“Operation Ghoul” ปฏิบัติการล้วงตับ ผู้ก่อการตัวร้ายไล่ล่าข้อมูล ส่งมัลแวร์รุ่นเดอะป่วนภาคส่วนอุตสาหกรรมและวิศวกรรม

          ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (Global Research and Analysis Team - GReAT) ได้ค้นพบคลื่นลูกใหม่ของการโจมตีแบบตั้งเป้าหมาย (targeted attacks) ไปที่ภาคส่วนอุตสาหกรรมและวิศวกรรมในหลายๆ ประเทศทั่วโลก อาศัยอีเมลฟิชชิ่งและมัลแวร์เข้ามาก่อน โดยอิงตามสปายแวร์คิทเชิงพานิชย์ จากนั้นอาชญากรจะไล่ล่าหาข้อมูลทางธุรกิจที่อยู่บนระบบเครือข่ายของเหยื่อ นับรวมแล้วกว่า ซาอุดิอาระเบีย3แคสเปอร์สกี้ แลป องค์กรใน 3แคสเปอร์สกี้ แลป ประเทศ อาทิ สเปน ปากีสถาน สหรัฐอาหรับเอมิเรตส์ อินเดีย อียิปต์ สหราชอาณาจักร เยอรมนี ซาอุดิอาระเบีย และอื่นๆ อีกมากมายก็ตกเป็นเป้าหมายของกลุ่มนี้
          เมื่อเดือนมิถุนายน พ.ศ. สหราชอาณาจักร559 นักวิจัยของแคสเปอร์สกี้ แลป สังเกตพบคลื่นฟิชชิ่งอีเมลมีไฟล์แนบอันตรายมาด้วย ข้อความเหล่านี้ส่วนมากถูกส่งไปหาผู้บริหารระดับสูงและกลางในหลายๆ บริษัท โดยอีเมลที่ส่งมานั้นจะดูเหมือนว่าส่งมาจากธนาคารในสหรัฐอาหรับเอมิเรตส์ เป็นใบแจ้งการโอนเงินที่มีเอกสารแนบเกี่ยวกับธุรกรรมนั้น (SWIFT) มาด้วย แต่ในความเป็นจริงกลับเป็นไฟล์มัลแวร์ 
          การสืบสวนเพิ่มเติมโดยนักวิจัยของแคสเปอร์สกี้ แลปชี้ว่าเคมเปญสเปียร์ฟิชชิ่งนี้บงการโดยกลุ่มอาชญากรไซเบอร์ ซึ่งทางทีมนักวิจัยของแคสเปอร์สกี้ แลปได้ติดตามพฤติกรรมมาตั้งแต่เดือนมีนาคม พ.ศ. สหราชอาณาจักร558 การโจมตีเมื่อเดือนมิถุนายนจัดเป็นครั้งล่าสุดโดยฝีมือของกลุ่มนี้ 
          มัลแวร์ที่พบในไฟล์แนบนี้ใช้สปายแวร์ HawkEye ซึ่งจำหน่ายกันอย่างเปิดเผยบน Darkweb ซ้ำยังให้ทูลต่างๆ นาๆ ไว้ใช้ในการโจมตีอีกด้วย หลังการติดตั้ง ก็จะทำการเก็บรวบรวมข้อมูลที่น่าสนใจจากเครื่องคอมพิวเตอร์ของเหยื่อ ได้แก่:
          การกดแป้นพิมพ์
          ข้อมูลบนคลิปบอร์ด
          ข้อมูลจำเพาะของ FTP เซิร์ฟเวอร์
          ข้อมูลบัญชีผู้ใช้จากเบราเซอร์
          ข้อมูลบัญชีผู้ใช้จากลูกข่ายที่สื่อสารข้อความกัน (เช่น Paltalk, Google talk, AIM) 
          ข้อมูลบัญชีผู้ใช้จากลูกข่ายที่ติดต่อทางอีเมล (เช่น Outlook, Windows Live mail) 
          ข้อมูลเกี่ยวกับแอพพลิเคชั่นที่ได้ติดตั้งไว้ (Microsoft Office) 

