาวโลก แต่ก็มีความพยายามด้านมืดที่มีผู้ก่อภัยคุกคามบางกลุ่มหาช่องทางเอาประโยชน์เข้ากระเป๋าตนเอง จากการเฝ้าสอดส่องความเคลื่อนไหวของกลุ่มลาซารัสมาอย่างต่อเนื่อง จากที่มีเป้าหมายไปตามอุตสาหกรรมต่างๆ เริ่มจับสังเกตุได้ว่าผู้ก่อภัยคุกคามกลุ่มนี้เริ่มติดตามหน่วยงานที่เกี่ยวโยงกับ COVID-19 ในช่วงสองสามเดือนที่ผ่านมา ดังพบได้จากกิจกรรมความเคลื่อนไหวจำนวนสองครั้งด้วยกัน

ครั้งที่หนึ่งเป็นการโจมตีหน่วยงานของกระทรวงสาธารณสุข วินโดวส์เซิร์ฟเวอร์สองตัวในกระทรวงถูกมัลแวร์ที่มีความซับซ้อนแทรกซึมเข้ามาเมื่อ 27 ตุลาคม 2563 เรียกว่า 'wAgent' เป็นชื่อที่ทีมแคสเปอร์สกี้ใช้เรียกมัลแวร์ตัวนี้ ซึ่งเมื่อวิเคราะห์เจาะลึกพบว่ามัลแวร์ wAgent ที่ถูกนำมาใช้เล่นงานกระทรวงครั้งนี้มีวิธีการทำงานแพร่กระจายเชื้อเช่นเดียวกับมัลแวร์ที่กลุ่มลาซารัสเคยใช้งานเมื่อครั้งเข้าโจมตีธุรกิจคริปโตเคอร์เรนซี่ก่อนหน้านี้

ครั้งที่สองเป็นการเคลื่อนไหวที่เชื่อมโยงเกี่ยวข้องกับบริษัทยาจากเทคโนโลยีมาตรวัด (telemetry) พบการเจาะเข้ามาในโครงสร้างระบบบริษัทเมื่อ 25 กันยายน 2563 บริษัทนี้วิจัยพัฒนาวัคซีน COVID-19 อย่างถูกต้องพร้อมสิทธิ์ในการผลิตและจำหน่าย แต่ครั้งนี้อาชญากรใช้มัลแวร์ชื่อ Bookcode ที่เคยถูกรายงานไปก่อนหน้านี้โดยเวนเดอร์เจ้าหนึ่งว่าน่าจะมีความเกี่ยวโยงอยู่กับกลุ่มลาซารัส จาการตรวจสอบสายการโจมตีผ่านบริษัทซอฟต์แวร์ในเกาหลีใต้ และนักวิจัยของแคสเปอร์สกี้ยังได้สังเกตุพบกลุ่มลาซารัสทำสเปียร์ฟิชชิ่ง หรือวางแผนการบ่อนทำลายเว็บไซต์เพื่อกระจายมัลแวร์ Bookcode มาแล้วในอดีต

มัลแวร์ wAgent และ Bookcode ใช้ในการโจมตีทั้งสองครั้งมีฟังก์ชั่นที่คล้ายคลึงกัน เช่น แบ็กดอร์เต็มรูปแบบ ที่เมื่อถึง เพย์โหลดสุดท้ายแล้ว ผู้ก่อภัยคุกคามก็มีอำนาจการควบคุมเหนือเครื่องของเหยื่อเพื่อกระทำการใดก็ได้ตามที่ต้องการ

จากความคล้ายคลึงหลายประการที่สังเกตุพบ นักวิจัยของแคสเปอร์สกี้ยืนยันอย่างมั่นใจว่าทั้งสองเหตุการณ์นั้นมีความเชื่อมโยงกับกลุ่มลาซารัสอย่างแน่นอน การค้นคว้าวิจัยยังดำเนินต่อไปอย่างเข้มข้น

นายซองซู ปาร์ค ผู้เชี่ยวชาญด้านความปลอดภัยของแคสเปอร์สกี้ กล่าวว่า "ความเคลื่อนไหวทั้งสองเหตุการณ์นี้เผยถึงความสนใจของกลุ่มลาซารัสต่อข้อมูลวิจัยเกี่ยวกับ COVID-19 แม้กลุ่มนี้จะฉาวโฉ่จากการคุกคามอุตสาหกรรมการเงิน แต่ก็ข้ามฝั่งมางานวิจัยเชิงกลยุทธ์ได้เช่นกัน นั่นย่อมหมายว่ากิจกรรม งานข้อมูล องค์ประกอบที่เกี่ยวกับการพัฒนาวิจัย เช่น คิดค้นวัคซีน หรือวิธีการรับมือการแพร่ระบาด ต้องเตรียมรับมือกับการคุกคามจู่โจมทางไซเบอร์ด้วยเช่นกัน"

โปรดักส์ของแคสเปอร์สกี้สามารถตรวจจับมัลแวร์ wAgent ในชื่อ HEUR:Trojan.Win32.Manuscrypt.gen และ Trojan.Win64.Manuscrypt.bx มัลแวร์ Bookcode ถูกตรวจจับได้ในชื่อ Trojan.Win64.Manuscrypt.ce

อยู่อย่างไรให้รอดปลอดภัยจากภัยไซเบอร์ที่ซับซ้อนเช่นนี้ แคสเปอร์สกี้ขอแนะนำมาตรการความปลอดภัยเพื่อการป้องกัน ดังต่อไปนี้

