ภัยคุกคามไซเบอร์ใน 1 สัปดาห์ บอกอะไรเราบ้าง

Check Point Software Technology Co., Ltd. ผู้ให้บริการชั้นนำด้านโซลูชันการรักษาความปลอดภัยไซเบอร์สำหรับองค์กรธุรกิจและหน่วยงานรัฐทั่วโลก ได้รวบรวมข้อมูลภัยคุกคามต่าง ๆ ในช่วง 1 สัปดาห์ที่ผ่านมา (28 ธ.ค 2020 – 4 ม.ค 2021) แบ่งออกเป็น 3 เรื่อง ดังนี้

1. TOP Attacks and Breaches

1.1) SolarWinds supply-chain attack 

สำหรับภัย SolarWinds supply-chain attack  พบเมื่อต้นเดือนธันวาคม 2020 และสร้างความเสียหายตลอดทั้งเดือนให้กับวงการ Cyber security อย่างต่อเนื่องโดยล่าสุด Microsoft ยอมรับว่าแฮกเกอร์สามารถเข้าถึงระบบเครือข่ายภายในและ source-code ของพวกเขาได้อีกด้วย

1.2) Phishing campaign รูปแบบใหม่

พบ phishing campaign ในรูปแบบใหม่โดยใช้โฆษณาของ Facebook เพื่อทำการ redirect ผู้ใช้งานไปยังหน้าเพจของ Github ที่ถูก compromised เพื่อขโมยข้อมูล ซึ่งพบว่าปัจจุบันมีผู้ตกเป็นเหยื่อแล้วกว่า 6 แสนคนจากหลายประเทศทั่วโลก โดยส่วนมากจะเป็นผู้ใช้งาน Facebook ในประเทศเนปาล ฟิลิปปินส์ และอียิปต์ นอกจากนั้นยังพบว่าแฮกเกอร์คนอื่น ๆ เริ่มหันมาใช้โฆษณา Facebook ในการหลอกลวงอีกด้วย เห็นได้จากข่าว พบฐานข้อมูลบัญชี Facebook รั่วไหลกว่า 100,000 บัญชี และ Ragnar Locker ซื้อโฆษณา Facebook ขู่ปล่อยข้อมูลของ Campari

1.3) พบการซื้อขายข้อมูลใน DarkWeb

Check Point พบว่า ใน Hacker Forum ยังมีการขายข้อมูลของผู้ใช้งานกว่า 350 ล้านราย โดยล่าสุดมีกว่า 26 บริษัทที่ถูกละเมิดข้อมูล

1.4) ข้อมูลตัวเลขบัญชีการเงิน และข้อมูลส่วนบุคคล ยังคงเป็นที่น่าสนใจ

การแฮกข้อมูลทางการเงิน ถือว่าเป็นเรื่องที่แฮกเกอร์สนใจมานานและไม่มีแนวโน้มว่าจะลดลง โดยล่าสุด Check Point พบว่าองค์กรด้านการเงินในประเทศเลบานอน Al-Qard Al-Hassan ได้ถูกโจมตีด้วยเช่นกัน ซึ่งแฮกเกอร์กลุ่มนี้ชื่อว่า Spiderz มีจุดประสงค์คือต้องการข้อมูลหมายเลขบัญชีธนาคาร ข้อมูลรหัสสำคัญ ๆ ของรัฐบาล และหนังสือเดินทาง

1.5) Phishing campaign รูปแบบเดิมก็ยังมีอยู่

ข้อมูลล่าสุดพบ Emotet campaign ที่มุ่งโจมตี National Public Health Center (NVSC) และเทศบาลกลางของประเทศลิทัวเนีย ด้วยการส่ง Email phishing ทำให้ต้องปิดระบบ email เป็นการชั่วคราว และจากการโจมตีด้วย Email phishing ดังกล่าวจะเห็นได้ว่าใน 2020 นั้นแฮกเกอร์มุ่งเป้าโจมตีกลุ่มโรงพยาบาลมากขึ้น เพื่อต้องการปล่อย Ransomware และเรียกค่าไถ่ ดังเช่นข่าว พบโรงพยาบาลตกเป็นเป้าโจมตีด้วย Ransomware เพิ่มขึ้น

1.6) พบการโจมตีระยะไกลของแฮกเกอร์

การโจมตีจากระยะไกลยังเป็นอีกหนึ่งภัยที่พบบ่อย โดยล่าสุด T-Mobile บริษัทด้านโทรคมนาคม ต้องประสบปัญหาข้อมูลรั่วไหลเป็นครั้งที่ 2 ในปี 2020 จากการตรวจสอบของ security team พบว่าสาเหตุมาจากการเข้าถึงระบบเครือข่ายโดยไม่ได้รับอนุญาตจากแฮกเกอร์ทำให้สามารถเข้าควบคุมและกำหนดสิทธิ์ในระบบได้

