วันอาทิตย์ที่ 6 สิงหาคม พ.ศ. 2566

Kaspersky เปิดรายงานจับตา APT ไตรมาส 2 ล่าสุด




แคสเปอร์สกี้ (Kaspersky) เปิดรายงานล่าสุดเรื่องรูปแบบแนวโน้มของ APT (Advanced Persistent Threats) ของไตรมาสที่สองของปี 2023 นักวิจัยแคสเปอร์สกี้ได้วิเคราะห์การพัฒนาแคมเปญใหม่และแคมเปญที่มีอยู่เดิม ในรายงานได้เน้นกิจกรรม APT ในช่วงดังกล่าว รวมถึงการอัปเดตชุดเครื่องมือ การสร้างมัลแวร์สายพันธุ์ใหม่ และการใช้เทคนิคใหม่ๆ ของอาชญากรไซเบอร์

ในรายงานนี้ได้เปิดเผยเรื่องสำคัญคือแคมเปญ “Operation Triangulation” ที่ดำเนินการใช้แพลตฟอร์มมัลแวร์ iOS มายาวนานโดยไม่มีใครรู้จักมาก่อน ผู้เชี่ยวชาญยังได้สังเกตการพัฒนาที่น่าสนใจอื่นๆ ที่ทุกคนควรทราบ

ข้อมูลสำคัญจากรายงาน APT ไตรมาส 2 ได้แก่

• เอเชียแปซิฟิกเป็นพื้นที่ถูกคุกคามตัวใหม่ “Mysterious Elephant”

แคสเปอร์สกี้ได้ค้นพบตัวการคุกคามตัวใหม่จากตระกูล Elephants ซึ่งปฏิบัติการในภูมิภาคเอเชียแปซิฟิก ซึ่งมีชื่อว่า “Mysterious Elephant” ในแคมเปญล่าสุดนี้ผู้ก่อภัยคุกคามใช้ตระกูลแบ็คดอร์ใหม่ ซึ่งสามารถเรียกใช้ไฟล์และคำสั่งบนคอมพิวเตอร์ของเหยื่อ และรับไฟล์หรือคำสั่งจากเซิร์ฟเวอร์ที่เป็นอันตรายเพื่อดำเนินการกับระบบที่ติดมัลแวร์ ในขณะที่นักวิจัยของแคสเปอร์สกี้สังเกตเห็นการโจมตีที่ทับซ้อนกับ Confucius และ SideWinder แต่ Mysterious Elephant มีชุด TTP ที่โดดเด่นและไม่เหมือนใคร แตกต่างจากกลุ่มอื่นๆ

• ผู้คุกคามอัปเกรดชุดเครื่องมือใหม่: Lazarus พัฒนามัลแวร์สายพันธุ์ใหม่ BlueNoroff โจมตี macOS และอื่นๆ

ผู้คุกคามกำลังปรับปรุงเทคนิคของตนอย่างต่อเนื่อง โดยกลุ่ม Lazarus ได้อัปเกรดเฟรมเวิร์ก MATA และใช้ MATAv5 ที่เป็นตระกูลมัลแวร์ MATA ที่ซับซ้อนสายพันธุ์ใหม่ ส่วนกลุ่ม BlueNoroff ซึ่งเป็นกลุ่มย่อยที่เน้นการโจมตีทางการเงินของ Lazarus ได้ใช้วิธีการส่งและภาษาการเขียนโปรแกรมใหม่ รวมถึงการใช้โปรแกรมอ่าน PDF แบบโทรจันในแคมเปญล่าสุด การใช้มัลแวร์ macOS และภาษาโปรแกรม Rust นอกจากนี้ กลุ่ม ScarCruft APT ยังได้พัฒนาวิธีการติดมัลแวร์แบบใหม่ โดยหลีกเลี่ยงกลไกการรักษาความปลอดภัย Mark-of-the-Web (MOTW) กลยุทธ์ที่พัฒนาตลอดเวลาของผู้คุกคามเหล่านี้สร้างความท้าทายใหม่ให้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์

