กลุ่มอาชญากรไซเบอร์เริ่มแคมเปญ Spear-phishing หลังทรัมป์รับเลือกเป็นประธานาธิบดี

เพียงแค่ 6 ชั่วโมงหลังจากที่โดนัล ทรัมป์ ชนะการเลือกตั้งประธานาธิบดีสหรัฐฯ ปี 2016 Volexity บริษัทด้านความมั่นคงปลอดภัยชื่อดังได้ออกมาเปิดเผยว่า พบแคมเปญการโจมตีแบบ Spear-sphishing ซึ่งมีเป้าหมายที่สำนักงานกองทุนสนับสนุนการวิจัย (Think Tanks) และ NGOs ของสหรัฐฯ

Volexity ระบุว่า อีเมล Spear-phishing ดังกล่าวเป็นส่วนหนึ่งของการโจมตีแบบ Advanced Persistent Threat (APT) ชื่อว่า Dukes หรืออาจรู้จักกันดีในชื่อ APT29, Cozy Bear หรือ CozyDuke เป็นต้น ซึ่ง CrowdStrike อีกหนึ่งบริษัทด้านความมั่นคงปลอดภัยยืนยันว่า APT ดังกล่าวเชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ชาวรัสเซีย 2 กลุ่ม และถูกใช้เพื่อแฮ็ค DNC Servers เมื่อช่วงหน้าร้อนปี 2015 ที่ผ่านมา

จากการตรวจสอบพบว่าอีเมล Spear-phishing มาจากบัญชี Gmail และบัญชีของ Faculty of Arts and Sciences (FAS) ของมหาวิทยาลัยฮาวาร์ด ซึ่ง Volexity เชื่อว่าอีเมลของมหาวิทยาลัยฮาวาร์ดที่พบนี้ไม่ได้ถูกปลอมแปลงแต่อย่างใด แต่คงถูกแฮ็คมา นอกจากนี้ หัวข้ออีเมลที่ส่งมาก็มีหลายแบบ ตั้งแต่ผลการเลือกตั้งประธานาธิบดีล่าสุด ไปจนถึงธุรกรรมทางด้านความมั่นคงปลอดภัยแห่งชาติ ตัวอย่างอีเมล Sphisng สามารถดูได้จากรูปด้านล่าง

spear-phishing_us_election

Dukes ใช้หลายเทคนิคในการลอบส่งมัลแวร์ไปยังเป้าหมาย อีเมล Phishing บางฉบับมีการแนบลิงค์ที่จะนำเหยื่อไปยังเว็บไซต์ของแฮ็คเกอร์ ซึ่งจะดาวน์โหลดมัลแวร์มาติดตั้งโดยที่เหยื่อไม่รู้ตัว (Drive-by Download) อีเมลบางฉบับอาจแนบรายงานเกี่ยวกับการเมือง แต่แฝงด้วยสคริปต์มาโคร ซึ่งเมื่อเหยื่อเปิดแล้วจะทำการดาวน์โหลดมัลแวร์มาติดตั้งบน PC เช่นเดียวกัน

มัลแวร์ที่ส่งเข้ามานี้มีชื่อว่า PowerDuke ซึ่งเป็นโทรจัน Backdoor ที่ช่วยให้แฮ็คเกอร์สามารถเข้าถึงเครื่องคอมพิวเตอร์เพื่อขโมยข้อมูลหรือติดตั้งมัลแวร์อื่นเพิ่มเติมได้

จนถึงตอนนี้ Volexity พบแคมเปญ Spear-phishing อย่างต่ำไม่น้อยกว่า 5 แคมเปญ หลังจากที่ทรัมป์ชนะการเลือกตั้งแล้ว

ที่มา: http://www.bleepingcomputer.com/news/security/cyber-espionage-group-launches-spear-phishing-campaign-six-hours-after-trump-wins-presidency/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบมัลแวร์ ตัวใหม่ ‘EvilGnome’ มุ่งโจมตีผู้ใช้งานลีนุกซ์

นักวิจัยด้านความมั่นคงปลอดภัยจาก Intezer ได้ออกมาเปิดเผยการค้นพบ Backdoor ตัวใหม่ชื่อว่า ‘EvilGnome’ ซึ่งปลอมตัวเป็น Gnome Extension ทั้งนี้ยังมีความสามารถหลากหลาย เช่น ถ่ายภาพหน้าจอ ขโมยไฟล์ แอบบันทึกเสียงจากไมโครโฟน หรือเรียกดาวน์โหลดโมดูลอื่นเพิ่มเติม

Symantec ประกาศอัปเดตโซลูชันคลาวด์ใหม่เร่งตอบโจทย์ Zero Trust

Symantec ได้มีการอัปเดตโซลูชัน Cloud Access ใหม่เพื่อช่วยให้องค์กรสามารถตอบโจทย์ Zero Trust การใช้งานคลาวด์ อินเทอร์เน็ต และอีเมลได้อย่างมั่นใจ