โลกไซเบอร์ตะวันตกกลับเงียบงัน แคสเปอร์สกี้เผยกลุ่ม APT เบนเข็มจ้องโจมตีเอเชีย-โมบายหนักขึ้น

จากรายงานภัยคุกคามล่าสุดของแคสเปอร์สกี้ พบว่าในไตรมาสแรกของปี 2020 ภัยคุกคามไซเบอร์ขั้นสูง หรือ APT มีการติดเชื้อและแพร่กระจายมัลแวร์ผ่านแพลตฟอร์มโมบายเพิ่มสูงขึ้นมาก รวมถึงมีกิจกรรมการโจมตีทางไซเบอร์ในทวีปเอเชียเพิ่มมากขึ้น โดยมีผู้ก่อภัยคุกคามหน้าใหม่ๆ ส่วนผู้ก่อภัยคุกคามหน้าเดิมก็เพิ่มปฏิบัติการที่ซับซ้อนและระมัดระวังมากขึ้น

รายงานนี้ยังระบุเจาะจงว่ากิจกรรมร้ายไซเบอร์เพิ่มจำนวนสูงขึ้นมากในภูมิภาคเอเชียตะวันออกเฉียงใต้ เกาหลี และญี่ปุ่น พบกลุ่มผู้ก่อภัยคุกคามรายใหม่ๆ ที่มีความคิดสร้างสรรค์ทางร้าย บางกลุ่มก็มีงบประมาณจำกัด แต่ก็สามารถปฏิบัติการตีคู่กันไปกับกลุ่ม APT ชื่อดังๆ อย่าง CactusPete และ Lazarus ได้

นอกจากนี้ พบการใช้แพลตฟอร์มโมบายเป็นช่องทางการโจมตีและแพร่กระจายมัลแวร์เพิ่มสูงขึ้น เร็วๆ นี้ แคสเปอร์สกี้ได้เปิดเผยรายงานจำนวนแคมเปญที่มุ่งเน้นการโจมตีโมบาย ซึ่งรวมถึงแคมเปญไลท์สปาย (LightSpy) ที่โจมตีผู้ใช้โมบายระบบ Android และ iOS ที่ฮ่องกง และแคมเปญแฟนท่อมแลนซ์ (PhantomLance) ที่โจมตีเป้าหมายในภูมิภาคเอเชียตะวันออกเฉียงใต้ ซึ่งแคมเปญทั้งสองรายการนี้ประสบความสำเร็จในการใช้แพลตฟอร์มออนไลน์หลากหลายรูปแบบในการแพร่กระจายมัลแวร์ ทั้งฟอรั่มในอินเทอร์เน็ต โซเชียลมีเดีย และกูเกิ้ลแอปสโตร์ 

ไม่เพียงแต่กลุ่ม APT ที่มีเป้าหมายเป็นเอเชียเท่านั้นที่พัฒนามัลแวร์โมบาย ตัวอย่างเช่น กลุ่ม TransparentTribe ที่ทำแคมเปญโมดูลใหม่ที่ชื่อ “USBWorm” สำหรับแพร่กระจายมัลแวร์ผ่านโมบาย ก็มีเป้าหมายโจมตีอาฟกานิสถานและอินเดีย มัลแวร์นี้เป็นเวอร์ชั่นแก้ไขจาก “AhMyth” ที่ใช้ใน RAT ของแอนดรอยด์ ซึ่งเป็นโอเพ่นซอร์สใน GitHub

นอกจากนี้ โรคระบาด Covid-19 ก็ถูกใช้เป็นเครื่องมือโดยกลุ่ม APT ต่างๆ เช่น กลุ่ม Kimsuky, Hades และ DarkHotel ตั้งแต่ช่วงกลางเดือนมีนาคมเพื่อหลอกล่อเหยื่อ

นายวิเซนเต้ ดิแอซ หัวหน้านักวิจัยด้านความปลอดภัย ทีมวิเคราะห์และวิจัยระดับของแคสเปอร์สกี้ กล่าวว่า “กิจกรรมโจมตีของกลุ่ม APT ไม่ได้หยุดพักในช่วงโรคระบาดเลย หากแต่แท้จริงแล้วผู้ก่อภัยไซเบอร์กำลังดำเนินการในวิธีที่แตกต่างออกไป เช่น การสร้างชื่อเสียงโดยการประกาศว่า จะงดเว้นการโจมตีสถาบันการแพทย์ในช่วงนี้ แต่นักวิจัยของเราค้นพบว่า ผลประโยชน์ทางการเงินและภูมิศาสตร์การเมืองยังคงเป็นปัจจัยหลักในการขับเคลื่อนกิจกรรมร้ายของกลุ่ม แคมเปญใหม่ๆ จะใช้โมบายเป็นเป้าหมายมากขึ้นด้วยผู้ก่อการโจมตีไซเบอร์หน้าใหม่มาพร้อมโซลูชั่นใหม่ อีกทั้งปฏิบัติการต่างๆ ก็เกือบจะล่องหน ผมอยากจะขอย้ำว่า การป้องกันจากภัยคุกคามทั้งที่รู้จักและยังไม่รู้จักนั้นเป็นสิ่งจำเป็นสำหรับทุกคน”

