รายงานด้านความปลอดภัยทางไซเบอร์จากแคสเปอร์สกี้ประจำไตรมาสที่ 3 ปี 2562 ชี้ผู้บุกรุก (Attackers) ไล่ล่าข้อมูลสำคัญ ความลับ ข่าวกรองจากบรรดาธนาคารสถาบันการเงิน หน่วยงานราชการภาครัฐ ภาคการเงิน และองค์กรด้านทหารและความมั่นคง แอนดรอยด์มัลแวร์ที่แฝงตัวมาในรูปแอปส่งข้อความโมบาย หรือแอปเงินดิจิทัล (cryptocurrency app) มีเป้าหมายคือกลุ่มคนและองค์กรที่ซื้อขายเงินดิจิทัล (cryptocurrency trader) โดยกลุ่มอาชญากรรมที่ใช้ APT (Advanced Persistent Threat) นี้จะเปลี่ยนทูลอยู่บ่อยๆ เพื่อสกัดกั้นไม่ให้สถาบันการเงินจับได้ไล่ทัน เกิดเป็นช่องโหว่ นอกจากนี้ยังมีกลุ่มย่อยของลาซารัส (Lazarus) ที่ก็ใช้ CVE-2017-10271 เพื่อเป็นตัวเจาะเข้าเวนเดอร์ด้านไซเบอร์ซิเคียวริตี้เพิ่มขึ้นมาอีกด้วยกลุ่มอาชญากรเหล่านี้มีเป้าหมายหลากหลายแตกต่างกัน แต่ทุกกลุ่มใช้ภาษาเกาหลี (Korean-speaking actors) เป็นตัวนำร่องลุยก่ออาชญากรรมในคาบสมุทรเกาหลีและภูมิภาคเอเชียตะวันออกเฉียงใต้ รายละเอียดฉบับเต็มสามารถอ่านได้ที่ Kaspersky's APT Trends Reports Q3 2019
# KONNI และแก๊งก่อกวนคริปโตเคอเรนซี่แถบคาบสมุทรเกาหลี นักวิจัยของแคสเปอร์สกี้ตรวจพบความเคลื่อนไหวคึกคักทีเดียวของแอนดรอยด์มัลแวร์ ที่ใช้การแฝงตัวเป็นแอปส่งข้อความโมบาย หรือแอปพลิเคชั่นเกี่ยวกับคริปโตเคอเรนซี่ แคสเปอร์สกี้จับมือกับทีม CERT ของเกาหลี ร่วมกันโค่นเซิร์ฟเวอร์ของอาชญากรลงได้เป็นผลสำเร็จ และตรวจสอบมัลแวร์ตัวใหม่นี้ จึงได้พบความเชื่อมโยงกับคอนนิ (KONNI) ซึ่งเป็นสายพันธุ์ของวินโดวส์มัลแวร์ที่เคยพบกันมาแล้ว ตอนนั้นได้ก่อกวนองค์กรด้านสิทธิ์มนุษยชน บุคคลมีชื่อเสียงที่เกี่ยวข้องหรือแสดงความสนใจกิจการด้านคาบสมุทรเกาหลี
นอกจากนี้เป้าหมายที่ชัดเจนคือคริปโตเคอเรนซี่ พอได้เหยื่อจะติดตั้งฟังก์ชั่นที่มีฟีเจอร์ครบทุกสิ่งที่ผู้ร้ายต้องการทันที จากนั้นเข้าควบคุมเครื่องแอนดรอยด์ของเหยื่อ และดูดข้อมูลคริปโตเคอเรนซี่ส่วนตัวไปได้ง่ายๆ