  • สนับสนุนทีม SOC (หน่วยกู้ภัยไซเบอร์) ของคุณให้เข้าถึงแหล่งข้อมูลวิเคราะห์ภัยไซเบอร์ที่ทันสมัย (TI) เช่น พอร์ทัล Kaspersky Threat Intelligence Portal ของแคสเปอร์สกี้เปิดให้ทีมงานใช้ข้อมูลภัยคุกคามได้ ประกอบด้วย ข้อมูลการโจมตีไซเบอร์ และรายงานวิเคราะห์ที่รวบรวมมาถึงมากกว่า 20 ปี สามารถใช้งานได้โดยไม่เสียค่าใช้จ่าย และยังเปิดให้ใช้ฟีเจอร์ตรวจเช็คไฟล์ URLs และ IP addresses ว่าปลอดภัยหรือไม่ สามารถเข้าใช้งานได้ที่ https://opentip.kaspersky.com/
  • อบรมพนักงานของท่านด้วยหลักสูตรขั้นพื้นฐานด้านความปลอดภัยไซเบอร์ที่ทุกคนควรรู้และปฏิบัติได้ เพื่อให้รู้ทันเทคนิคล่อลวงง่ายๆ ที่มักใช้ในการทำการจู่โจมแบบมีเป้าหมาย (targeted attacks) ได้แก่ ฟิชชิ่ง หรือ วิศวกรรมสังคมออนไลน์ ทั้งหลาย
  • องค์กรที่ปราถนาจะทำการตรวจสอบสืบค้นของตนเองจะได้รับประโยชน์จาก Kaspersky Threat Attribution Engine อย่างยิ่ง เพราะช่วยจับคู่เทียบโค้ดอันตรายที่ตรวจพบ กับโค้ดที่มีอยู่ในฐานข้อมูลมัลแวร์ ตรวจหาความคล้าย ลักษณะเฉพาะตัวที่พบในเคมเปญ APT ที่พบมาแล้วก่อนหน้านี้
  • สำหรับการตรวจจับในระดับเอนด์พอยนท์นั้น ควรจะเป็นการสืบสวนและการแก้ไขทันที สามารถติดตั้งโซลูชั่น EDR อาทิ Kaspersky Endpoint Detection and Response ไว้ใช้งานได้
  • สำหรับจากการป้องกันเอ็นด์พอยต์ ควรติดตั้งซีเคียวริตี้โซลูชั่นระดับองค์กรที่สามารถตรวจจับภัยไซเบอร์ลงไปในระดับเน็ตเวิร์กได้ตั้งแต่เริ่มเข้ามาคุกคาม เช่น Kaspersky Anti Targeted Attack Platform ก็สามารถใช้ได้

สามารถอ่านรายงานฉบับเต็มได้ที่ https://securelist.com/lazarus-covets-covid-19-related-intelligence/99906/

ที่มา: พิตอน คอมมิวนิเคชั่น

Lazarus ยังไม่หยุด! แคสเปอร์สกี้เผยเหตุการณ์โจมตีสองรายการเชื่อมโยงงานวิจัยวัคซีนสกัดโรคระบาด

ข่าวประชาสัมพันธ์ล่าสุด

๑๕:๓๕ อัปเดตล่าสุด กฎหมายแรงงานต่างด้าวฉบับใหม่ต้องรู้ 2567
๑๕:๑๐ อมาโด้ (amado) ตอกย้ำความเป็นผู้นำตลาดคอลลาเจน คว้า 2 รางวัล จากเวทีธุรกิจ 2024 Thailand's Most Admired Brand (ต่อเนื่องเป็นปีที่ 4) และรางวัล Brand Maker Award
๑๕:๒๒ ไฟ-ฟ้า โดย ทีทีบี เติมฝันเด็กไฟ-ฟ้า ผ่านโชว์ Cover Dance คว้า 2 รางวัล จุดประกายศักยภาพและสร้างแรงบันดาลใจมุ่งมั่นสู่เป้าหมายที่สำคัญ
๑๕:๑๒ วว. / สสว. นำ วทน. พัฒนาขีดความสามารถการแข่งขัน SMEs จัดอบรมพัฒนาสร้างมูลค่าเพิ่มผลิตภัณฑ์ด้วยบรรจุภัณฑ์ ฟรี
๑๓:๕๐ เถ้าแก่น้อย ครองใจผู้บริโภคคว้า 'แบรนด์ที่ผู้บริโภคชื่นชอบที่สุด' จากผลสำรวจ Thailand's Most Admired Brand
๑๓:๓๘ Bose-Backed สมาร์ทวอทช์แบรนด์ Noise เปิดตัวในไทยบน Shopee และ Lazada
๑๒:๑๗ TIDLOR ปลื้ม! หุ้นกู้ 3 ชุดใหม่ มูลค่า 4,000 ลบ. ขายหมดเกลี้ยง ขอบคุณนักลงทุนที่ร่วมสร้างผลตอบแทน พร้อมกับสร้างการเติบโตให้ธุรกิจไปด้วยกัน
๑๒:๔๗ แอล.พี.เอ็น. เปิดโมเดลซัพพอร์ทคนอยากมีบ้าน เจาะกลุ่มเรียลดีมานด์ที่อยู่อาศัย ไม่เกิน 3 ล้าน ผุดแคมเปญ 'LPN ดูแลให้' และ 'LPN
๑๒:๓๗ สิทธิพิเศษสำหรับลูกค้า 'Redmi Note 13 Series' ให้คุณกดบัตรคอนเสิร์ต '2023-2024 BamBam THE 1ST WORLD TOUR ENCORE [AREA 52] in BANGKOK Presented by Xiaomi' รอบ
๑๒:๐๘ กรมโยธาฯ ใช้มาตรการเด็ดขาด ยกเลิกสัญญาจ้างงานที่ล่าช้าสร้างความเดือดร้อนประชาชน