Black Hat Asia 2021

[PR] “Operation Ghoul” ปฏิบัติการล้วงตับ ผู้ก่อการตัวร้ายไล่ล่าข้อมูล ส่งมัลแวร์รุ่นเดอะป่วนภาคส่วนอุตสาหกรรมและวิศวกรรม

ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป ( Global Research and Analysis Team – GReAT ) ได้ค้นพบคลื่นลูกใหม่ของการโจมตีแบบตั้งเป้าหมาย ( targeted attacks ) ไปที่ภาคส่วนอุตสาหกรรมและวิศวกรรมในหลาย ๆ ประเทศทั่วโลก อาศัยอีเมลฟิชชิ่งและมัลแวร์เข้ามาก่อน โดยอิงตามสปายแวร์คิทเชิงพานิชย์ จากนั้นอาชญากรจะไล่ล่าหาข้อมูลทางธุรกิจที่อยู่บนระบบเครือข่ายของเหยื่อ นับรวมแล้วกว่า 130 องค์กรใน 30 ประเทศ อาทิ สเปน ปากีสถาน สหรัฐอาหรับเอมิเรตส์ อินเดีย อียิปต์ สหราชอาณาจักร เยอรมนี ซาอุดิอาระเบีย และอื่น ๆ อีกมากมายก็ตกเป็นเป้าหมายของกลุ่มนี้

kaspersky-lab-operation-ghoul

เมื่อเดือนมิถุนายน พ.ศ. 2559 นักวิจัยของแคสเปอร์สกี้ แลป สังเกตพบคลื่นฟิชชิ่งอีเมลมีไฟล์แนบอันตรายมาด้วย ข้อความเหล่านี้ส่วนมากถูกส่งไปหาผู้บริหารระดับสูงและกลางในหลาย ๆ บริษัท โดยอีเมลที่ส่งมานั้นจะดูเหมือนว่าส่งมาจากธนาคารในสหรัฐอาหรับเอมิเรตส์ เป็นใบแจ้งการโอนเงินที่มีเอกสารแนบเกี่ยวกับธุรกรรมนั้น ( SWIFT ) มาด้วย แต่ในความเป็นจริงกลับเป็นไฟล์มัลแวร์

kaspersky-lab-operation-ghoul-2

การสืบสวนเพิ่มเติมโดยนักวิจัยของแคสเปอร์สกี้ แลปชี้ว่าเคมเปญสเปียร์ฟิชชิ่งนี้บงการโดยกลุ่มอาชญากรไซเบอร์ ซึ่งทางทีมนักวิจัยของแคสเปอร์สกี้ แลปได้ติดตามพฤติกรรมมาตั้งแต่เดือนมีนาคม พ.ศ. 2558 การโจมตีเมื่อเดือนมิถุนายนจัดเป็นครั้งล่าสุดโดยฝีมือของกลุ่มนี้

มัลแวร์ที่พบในไฟล์แนบนี้ใช้สปายแวร์ HawkEye ซึ่งจำหน่ายกันอย่างเปิดเผยบน Darkweb ซ้ำยังให้ทูลต่าง ๆ นา ๆ ไว้ใช้ในการโจมตีอีกด้วย หลังการติดตั้ง ก็จะทำการเก็บรวบรวมข้อมูลที่น่าสนใจจากเครื่องคอมพิวเตอร์ของเหยื่อ ได้แก่:

  • การกดแป้นพิมพ์
  • ข้อมูลบนคลิปบอร์ด
  • ข้อมูลจำเพาะของ FTP เซิร์ฟเวอร์
  • ข้อมูลบัญชีผู้ใช้จากเบราเซอร์
  • ข้อมูลบัญชีผู้ใช้จากลูกข่ายที่สื่อสารข้อความกัน ( เช่น Paltalk, Google talk, AIM )
  • ข้อมูลบัญชีผู้ใช้จากลูกข่ายที่ติดต่อทางอีเมล ( เช่น Outlook, Windows Live mail )
  • ข้อมูลเกี่ยวกับแอพพลิเคชั่นที่ได้ติดตั้งไว้ ( Microsoft Office )