# BlueNoroff และสถาบันการเงินในเอเชียตะวันออกเฉียงใต้
แคสเปอร์สกี้จับตาดูบลูโนรอฟฟ (BlueNoroff) ซึ่งกลุ่ม APT อันอื้อฉาวที่ชื่อ ลาซารัส ใช้เป็นตัวเจาะเข้าสถาบันการเงิน โดยเมื่อไตรมาสที่ 3 ของปีนี้ มีธนาคารในเมียนมาร์เป็นเหยื่อไปแล้ว
จากการที่บริษัทด้านไซเบอร์ซิเคียวริตี้ได้แจ้งเตือนสถาบันการเงิน ธนาคารต่างๆ จึงช่วยให้นักวิจัยได้เบาะแสที่มีประโยชน์ ชี้วิธีการที่ผู้เจาะเข้าระบบใช้ในการเคลื่อนย้ายตัวเมื่อเข้าระบบของสถาบันการเงินมาได้ โดยจะมุ่งหาโฮสต์ที่เก็บข้อมูลอันมีค่า ที่ทางธนาคารใช้ติดต่อ ทำธุรกรรมโอนเงินกับ SWIFT เป็นต้น
การสืบสวนของแคสเปอร์สกี้ยังได้เปิดโปงกลยุทธที่บลูโนรอฟฟติดตั้งใช้งานในการเป็นทางหนีทีไล่หลบเลี่ยงการตรวจจับ เช่น ใช้สคริปต์ Powershell และเปลี่ยนแปลงอยู่บ่อยๆ กลุ่มนี้ยังใช้ซอฟต์แวร์ที่มีความซับซ้อนซ่อนเขี้ยวเล็บ สามารถรันไปได้เรื่อยๆ เงียบๆ ไม่ก่อเหตุใดๆ หรือ เป็นตัวแบ็กดอร์ที่คอยทำงานลับหลัง หรือเป็นทูลใช้ในการเจาะเข้าระบบตามคำสั่งในคอมมานด์ไลน์พารามิเตอร์เลยทีเดียว
# Andariel APT และเวนเดอร์ซิเคียวริตี้เกาหลีใต้
ยังมีกลุ่มย่อยของลาซารัสอีกกลุ่มที่ชื่อ แอนดาเรียล (Andariel) กลุ่มนี้พยายามสร้างโครงสร้าง C2 ขึ้นใหม่ โดยใช้ประโยชน์จาก CVE-2017-10271 เพื่อเจาะเข้าเป้าหมายเว็บโลจิกเซิร์ฟเวอร์ที่มีช่องโหว่ กลยุทธ์เช่นนี้ได้ผลอยู่หลังจากที่ผู้บุกรุกได้ทำการเจาะเป้าหมายได้เป็นผลสำเร็จ โดยผู้เจาะเข้าไปได้ทำการติดตั้งมัลแวร์ที่ทิ้งลายเซ็นเอาไว้ โดยที่ลายเซ็นนี้เป็นอัตลักษณ์เฉพาะตัวของเวนเดอร์ซิเคียวริตี้ซอฟต์แวร์ในเกาหลีใต้ ซึ่งทางทีม CERT เกาหลีใต้ได้ดำเนินการยกเลิกได้ทันท่วงที
เมื่อมาพิจารณาถึงเรื่องการก่อจารกรรมจากเหตุทางภูมิศาสตร์การเมือง และข้อมูลการเงินในเกาหลีใต้ ก็ต้องพูดถึง แอนดาเรียล เป็นอีกตัวที่ใช้แบ็กดอร์ประเภทใหม่ล่าสุดที่ปลอมตัวเป็น ApolloZeus แบ็กดอร์ตัวนี้มีความซับซ้อน ใช้เชลล์โค้ดที่มีขนาดค่อนข้างใหญ่ จึงทำให้การวิเคราะห์ตรวจจับค่อนข้างยากลำบาก จากการตรวจสอบต่างๆ แคสเปอร์สกี้พบว่า การบุกรุกของกลุ่มเป็นขั้นตอนการเตรียมขั้นต้นสำหรับแคมเปญครั้งใหม่
