Cyber Espionage มุ่งโจมตี Asia-Pacific หนึ่งในนั้นมีประเทศไทย

NT cyfence

เว็บไซต์ซอฟต์แวร์ด้านการรักษาความปลอดภัยไซเบอร์ Check Point รายงานว่าพบการเคลื่อนไหวของกลุ่มแฮกเกอร์จากประเทศจีน ที่มีพฤติกรรมเข้าข่าย Cyber Espionage หรือ การจารกรรมข้อมูลไซเบอร์ หลังจากหยุดเคลื่อนไหวมานานกว่า 5 ปี โดยเป้าหมายคือโจมตี รัฐบาล และองค์กรภาครัฐ ในหลายประเทศแถบ Asia-Pacific (APAC) ไม่ว่าจะเป็น ออสเตรเลีย อินโดนีเซีย ฟิลิปปินส์ เวียดนาม เมียนมา บรูไน รวมถึงประเทศไทย ซึ่งแฮกเกอร์กลุ่มนี้มีชื่อว่า Naikon APT โดยเมื่อปี 2015 Naikon APT เคยลักลอบใช้ email ของเครื่องที่ถูก compromise ส่งไปให้ผู้บริหารระดับสูงของรัฐบาลและกองทัพ ซึ่งมีเหยื่อหลงเชื่อเปิด email ฉบับนั้น ทำให้ถูกติดตั้ง spyware ลงบนเครื่องและขโมยข้อมูลสำคัญเพื่อส่งกลับไปยัง c&c server

Lotem Finkelsteen ผู้บริหารด้าน Threat Intelligence ของ Check Point ให้ข้อมูลว่ากลุ่ม Naikon APT กลับมาเคลื่อนไหวอีกครั้ง โดยครั้งนี้มาพร้อมกับ Aria-Body ที่เป็น backdoor ตัวใหม่ แต่ยังคงมีกลุ่มเป้าหมายเดิม คือ รัฐบาล ซึ่งครั้งนี้พวกเขาแอบอ้างเป็นรัฐบาลจากต่างประเทศ ส่ง phishing email ที่แนบ RTF file ชื่อว่า The Indians Way.doc หากเหยื่อหลงเชื่อกดดาวน์โหลดจะเป็นการติดตั้ง File Loader (intel.wll) ที่มีลักษณะเป็นโปรแกรมเสริม มาติดตั้งที่เครื่อง และเมื่อถูกติดตั้ง Loader จะทำหน้าที่ติดต่อกับ c&c server เพื่อดาวน์โหลด Aria-body backdoor payload มาติดตั้งที่เครื่องอีกครั้งหนึ่งเพื่อให้เครื่องถูก compromise โดยสมบูรณ์ จากนั้นจึงเข้าควบคุมเครือข่ายภายในของเหยื่อ และทำการ screenshots ขโมยข้อมูลที่สำคัญ โดยใช้ keylogging มาช่วยและส่งกลับไปยัง c&c server

Check Point ยังให้ข้อมูลอีกว่าถึงแม้การโจมตีจะดูเป็นเรื่องง่าย แต่การติดต่อกลับไปยัง c&c server นั้นมีช่วงเวลาที่จำกัดเพียงไม่กี่ชั่วโมงต่อวัน จึงอาจต้องใช้เวลามากพอสมควร ที่จะสามารถขโมยข้อมูลสำคัญออกมาได้ หากระบบภายในมีความซับซ้อน อีกทั้งยังพบว่าการติดต่อกับ c&c server จะไม่ใช้เพียง IP address เดิมซ้ำ ๆ แต่ใช้วิธีเปลี่ยน domain ไปเรื่อย ๆ ซึ่งเป็นเทคนิคที่สามารถเฝ้าระวังได้ ดังนั้น ผู้ดูแลระบบโดยเฉพาะอย่างยิ่งในองค์กรภาครัฐ ควร Monitor ระบบเพื่อค้นหาและเฝ้าระวังความผิดปกติอยู่ตลอดเวลา หากเป็นไปได้ควรมีทีม Security Operation Center ที่สามารถเฝ้าระวังระบบแบบ 24/7 เพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้นกับข้อมูลสำคัญระดับประเทศ ซึ่งไม่อาจประเมินค่าได้

ที่มา: https://thehackernews.com/2020/05/asia-pacific-cyber-espionage.html

ภาพถ่ายโดย : Lysander Yuen on Unsplash

บทความที่เกี่ยวข้อง

IT 360º ไอที ง่ายๆ รอบๆ ตัว
Microsoft แก้ไขช่องโหว่ร้ายแรง Notepad บน Windows 11
NT cyfence
แจ้งเตือนผู้ใช้ Windows 11! พบช่องโหว่ร้ายแรง (CVE-2026-20841) ใน Notepad ที่ทำให้แฮกเกอร์รันโปรแกรมอันตรายผ่านลิงก์ Markdown ได้
อ่านต่อ >
IT 360º ไอที ง่ายๆ รอบๆ ตัว
เตือน!! เว็บปลอม 7-Zip ทำหน้าดาวน์โหลดปล่อยตัวติดตั้งแฝงมัลแวร์
NT cyfence
เตือนระวังดาวน์โหลด 7-Zip จากเว็บปลอม แฝงมัลแวร์ขโมยใช้ IP เครื่องไปทำผิดกฎหมาย แนะเช็ก URL ให้ชัวร์ก่อนโหลด และเลี่ยงลิงก์ใต้คลิป...
อ่านต่อ >
IT 360º ไอที ง่ายๆ รอบๆ ตัว
Notepad++ ถูกแฮกเกอร์ฝังมัลแวร์ผ่านช่องทางอัปเดตระบบ
NT cyfence
ทีมนักพัฒนา Notepad++ ประกาศแจ้งเตือนกรณีระบบการ Update Software ถูกกลุ่มแฮกเกอร์แทรกแซงเพื่อแพร่กระจายมัลแวร์
อ่านต่อ >
Scroll to Top