กลุ่ม APT เอเชียไม่น้อยหน้า แคสเปอร์สกี้เผยเทคนิคเด่นของผู้โจมตียุคใหม่

ทีมข้อมูลภัยคุกคามทางไซเบอร์ของแคสเปอร์สกี้ (Kaspersky Cyber Threat Intelligence Team) ได้เปิดเผยผลการศึกษาที่สำคัญเกี่ยวกับกลยุทธ์ เทคนิค และขั้นตอนปฏิบัติ (Tactics, Techniques, and Procedures หรือ TTP) ของกลุ่ม APT ในภูมิภาคเอเชีย โดยให้ข้อมูลที่ครอบคลุมมากที่สุดที่ค้นพบในระหว่างการสอบสวน เพื่อเพิ่มความเข้าใจเกี่ยวกับวิธีการดำเนินงานของกลุ่ม APT พร้อมด้วยกลไกการป้องกันที่มีประสิทธิภาพ

กลุ่ม APT เอเชียไม่น้อยหน้า แคสเปอร์สกี้เผยเทคนิคเด่นของผู้โจมตียุคใหม่

เริ่มตั้งแต่ปี 2022 ทีมข้อมูลภัยคุกคามทางไซเบอร์ของแคสเปอร์สกี้วิเคราะห์เหตุการณ์โจมตีประมาณหนึ่งร้อยเหตุการณ์ที่เกิดขึ้นในภูมิภาคต่างๆ ทั่วโลก ทีมงานใช้วิธีการ Unified Kill Chain เพื่อทำการศึกษาการกระทำของผู้โจมตี โดยอิงตามการค้นพบจาก TTP ที่ถูกใช้โดยกลุ่ม APT โดยในรายงานนี้ ผู้เชี่ยวชาญได้ให้ข้อมูลเชิงลึกเกี่ยวกับเหตุการณ์เฉพาะ 5 เหตุการณ์ที่เกิดขึ้นในรัสเซียและเบลารุส อินโดนีเซีย มาเลเซีย อาร์เจนตินา และปากีสถาน ซึ่งแต่ละเหตุการณ์เป็นลักษณะการโจมตีที่กระจายตามภูมิศาสตร์ กลุ่ม APT เอเชียไม่น้อยหน้า แคสเปอร์สกี้เผยเทคนิคเด่นของผู้โจมตียุคใหม่

ในรายงานการวิเคราะห์ที่ยาว 370 หน้านี้ ระบุว่า TTP ที่ใช้โดยกลุ่ม APT ในแต่ละขั้นตอนของกระบวนการโจมตีได้รับการบันทึกไว้อย่างพิถีพิถัน นอกจากนี้ รายงานยังเสนอคำแนะนำในการต่อสู้กับการโจมตีดังกล่าว และรวมถึงกฎ Sigma ที่สามารถใช้เพื่อตรวจจับการโจมตีดังกล่าวอีกด้วย

การศึกษานี้ได้ใช้เครื่องมือ แนวปฏิบัติ และวิธีการวิเคราะห์ภัยคุกคามที่มีชื่อเสียงระดับสากล เช่น MITER ATT&CK, F3EAD, Pyramid of Pain ของ David Bianco, Intelligence Driven Incident Response, และ Unified Cyber Kill Chain เพื่อให้มั่นใจว่า จะเป็นการศึกษาที่สามารถเข้าถึงได้ทั่วโลก อีกทั้งนักวิจัยและผู้เชี่ยวชาญด้านความปลอดภัยจะสามารถเข้าใจได้ดี

การวิจัยพบว่าแม้จะมีการโจมตีหลายครั้ง แต่เทคนิคต่างๆ ที่พบยังคงมีจำกัด ทำให้นักวิจัยสามารถเจาะเข้าไปในการวิเคราะห์ได้ลึกซึ้งยิ่งขึ้น ข้อค้นพบที่สำคัญบางส่วน มีดังต่อไปนี้