จากนั้นจะส่งข้อมูลต่อไปยังเซิร์ฟเวอร์บังคับการของตัวแอคเตอร์ก่อการ จากข้อมูลที่ตกมาได้จากช่องโหว่บนเซิร์ฟเวอร์บังคับการบางตัว ชี้ไปในทิศทางว่าเหยื่อส่วนมากอยู่ในภาคส่วนอุตสาหกรรมและวิศวกรรม ในส่วนอื่น ๆ ก็มี ได้แก่ การดำเนินงานขนส่งสินค้า เภสัชกรรม การผลิต ธุรกิจซื้อขายสินค้า องค์กรด้านการศึกษา และอื่น ๆ

kaspersky-lab-operation-ghoul-victim

บริษัทเหล่านี้ล้วนมีข้อมูลที่มีค่า สามารถนำมาขายทำเงินได้ในตลาดมืด – ผลกำไรทางการเงินเป็นแรงจูงใจหลักของผู้กระทำผิดที่อยู่เบื้องหลังปฏิบัติการล้วงตับนี้ นั่นคือ Operation Ghoul

ปฏิบัติการล้วงตับ ที่ทางทีมวิจัยของแคสเปอร์สกี้แลปทำซ้อนขึ้น เป็นหนึ่งเดียวในหลากหลายเคมเปญที่คะเนว่าควบคุมโดยกลุ่มเดียวกัน และกลุ่มนี้ยังปฏิบัติงานอยู่

โมฮัมหมัด อะมิน ฮาสบีนี ผู้เชี่ยวชาญด้านความปลอดภัย แคสเปอร์สกี้ แลป ให้ข้อมูลเกี่ยวกับที่มาของปฏิบัติการนี้ว่า “เรื่องเล่าเมื่อครั้งโบราณ ผีปอบ ( Ghoul ) เป็นวิญญาณร้ายที่คอยกินเนื้อมนุษย์หรือเด็ก ๆ เป็นปีศาจที่มีที่มาแต่เดิมจากยุคเมโสโปเตเมีย วันนี้ คำ ๆ นี้ ในบางครั้งใช้เพื่ออธิบายลักษณะของบุคคลที่มีความละโมบหรือวัตถุนิยมสุดโต่ง ตรงเหลือเกินกับลักษณะของกลุ่มเบื้องหลัง ปฏิบัติการล้วงตับ ( Operation Ghoul ) ซึ่งมีแรงจูงใจเป็นเงินที่จะได้จากการขายข้อมูลทรัพย์สินทางปัญญาหรือข้อมูลจำเพาะทางธุรกิจที่ขโมยมาได้ หรือจากการเจาะบัญชีธนาคารของเหยื่อ ต่างไปจากผู้ก่อการที่มีเบื้องหลังเป็นระดับประเทศ พวกนี้จะระมัดระวังในการเลือกเป้าหมาย กลุ่มนี้และกลุ่มที่คล้ายกันอาจจะโจมตีบริษัทองค์กรใดก็ได้ ถึงแม้ว่า ทูลที่ใช้โจมตีจะค่อนข้างธรรมดา แต่ก็ให้ผลอย่างดี ดังนั้น บริษัทองค์กรที่มิได้เตรียมตัวที่รับมือ ก็จำต้องทนทุกข์จากผลที่ตามมาอย่างน่าเศร้า”

โมฮัมหมัด อะมิน ฮาสบีนี ผู้เชี่ยวชาญด้านความปลอดภัย แคสเปอร์สกี้ แลป
โมฮัมหมัด อะมิน ฮาสบีนี ผู้เชี่ยวชาญด้านความปลอดภัย แคสเปอร์สกี้ แลป