          จากนั้นจะส่งข้อมูลต่อไปยังเซิร์ฟเวอร์บังคับการของตัวแอคเตอร์ก่อการ จากข้อมูลที่ตกมาได้จากช่องโหว่บนเซิร์ฟเวอร์บังคับการบางตัว ชี้ไปในทิศทางว่าเหยื่อส่วนมากอยู่ในภาคส่วนอุตสาหกรรมและวิศวกรรม ในส่วนอื่นๆ ก็มี ได้แก่ การดำเนินงานขนส่งสินค้า เภสัชกรรม การผลิต ธุรกิจซื้อขายสินค้า องค์กรด้านการศึกษา และอื่นๆ 
          บริษัทเหล่านี้ล้วนมีข้อมูลที่มีค่า สามารถนำมาขายทำเงินได้ในตลาดมืด - ผลกำไรทางการเงินเป็นแรงจูงใจหลักของผู้กระทำผิดที่อยู่เบื้องหลังปฏิบัติการล้วงตับนี้ นั่นคือ "Operation Ghoul"
          ปฏิบัติการล้วงตับ ที่ทางทีมวิจัยของแคสเปอร์สกี้แลปทำซ้อนขึ้น เป็นหนึ่งเดียวในหลากหลายเคมเปญที่คะเนว่าควบคุมโดยกลุ่มเดียวกัน และกลุ่มนี้ยังปฏิบัติงานอยู่ 
          โมฮัมหมัด อะมิน ฮาสบีนี ผู้เชี่ยวชาญด้านความปลอดภัย แคสเปอร์สกี้ แลป ให้ข้อมูลเกี่ยวกับที่มาของปฏิบัติการนี้ว่า "เรื่องเล่าเมื่อครั้งโบราณ ผีปอบ (Ghoul) เป็นวิญญาณร้ายที่คอยกินเนื้อมนุษย์หรือเด็กๆ เป็นปีศาจที่มีที่มาแต่เดิมจากยุคเมโสโปเตเมีย วันนี้ คำๆ นี้ ในบางครั้งใช้เพื่ออธิบายลักษณะของบุคคลที่มีความละโมบหรือวัตถุนิยมสุดโต่ง ตรงเหลือเกินกับลักษณะของกลุ่มเบื้องหลัง ปฏิบัติการล้วงตับ (Operation Ghoul) ซึ่งมีแรงจูงใจเป็นเงินที่จะได้จากการขายข้อมูลทรัพย์สินทางปัญญาหรือข้อมูลจำเพาะทางธุรกิจที่ขโมยมาได้ หรือจากการเจาะบัญชีธนาคารของเหยื่อ ต่างไปจากผู้ก่อการที่มีเบื้องหลังเป็นระดับประเทศ พวกนี้จะระมัดระวังในการเลือกเป้าหมาย กลุ่มนี้และกลุ่มที่คล้ายกันอาจจะโจมตีบริษัทองค์กรใดก็ได้ ถึงแม้ว่า ทูลที่ใช้โจมตีจะค่อนข้างธรรมดา แต่ก็ให้ผลอย่างดี ดังนั้น บริษัทองค์กรที่มิได้เตรียมตัวที่รับมือ ก็จำต้องทนทุกข์จากผลที่ตามมาอย่างน่าเศร้า" 
          นักวิจัยจากแคสเปอร์สกี้ แลป ให้คำแนะนำในการป้องกันองค์กรให้พ้นเงื้อมมือ ปฏิบัติการล้วงตับ ให้ดำเนินมาตรการต่างๆ ดังนี้:
อบรมให้ความรู้แก่พนักงาน เพื่อแยกแยะได้ถูกเวลาที่ได้รับฟิชชิ่งอีเมล หรือฟิชชิ่งลิ้งค์
          ใช้โซลูชั่นเพื่อความปลอดภัยสำหรับคอร์ปอเรทที่เป็นที่ยอมรับ ควบคู่กับโซลูชั่นป้องกันการโจมตีแบบตั้งเป้า สามารถระบุการโจมตีได้จากการวิเคราะห์ความผิดปกติของระบบเครือข่าย 
          เตรียมความพร้อมให้แก่เจ้าหน้าที่ด้านระบบความปลอดภัยสามารถเข้าถึงข้อมูลจำเพาะของภัยคุกคามล่าสุดได้ เสมือนให้อาวุธในการป้องกันตัวและตรวจพบการจู่โจมแบบตั้งเป้าได้ เช่น ตัวระบุชี้จุดเสี่ยง และ ข้อกำหนด YARA เป็นต้น

โปรดักส์ของแคสเปอร์สกี้ แลป ตรวจจับมัลแวร์ที่กลุ่มปฏิบัติการล้วงตับนี้ใช้งาน ได้ดังนี้:
          Trojan.MSIL.ShopBot.ww
          Trojan.Win3สหราชอาณาจักร.Fsysna.dfah
          Trojan.Win3สหราชอาณาจักร.Generic
          อ่านเพิ่มเติมเกี่ยวกับปฏิบัติการล้วงตับ ได้ที่บล็อกโพสต์ของเรา ที่ Securelist.com
“Operation Ghoul” ปฏิบัติการล้วงตับ ผู้ก่อการตัวร้ายไล่ล่าข้อมูล ส่งมัลแวร์รุ่นเดอะป่วนภาคส่วนอุตสาหกรรมและวิศวกรรม
 
