Cyber Espionage มุ่งโจมตี Asia-Pacific หนึ่งในนั้นมีประเทศไทย

NT cyfence

เว็บไซต์ซอฟต์แวร์ด้านการรักษาความปลอดภัยไซเบอร์ Check Point รายงานว่าพบการเคลื่อนไหวของกลุ่มแฮกเกอร์จากประเทศจีน ที่มีพฤติกรรมเข้าข่าย Cyber Espionage หรือ การจารกรรมข้อมูลไซเบอร์ หลังจากหยุดเคลื่อนไหวมานานกว่า 5 ปี โดยเป้าหมายคือโจมตี รัฐบาล และองค์กรภาครัฐ ในหลายประเทศแถบ Asia-Pacific (APAC) ไม่ว่าจะเป็น ออสเตรเลีย อินโดนีเซีย ฟิลิปปินส์ เวียดนาม เมียนมา บรูไน รวมถึงประเทศไทย ซึ่งแฮกเกอร์กลุ่มนี้มีชื่อว่า Naikon APT โดยเมื่อปี 2015 Naikon APT เคยลักลอบใช้ email ของเครื่องที่ถูก compromise ส่งไปให้ผู้บริหารระดับสูงของรัฐบาลและกองทัพ ซึ่งมีเหยื่อหลงเชื่อเปิด email ฉบับนั้น ทำให้ถูกติดตั้ง spyware ลงบนเครื่องและขโมยข้อมูลสำคัญเพื่อส่งกลับไปยัง c&c server

Lotem Finkelsteen ผู้บริหารด้าน Threat Intelligence ของ Check Point ให้ข้อมูลว่ากลุ่ม Naikon APT กลับมาเคลื่อนไหวอีกครั้ง โดยครั้งนี้มาพร้อมกับ Aria-Body ที่เป็น backdoor ตัวใหม่ แต่ยังคงมีกลุ่มเป้าหมายเดิม คือ รัฐบาล ซึ่งครั้งนี้พวกเขาแอบอ้างเป็นรัฐบาลจากต่างประเทศ ส่ง phishing email ที่แนบ RTF file ชื่อว่า The Indians Way.doc หากเหยื่อหลงเชื่อกดดาวน์โหลดจะเป็นการติดตั้ง File Loader (intel.wll) ที่มีลักษณะเป็นโปรแกรมเสริม มาติดตั้งที่เครื่อง และเมื่อถูกติดตั้ง Loader จะทำหน้าที่ติดต่อกับ c&c server เพื่อดาวน์โหลด Aria-body backdoor payload มาติดตั้งที่เครื่องอีกครั้งหนึ่งเพื่อให้เครื่องถูก compromise โดยสมบูรณ์ จากนั้นจึงเข้าควบคุมเครือข่ายภายในของเหยื่อ และทำการ screenshots ขโมยข้อมูลที่สำคัญ โดยใช้ keylogging มาช่วยและส่งกลับไปยัง c&c server

Check Point ยังให้ข้อมูลอีกว่าถึงแม้การโจมตีจะดูเป็นเรื่องง่าย แต่การติดต่อกลับไปยัง c&c server นั้นมีช่วงเวลาที่จำกัดเพียงไม่กี่ชั่วโมงต่อวัน จึงอาจต้องใช้เวลามากพอสมควร ที่จะสามารถขโมยข้อมูลสำคัญออกมาได้ หากระบบภายในมีความซับซ้อน อีกทั้งยังพบว่าการติดต่อกับ c&c server จะไม่ใช้เพียง IP address เดิมซ้ำ ๆ แต่ใช้วิธีเปลี่ยน domain ไปเรื่อย ๆ ซึ่งเป็นเทคนิคที่สามารถเฝ้าระวังได้ ดังนั้น ผู้ดูแลระบบโดยเฉพาะอย่างยิ่งในองค์กรภาครัฐ ควร Monitor ระบบเพื่อค้นหาและเฝ้าระวังความผิดปกติอยู่ตลอดเวลา หากเป็นไปได้ควรมีทีม Security Operation Center ที่สามารถเฝ้าระวังระบบแบบ 24/7 เพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้นกับข้อมูลสำคัญระดับประเทศ ซึ่งไม่อาจประเมินค่าได้

ที่มา: https://thehackernews.com/2020/05/asia-pacific-cyber-espionage.html

ภาพถ่ายโดย : Lysander Yuen on Unsplash

บทความที่เกี่ยวข้อง

IT 360º ไอที ง่ายๆ รอบๆ ตัว
พบมัลแวร์ Reaper บน macOS ใช้โดเมนปลอม Microsoft หลอกขโมยรหัสผ่าน และคริปโต
NT cyfence

หน่วยวิจัย SentinelLABS จากบริษัทความปลอดภัยไซเบอร์ SentinelOne ได้เปิดเผยรายงานการพบมัลแวร์ตัวใหม่บนระบบปฏิบัติการ macOS ที่มีชื่อว่า Reaper ซึ่งเป็นสายพันธุ์ล่าสุดของมัลแวร์ขโมยข้อมูล (Infostealer)...

อ่านต่อ >
IT 360º ไอที ง่ายๆ รอบๆ ตัว
พบช่องโหว่ร้ายแรงใน Plugin WordPress Burst Statistics หากใช้งานต้องอัปเดตทันที
cyfence
พบแฮกเกอร์โจมตีช่องโหว่ร้ายแรงในปลั๊กอิน WordPress “Burst Statistics” ที่ใช้บนกว่า 200,000 เว็บไซต์ ช่องโหว่นี้เปิดทางให้ผู้โจมตีข้ามการยืนยันตัวตนและสวมสิทธิ์แอดมินได้ แม้ใส่รหัสผ่านผิด เสี่ยงต่อการติดมัลแวร์และถูกยึดเว็บไซต์...
อ่านต่อ >
IT 360º ไอที ง่ายๆ รอบๆ ตัว
พบ Ransomware VECT 2.0 ทำลายไฟล์ถาวร จ่ายค่าไถ่ก็กู้ข้อมูลไม่ได้
NT cyfence
พบแรนซัมแวร์ “VECT 2.0” ที่ไม่เพียงเข้ารหัสไฟล์ แต่ยังทำลายข้อมูลถาวร โดยเฉพาะข้อมูลขนาดใหญ่ แม้จะมีการจ่ายค่าไถ่แล้วก็ตาม
อ่านต่อ >
Scroll to Top