นักวิจัยจากแคสเปอร์สกี้ แลป ให้คำแนะนำในการป้องกันองค์กรให้พ้นเงื้อมมือ ปฏิบัติการล้วงตับ ให้ดำเนินมาตรการต่าง ๆ ดังนี้:

  • อบรมให้ความรู้แก่พนักงาน เพื่อแยกแยะได้ถูกเวลาที่ได้รับฟิชชิ่งอีเมล หรือฟิชชิ่งลิ้งค์
  • ใช้โซลูชั่นเพื่อความปลอดภัยสำหรับคอร์ปอเรทที่เป็นที่ยอมรับ ควบคู่กับโซลูชั่นป้องกันการโจมตีแบบตั้งเป้า สามารถระบุการโจมตีได้จากการวิเคราะห์ความผิดปกติของระบบเครือข่าย
  • เตรียมความพร้อมให้แก่เจ้าหน้าที่ด้านระบบความปลอดภัยสามารถเข้าถึงข้อมูลจำเพาะของภัยคุกคามล่าสุดได้ เสมือนให้อาวุธในการป้องกันตัวและตรวจพบการจู่โจมแบบตั้งเป้าได้ เช่น ตัวระบุชี้จุดเสี่ยง และ ข้อกำหนด YARA เป็นต้น

โปรดักส์ของแคสเปอร์สกี้ แลป ตรวจจับมัลแวร์ที่กลุ่มปฏิบัติการล้วงตับนี้ใช้งาน ได้ดังนี้:

  • MSIL.ShopBot.ww
  • Win32.Fsysna.dfah
  • Win32.Generic

อ่านเพิ่มเติมเกี่ยวกับปฏิบัติการล้วงตับ ได้ที่บล็อกโพสต์ของเรา ที่ Securelist.com

 

เกี่ยวกับแคสเปอร์สกี้ แลป

แคสเปอร์สกี้ แลปก่อตั้งขึ้นในปี พ.ศ. 2540 เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก ( deep threat intelligence ) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การ

About TechTalkThai_PR

Check Also

[Guest Post] Find the Balance สร้างสิ่งที่ใช่และ trust ในใจลูกค้า

“จากข้อมูลการออกกำลังกายตอนเช้าที่อัพโหลดลงโซเชียลมีเดีย สิ่งที่ซื้อบนระบบอีคอมเมิร์ซในช่วงพักกลางวัน หรือการสั่งอาหารทางออนไลน์ในช่วงเย็น” จะด้วยความตั้งใจหรือไม่ก็ตาม “ข้อมูล” ที่ผู้ใช้งานได้สร้างและแชร์ไว้บนแพลตฟอร์มหรือแอปพลิเคชั่นต่างๆ ได้กลายเป็น “โปรดักส์และตัวเชื่อมสำคัญ” ที่ทำให้องค์กรธุรกิจผู้เก็บรวบรวมข้อมูล “รู้จักตัวตน ความคิด ความต้องการของผู้ใช้งานมากขึ้น” พร้อมกับแบ่งปันโอกาสที่มีมูลค่านี้ไปยัง “บุคคลที่สาม” เพื่อใช้ในการขับเคลื่อนกลยุทธ์ทางการตลาด …

[BHAsia 2021] 6 ความท้าทายด้าน Cybersecurity และสิ่งที่ธุรกิจคาดหวังจากผู้ให้บริการระดับโลกโดย Omdia

ภายในงานสัมมนา Black Hat Asia 2021 ที่เพิ่งจบไป Omdia บริษัทวิจัยและที่ปรึกษาด้านเทคโนโลยีชื่อดังจากสหราชอาณาจักร ออกมาเปิดเผยถึง 6 ความท้าทายด้าน Cybersecurity ที่ทุกองค์กรทั่วโลกต่างต้องเผชิญในยุค COVID-19 รวมไปถึงสิ่งที่ธุรกิจองค์กรขนาดใหญ่ควรพิจารณาเมื่อต้องใช้บริการจาก …