2. TOP  Vulnerabilities and Patches

2.1) Backdoor Malware ตัวการที่ทำให้เกิดช่องโหว่ซอฟต์แวร์

ในช่วงเดือนธันวาคม 2020 – มกราคม 2021 นักวิจัยด้านความปลอดภัยของ Check Point พบ backdoor account บนอุปกรณ์  firewalls, VPN gateway and access point controllers ของ Zyxel มากกว่า 1แสน account ที่มีสิทธิ์ในระดับ admin ส่งผลให้ hacker สามารถควบคุมอุปกรณ์ดังกล่าวผ่าน SSH และ Web portal ได้ ดังในข่าว Zyxel ปล่อยแพทซ์ แก้ไขช่องโหว่ร้ายแรง Firmware แล้ว

2.2) ข้อผิดพลาดของโปรแกรมทำให้เกิด Bug

ล่าสุดพบ Bug ในแอปพลิเคชันของ Google ที่ทำให้แฮกเกอร์สามารถขโมยข้อมูลส่วนบุคคลของผู้ใช้งาน ล่าสุด Google ได้ออกแพตช์เพื่อแก้ไขแล้ว ดังเช่นในข่าว Google แก้บั๊ก Google Doc ที่ทำให้แฮกเกอร์เห็นเอกสารที่เป็นส่วนตัวได้

3. TOP Threat Intelligence

3.1)  Dridex หนึ่งในโทรจันทางธนาคารที่แพร่หลายมากที่สุดขณะนี้

Check Point Research ได้วิเคราะห์อย่างละเอียดพบว่า Dridex หนึ่งในโทรจันทางธนาคารที่แพร่หลายมากที่สุดขณะนี้ซึ่งโทรจันชนิดนี้ถูกใช้โจมตีมาตั้งแต่ปี 2014

3.2) การโจมตี swatting ในอุปกรณ์ Smart home

FBI และ Check Point เตือนเจ้าของอุปกรณ์สมาร์ทโฮม ให้ระวังการโจมตี swatting ซึ่งวิธีการโจมตีของแฮกเกอร์คือ จะเข้าแฮกกล้องและลำโพงอัจฉริยะในบ้าน จากนั้นจะโทรหาบริการฉุกเฉินเพื่อแจ้งรายงานอาชญากรรมเท็จก่อกวนการทำงานของตำรวจ

3.3) มัลแวร์ตัวใหม่ใน AutoHotkey (AHK) 

ล่าสุดนักวิจัยด้านความปลอดภัย พบมัลแวร์ขโมยข้อมูลรับรองตัวใหม่ ใน AutoHotkey (AHK) ซึ่งเป็นซอฟต์แวร์ open-source ที่ใช้สำหรับ Window โดยมัลแวร์ชนิดนี้จะเข้ากำหนดเป้าหมายลูกค้าของธนาคารแห่งหนึ่งในสหรัฐอเมริกาและแคนาดาเพื่อขโมยข้อมูล

3.4) เอกสารวัคซีนป้องกัน COVID-19 ใน DarkWeb

ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์พบเอกสารหลายฉบับเกี่ยวกับวัคซีนป้องกันโรค COVID-19 ที่ถูกกล่าวหาว่าขโมยมาจากสำนักงานอาหารและยาแห่งยุโรปรั่วไหลใน DarkWeb

สำหรับการรวบรวมข้อมูลภัยคุกคามในช่วง 1 สัปดาห์ที่ผ่านมา จะเห็นได้ว่ายังคงเป็นภัยคุกคามที่เราพบเห็นกันอยู่เป็นประจำ ซึ่ง NT cyfence มีบทความและข่าวภัย IT ต่างๆ รวมถึงวิธีการป้องกันภัยคุกคามได้ด้วยตัวเองให้ติดตามอยู่เสมอ ยิ่งไปกว่านั้นยังพร้อมให้บริการ Threat Hunting ที่รวบรวมข้อมูลจาก Threat Intelligent จากบริษัทชั้นนำต่าง ๆ และสร้างเป็นกฏสำหรับการรับมือให้สอดคล้องกับการดำเนินการต่าง ๆ ภายในองค์กร ผู้สนใจติดต่อรายละเอียดได้ที่ NT Contact Center 1888 หรือติดต่อเราผ่านทาง www.cyfence.com/contact-us

ที่มา: https://research.checkpoint.com/wp-content/uploads/2021/01/Threat_Intelligence_News_2021-01-04.pdf