  • กลุ่ม APT ในเอเชียเลือกเป้าหมายโดยปราศจากความอคติระดับภูมิภาค โดยเหยื่อจะกระจายไปทั่วโลก เน้นสร้างความท้าทายในการให้นักวิจัยพยายามระบุว่าภูมิภาคใดตกเป็นเป้าหมายถี่ที่สุด ผู้โจมตีใช้กลยุทธ์ที่สอดคล้องกันทั่วโลก แสดงให้เห็นถึงความสามารถในการใช้คลังแสงที่เหมือนกันเพื่อโจมตีเหยื่อต่างๆ
  • คุณลักษณะที่สำคัญของผู้โจมตีในเอเชีย คือการใช้เทคนิคผสมผสานกันอย่างเชี่ยวชาญ โดยใช้กลยุทธ์ 'สร้างหรือแก้ไขกระบวนการของระบบ: บริการเทคนิค Windows T003' ซึ่งช่วยให้ผู้โจมตีสามารถขยายสิทธิ์ได้ และยังใช้ 'Hijack Execution Flow: DLL Side-Loading T1574.002' ซึ่งเป็นกลยุทธ์ที่ใช้กันทั่วไปในการหลบเลี่ยงการตรวจจับ การรวมกันเชิงกลยุทธ์นี้ดูเหมือนจะเป็นจุดเด่นที่โดดเด่นของกลุ่มไซเบอร์ในเอเชีย
  • จุดสนใจหลักของกลุ่ม APT เอเชียคือการจารกรรมทางไซเบอร์ ซึ่งเห็นได้จากความพยายามในการรวบรวมข้อมูลที่ละเอียดอ่อน และส่งต่อไปยังบริการคลาวด์ที่ถูกต้องตามกฎหมายหรือช่องทางภายนอก แม้ว่าจะไม่ใช่เรื่องปกติ แต่ก็มีบางกรณีที่กลุ่ม APT ปฎิบัติการแตกต่างจากรูปแบบนี้ ดังที่เห็นในเหตุการณ์ที่ตรวจสอบแล้วว่าเกี่ยวข้องกับการใช้แรนซัมแวร์ในการโจมตี
  • อุตสาหกรรมที่เป็นเป้าหมายมากที่สุด ได้แก่ ภาครัฐ อุตสาหกรรม สุขภาพสาธารณสุข ไอที เกษตรกรรม และพลังงาน

การจัดระบบ TTP รูปแบบต่างๆ ที่ผู้โจมตีใช้ ทำให้เกิดการพัฒนาชุดกฎ SIGMA ที่สร้างขึ้นอย่างพิถีพิถันโดยเฉพาะ ช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยตรวจจับการโจมตีที่อาจเกิดขึ้นภายในโครงสร้างพื้นฐานของตนได้

นิกิตา นาซารอฟ หัวหน้าฝ่าย Threat Exploration ของแคสเปอร์สกี้ กล่าวว่า "ในโลกความปลอดภัยทางไซเบอร์ ความรู้คือกุญแจสำคัญในการยืดหยุ่นและฟื้นตัวจากการโจมตี เรามุ่งหวังว่า รายงานฉบับนี้ที่จะเสริมศักยภาพให้กับผู้เชี่ยวชาญด้านความปลอดภัยด้วยข้อมูลเชิงลึกที่จำเป็น เพื่อก้าวนำหน้าเกมของผู้ประสงค์ร้ายและป้องกันภัยคุกคามที่อาจเกิดขึ้น เราขอสนับสนุนให้ชุมชนความปลอดภัยทางไซเบอร์ทั้งหมดเข้าร่วมภารกิจแบ่งปันความรู้ เพื่อภูมิทัศน์ทางดิจิทัลที่แข็งแกร่งและปลอดภัยยิ่งขึ้น"

นักวิจัยของแคสเปอร์สกี้ค้นพบเครื่องมือ เทคนิค และแคมเปญใหม่ๆ ในการโจมตีทางไซเบอร์ทั่วโลกของกลุ่ม APT อย่างต่อเนื่อง ผู้เชี่ยวชาญได้ติดตามกลุ่มและปฏิบัติการต่างๆ มากกว่า 900 รายการ โดย 90% นั้นเกี่ยวข้องกับการจารกรรมทางไซเบอร์ และได้แบ่งปันสิ่งที่ค้นพบล่าสุด รวมถึงข้อมูลเชิงลึกพิเศษผ่านทาง Kaspersky Threat Intelligence Portal (TIP) ซึ่งเป็นจุดหลักเพื่อเข้าถึงคลังข้อมูลภัยคุกคามของแคสเปอร์สกี้ โดยมีข้อมูลการโจมตีทางไซเบอร์และข้อมูลเชิงลึกที่ รวบรวมมายาวนานกว่า 20 ปี

ผู้สนใจสามารถรายงานฉบับเต็มเรื่อง Modern Asian APT groups: Tactics, Techniques and Procedures ได้ที่เว็บ Securelist.com

https://securelist.com/modern-asia-apt-groups-ttp/111009/


ข่าวภัยคุกคามทางไซเบอร์+แคสเปอร์สกี้วันนี้

Kaspersky เผย องค์กรธุรกิจใน APAC เกินครึ่ง เลือกลงทุนเอ้าต์ซอร์สด้านความปลอดภัยไซเบอร์