“Operation Ghoul” ปฏิบัติการล้วงตับ ผู้ก่อการตัวร้ายไล่ล่าข้อมูล ส่งมัลแวร์รุ่นเดอะป่วนภาคส่วนอุตสาหกรรมและวิศวกรรม
“Operation Ghoul” ปฏิบัติการล้วงตับ ผู้ก่อการตัวร้ายไล่ล่าข้อมูล ส่งมัลแวร์รุ่นเดอะป่วนภาคส่วนอุตสาหกรรมและวิศวกรรม
 
“Operation Ghoul” ปฏิบัติการล้วงตับ ผู้ก่อการตัวร้ายไล่ล่าข้อมูล ส่งมัลแวร์รุ่นเดอะป่วนภาคส่วนอุตสาหกรรมและวิศวกรรม
 
 
 
 

ข่าวแคสเปอร์สกี้ แลป+ซาอุดิอาระเบียวันนี้

แคสเปอร์สกี้ แลป เปิดเผยภัยคุกคามหน่วยงานรัฐ “Muddy Water” โจมตีเอเชีย ยุโรป และแอฟริกา

กลุ่มผู้ร้ายคุกคามทางไซเบอร์ขั้นสูงที่ชื่อ มัดดี้วอเทอร์ (Muddy Water) ที่ตรวจพบครั้งแรกในการโจมตีอิรักและซาอุดิอาระเบียเมื่อปี 2017 แต่เมื่อต้นปี 2018 นี้ นักวิจัยของแคสเปอร์สกี้ แลป ตรวจสอบกิจกรรมของมัดดี้วอเทอร์และพบปฏิบัติการขนาดใหญ่ที่มีเป้าหมายเพิ่มเป็นหน่วยงานรัฐบาลในประเทศจอร์แดน ตุรกี อาเซอร์ไบจัน ปากีสถาน อาฟกานิสถาน มาลี ออสเตรีย รัสเซีย อิหร่าน และบาห์เรน มัลแวร์ที่ใช้แพร่กระจายผ่านการสเปียร์ฟิชชิ่งที่ไฟล์เอกสารสำนักงาน จากนั้นแจ้งให้ผู้ใช้เปิดใช้งานมาโคร ขณะนี้การ

แคสเปอร์สกี้ แลป เปิดเผยการค้นพบ "ShadowH... แคสเปอร์สกี้ แลป เผย “ShadowHammer” โจมตีแบบซัพพลายเชนทั่วโลก พบผู้ใช้ไทยโดนโจมตี 376 เครื่อง — แคสเปอร์สกี้ แลป เปิดเผยการค้นพบ "ShadowHammer" ปฏิบัติการ...

นักวิจัยของแคสเปอร์สกี้ แลปตรวจพบกิจกรรมข... แคสเปอร์สกี้ แลป เผย แบงกิ้งโทรจัน RTM ลุยโจมตีกลุ่มธุรกิจไปแล้วมากกว่า 130,000 ราย — นักวิจัยของแคสเปอร์สกี้ แลปตรวจพบกิจกรรมของโทรจัน RTM Banking Trojan...

ด้วยเทคโนโลยีและโซลูชั่นด้านความปลอดภัยชั... แคสเปอร์สกี้ แลป ได้รับรางวัล CEIA Award 2018 สาขาความปลอดภัยไซเบอร์ — ด้วยเทคโนโลยีและโซลูชั่นด้านความปลอดภัยชั้นนำ ทำให้แคสเปอร์สกี้ แลป ได้รับรางวัล CE...

การเปลี่ยนลูกจ้างนับเป็นส่วนหนึ่งของการดำ... แคสเปอร์สกี้ แลป เตือนนายจ้างระวังลูกจ้างเก่าใช้ช่องทางเพื่อแก้แค้นทางไซเบอร์ — การเปลี่ยนลูกจ้างนับเป็นส่วนหนึ่งของการดำเนินธุรกิจ แต่ในบางกรณีก็ส่งผลร้...

แคสเปอร์สกี้ แลป ประกาศรายงานด้านความปลอด... แคสเปอร์สกี้ แลป สกัดภัยไซเบอร์มุ่งโจมตีไทยได้มากกว่า 5 ล้านรายการ — แคสเปอร์สกี้ แลป ประกาศรายงานด้านความปลอดภัยไซเบอร์ล่าสุดประจำไตรมาสที่ 4 ปี 2018 ซึ...

โดยปกติแล้วจะมีการทดสอบช่องโหว่ต่างๆ ของย... แคสเปอร์สกี้ แลป พบช่องโหว่ของตัวชาร์จรถไฟฟ้า ที่สามารถสร้างความเสียหายต่อเน็ตเวิร์กบ้านได้ — โดยปกติแล้วจะมีการทดสอบช่องโหว่ต่างๆ ของยานยนต์ไฟฟ้ารุ่นใหม...