คอสติน ไรอู ผู้อำนวยการทีมวิเคราะห์และวิจัย (Global Research & Analysis Team) บริษัท แคสเปอร์สกี้ กล่าวเตือนว่า "การเข้าโจมตีอย่างมีเป้าหมายชัดเจนเป็นสถาบันการเงินนี้เมื่อรวมกับการใช้เทคนิคที่มีความสลับซับซ้อนขั้นสูง ซึ่งเป็นรูปแบบที่เคยพบเห็นกระทำกันเฉพาะการโจมตี APT เท่านั้น ด้วยการใช้โครงสร้างทั่วๆ ไปที่ใช้ในการซักฟอกทรัพย์สินที่ถูกโจรกรรมมาเท่านั้นเอง ในไตรมาสที่ 3 เราสังเกตุพบผู้ปฏิบัติการโจมตีขั้นสูง เช่น Andariel และส่วนย่อยของ Lazarus พยายามเจาะเข้าธนาคาร และพยายามเข้าสถาบันการลงทุน และการแลกเปลี่ยนคริปโตเคอเรนซี่อีกด้วย เราจึงขอแนะนำบริษัททั้งหลายในภูมิภาคเอเชียแปซิฟิกให้เพิ่มความระวังป้องกันตัวการบุกรุกโจมตีในลักษณะดังกล่าว"
#DADJOKE และการโจมตีหน่วยงานภูมิศาสตร์การเมืองในเอเชียตะวันออกเฉียงใต้
นอกไปจากกลุ่ม APT ภาษาเกาหลีที่กำลังออกอาละวาดในไตรมาส 3 ปีนี้แล้ว ทางแคสเปอร์สกี้ยังสังเกตุพบแคมเปญใหม่ที่ใช้ชิ้นส่วนของมัลแวร์ในชื่อแดดโจ๊ก (DADJOKE) ออกล่าข้อมูลสำคัญและข่าวกรองต่างๆ ในภูมิภาคเอเชียตะวันออกเฉียงใต้
เมื่อช่วงต้นปี นักวิจัยสังเกตุพบแคมเปญจำนวนหนึ่งที่ใช้มัลแวร์ตัวนี้เข้าโจมตีหน่วยงานภาครัฐ ทหาร และองค์กรระหว่างประเทศในเอเชียตะวันออกเฉียงใต้ ความเคลื่อนไหวที่ตรวจพบล่าสุดเมื่อวันที่ 29 สิงหาคม เกี่ยวโยงกับบุคคลจำนวนหนึ่งที่ทำงานให้กับหน่วยงานด้านทหาร
ซองซู พาร์ค นักวิจัยความปลอดภัยอาวุโส บริษัท แคสเปอร์สกี้ ให้ข้อมูลเสริมว่า "เราได้เน้นย้ำในรายงาน APT ประจำไตรมาส 2 ถึงแคมเปญ APT ที่มีเป้าหมายที่เกาหลีและบรรดาหน่วยงานต่างๆ บุคคลผู้มีชื่อเสียงในเอเชียตะวันออกเฉียงใต้และเกาหลี และก็เป็นจริงตามคาดการณ์ เราตรวจพบการดำเนินร้ายมุ่งร้ายหลายอย่างของกลุ่ม APT ที่ใช้ภาษาเกาหลีในทั้งสองภูมิภาคนี้ ตั้งแต่เดือนกรกฎาคมจนถึงเดือนกันยายนในปีนี้ จากการสังเกตการณ์ของเราพบว่า ส่วนมากตามล่าข้อมูลลับ ข้อมูลสำคัญ ด้านการเงินและล้วงความลับข่าวกรองด้านภูมิศาสตร์การเมือง"
ท่านสามารถอ่านรายงานทิศทาง APT ประจำไตรมาส 3 ฉบับสมบูรณ์ได้ที่ https://securelist.com/apt-trends-report-q3-2019/94530/
ติดต่อเราได้ที่ facebook.com/newswit