ผลสำรวจฉบับใหม่จากแคสเปอร์สกี้ (Kaspersky) ระบุว่า ผู้นำองค์กรต่างตื่นตัวเรื่องภัยคุกคามทางไซเบอร์ เพื่อเตรียมพร้อมรับมือปัญหาที่ทวีความรุนแรงอย่างต่อเนื่อง พบว่าองค์กรธุรกิจในภูมิภาคเอเชียแปซิฟิก (APAC) จำนวนมากถึงร้อยละ 77 ตกเป็นเหยื่อของการโจมตีไซเบอร์มาแล้วอย่างน้อยหนึ่งครั้งในช่วงสองปีที่ผ่านมา หนึ่งในสาเหตุหลักของปัญหา คือ องค์กรจำนวนร้อยละ 24 ขาดแคลนบุคลากรที่มีศักยภาพด้านการรักษาความปลอดภัยทางไอที สำหรับมาตรการการสร้างความเข้มแข็งด้านการรักษาความปลอดภัยไซเบอร์ที่เป็นประเด็นเร่งด่วน พบว่า

ผู้เชี่ยวชาญจากทีมวิจัยและวิเคราะห์ระดับโ... แคสเปอร์สกี้คาดการณ์ภาพรวมภัย APT ปี 2024 คุกคามล้ำหน้าไปอีกก้าว — ผู้เชี่ยวชาญจากทีมวิจัยและวิเคราะห์ระดับโลกของแคสเปอร์กี้ (Kaspersky Global Research an...

ทีมข้อมูลภัยคุกคามทางไซเบอร์ของแคสเปอร์สก... กลุ่ม APT เอเชียไม่น้อยหน้า แคสเปอร์สกี้เผยเทคนิคเด่นของผู้โจมตียุคใหม่ — ทีมข้อมูลภัยคุกคามทางไซเบอร์ของแคสเปอร์สกี้ (Kaspersky Cyber Threat Intelligence...

ในโลกที่เชื่อมต่อถึงกันในปัจจุบัน ภูมิทัศ... แคสเปอร์สกี้ชู 'Threat Intelligence' เสริมศักยภาพธุรกิจไทยที่งานประชุม TB-CERT — ในโลกที่เชื่อมต่อถึงกันในปัจจุบัน ภูมิทัศน์ด้านความปลอดภัยทางไซเบอร์มีการ...

ภูมิภาคเอเชียตะวันออกเฉียงใต้มีอัตราการใช... แคสเปอร์สกี้แนะนำเคล็ดลับ 2Ps ในการประชุม UNODC — ภูมิภาคเอเชียตะวันออกเฉียงใต้มีอัตราการใช้อินเทอร์เน็ตอยู่ที่ 75.6% ซึ่งสูงที่สุดในภูมิภาคเอเชียแปซิฟิก...

จำนวนอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตยั... ยูจีน แคสเปอร์สกี้ เน้นความสำคัญของ Cyber Immunity ในการประชุม สกมช. — จำนวนอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตยังคงเพิ่มขึ้นอย่างทวีคูณ เช่นเดียวกับความสน...

ผลการวิจัยของแคสเปอร์สกี้ชี้ว่า ด้วยภัยคุ... Kaspersky แนะไทยสร้างความยืดหยุ่นทางไซเบอร์ของ ICT supply chain — ผลการวิจัยของแคสเปอร์สกี้ชี้ว่า ด้วยภัยคุกคามทางไซเบอร์นั้นพัฒนาอย่างต่อเนื่อง ประเทศไทย...

นายเซียง เทียง โยว ผู้จัดการทั่วไป ประจำภ... รู้จัก LockBit แรนซัมแวร์ตัวร้ายโจมตีสายการบินในไทย — นายเซียง เทียง โยว ผู้จัดการทั่วไป ประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า "ไม่นาน...

ตั้งแต่เดือนนี้เป็นต้นไปหลายประเทศในภูมิภ... ภัยอีเมลฟิชชิ่งคุกคามธุรกิจ SMB ไทย แคสเปอร์สกี้แนะวิธีป้องกัน — ตั้งแต่เดือนนี้เป็นต้นไปหลายประเทศในภูมิภาคเอเชียตะวันออกเฉียงใต้กำลังค่อยๆ ปรับมาตรการล็...