เพื่อป้องกันการตกเป็นเหยื่อในการโจมตีจากภัยคุกคาที่รู้จักและไม่รู้จัก แคสเปอร์สกี้ขอแนะนำให้ปฏิบัติตามมาตรการดังนี้

•ให้ทีม SOC สามารถเข้าถึง Threat Intelligence ล่าสุดเพื่อให้ทันต่อเหตุการณ์ด้วยเครื่องมือเทคนิคและยุทธวิธีใหม่ ๆ ขอผู้ก่อภัยคุกคามและอาชญากรไซเบอร์

•สำหรับการตรวจจับระดับเอ็นด์พ้อยต์ การสืบสวนและการแก้ไขเหตุการณ์อย่างทันท่วงที แนะนำให้ใช้โซลูชั่น EDR โดยเฉพาะ เช่น Kaspersky Endpoint Detection and Response

•ตรวจสอบให้แน่ใจว่าโซลูชั่นความปลอดภัยเอ็นด์พ้อยต์สามารถปกป้องอุปกรณ์มือถือได้ ควรเปิดใช้งานการป้องกันจากภัยคุกคามทางเว็บและมัลแวร์ที่กำหนดเป้าหมายแพลตฟอร์มมือถือ รวมถึงการควบคุมแอปพลิเคชันและอุปกรณ์ต่างๆ 

•นอกจากจะใช้การป้องกันเอ็นด์พ้อยต์ที่จำเป็นแล้ว ให้ใช้โซลูชั่นความปลอดภัยระดับองค์กรที่ตรวจจับภัยคุกคามขั้นสูงในระดับเครือข่ายตั้งแต่ระยะแรก เช่น Kaspersky Anti Targeted Attack Platform

•การโจมตีเป้าหมายจำนวนมากเริ่มต้นด้วยฟิชชิงหรือเทคนิคทางวิศวกรรมทางสังคมอื่น ๆ แนะนำให้จัดการฝึกอบรมการรับรู้ด้านความปลอดภัยและสอนทักษะการปฏิบัติ เช่น ผ่าน Kaspersky Automated Security Awareness Platform

ท่านสามารถอ่านรายงานฉบับเต็มได้ที่ https://securelist.com/apt-trends-report-q1-2020/96826/

###

About naruethai

Check Also

คำแถลงการณ์ของแคสเปอร์สกี้ต่อเหตุการณ์บัญชีโซเชียลถูกแฮ็กล่าสุด พร้อมคำแนะนำ

นายดิมิทรี เบสตูเชฟ ผู้เชี่ยวชาญด้านไซเบอร์ซิเคียวริตี้ แคสเปอร์สกี้ กล่าวว่า “การหลอกลวงครั้งใหญ่ครั้งนี้ชี้ให้เห็นว่าเราอยู่ในยุคที่แม้แต่คนที่มีทักษะด้านคอมพิวเตอร์ก็อาจถูกล่อลวงให้ติดกับ และแม้แต่แอคเคาท์ที่ปลอดภัยที่สุดก็สามารถโดนแฮ็กได้ เราคาดว่าภายในเวลาเพียงสองชั่วโมง มีผู้ใช้อย่างน้อย 367 คนได้โอนเงินไปยังผู้โจมตีโดยรวมแล้วประมาณ 120,000 ดอลลาร์ ความปลอดภัยไซเบอร์นั้นเป็นหนึ่งในสิ่งที่สำคัญอันดับต้นๆ ของแพลตฟอร์มโซเชียลมีเดียสำคัญ …

แคสเปอร์สกี้แนะธุรกิจ SMB 9 ขั้นตอนสำคัญ เตรียมพร้อมก่อนและหลังการโจมตีโดยแรนซัมแวร์

แม้จะล่วงเลยมาสามปีแล้วสำหรับ Wannacry แรนซัมแวร์อันอื้อฉาว แต่มูลค่าความเสียหายยังคงตราตรึงและเผยให้เห็นถึงความเสียหายที่เกิดได้จากอาชญากรไซเบอร์ด้วยการยึดข้อมูลธุรกิจไว้เรียกค่าไถ่ ไม่น่าสงสัยเลยว่าภัยคุกคามนี้ยังมีอยู่ในปัจจุบัน เพราะในเดือนมิถุนายนนี้การดำเนินงานของยักษ์ใหญ่สายรถยนต์ในหลายภูมิภาคของโลกต้องหยุดชะงัก หลังจากที่ถูกแรนซัมแวร์ชื่อ SNAKE (หรือรู้จักกันอีกชื่อว่า EKANS) เข้าโจมตีก่อให้เกิดความเสียหาย