• อิทธิพลของภูมิรัฐศาสตร์ยังคงเป็นตัวขับเคลื่อนหลักของกิจกรรม APT

แคมเปญ APT ยังคงกระจายไปตามพื้นที่ทางภูมิศาสตร์ โดยผู้ก่อภัยคุกคามได้มุ่งโจมตีในภูมิภาคต่างๆ เช่น ยุโรป ละตินอเมริกา ตะวันออกกลาง และส่วนต่างๆ ของเอเชีย การจารกรรมทางไซเบอร์ซึ่งเน้นภูมิรัฐศาสตร์ที่มั่นคงยังคงเป็นอิทธิพลสำคัญสำหรับความพยายามโจมตีทางไซเบอร์

นายเดวิด เอมม์ หัวหน้านักวิจัยความปลอดภัยของทีมวิจัยและวิเคราะห์ระดับโลก (GReAT) แคสเปอร์สกี้ กล่าวว่า “ผู้ก่อภัยคุกคามบางรายยึดติดกับกลยุทธ์เดิมๆ ที่คุ้นเคย เช่น วิศวกรรมสังคม แต่ผู้ก่อภัยคุกคามรายอื่นๆ ก็พัฒนาปรับปรุงชุดเครื่องมือและกิจกรรมการโจมตี ยิ่งไปกว่านั้น ผู้คุกคามขั้นสูงใหม่ๆ อย่างเช่นเจ้าของแคมเปญ 'Operation Triangulation' ก็ปรากฏตัวออกมาอย่างต่อเนื่อง แคมเปญนี้ใช้แพลตฟอร์มมัลแวร์ iOS ซึ่งกระจายผ่านช่องโหว่ iMessage แบบซีโร่คลิก แคสเปอร์สกี้ขอแนะนำว่า การเฝ้าระวังโดยใช้ข้อมูลภัยคุกคามอัจฉริยะและเครื่องมือป้องกันที่เหมาะสม เป็นสิ่งสำคัญสำหรับบริษัทระดับโลก เพื่อป้องกันตนเองจากภัยคุกคามทั้งที่มีอยู่แล้วและที่เกิดขึ้นใหม่ได้ การตรวจสอบรายไตรมาสของเราเน้นข้อมูลการพัฒนาที่สำคัญที่สุดในกลุ่ม APT เพื่อช่วยป้องกันและลดความเสี่ยงที่อาจเกิดขึ้น”

ท่านสามารถอ่านรายงาน APT ไตรมาสที่ 2 ปี 2023 ฉบับเต็มได้ที่ Securelist

นักวิจัยของแคสเปอร์สกี้แนะนำให้ใช้มาตรการต่อไปนี้เพื่อหลีกเลี่ยงการตกเป็นเหยื่อการโจมตีแบบระบุเป้าหมาย

  • ตรวจสอบความปลอดภัยของระบบ อัปเดตระบบปฏิบัติการและซอฟต์แวร์ของบริษัทตัวเองและเธิร์ดปาร์ตี้ให้เป็นเวอร์ชันล่าสุดโดยทันที การรักษาตารางการอัปเดตอย่างสม่ำเสมอเป็นสิ่งสำคัญ เพื่อให้ได้รับการปกป้องจากช่องโหว่และความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น
  • ยกระดับทีมรักษาความปลอดภัยทางไซเบอร์ด้วยการฝึกอบรมออนไลน์ Kaspersky online training ที่พัฒนาโดยผู้เชี่ยวชาญ GReAT
  • ใช้ข้อมูลภัยคุกคามอัจฉริยะล่าสุด (Threat Intelligence) เพื่อให้ก้าวทันกับ TTP จริงที่ผู้ก่อัยคุกคามใช้
  • สำหรับการตรวจจับ การสืบสวน และการแก้ไขเหตุการณ์อย่างทันท่วงทีในระดับเอ็นด์พ้อยต์ แนะนำให้ใช้โซลูชัน EDR โดยเฉพาะ เช่น Kaspersky Endpoint Detection and Response
  • บริการเฉพาะทางสามารถช่วยต่อต้านการโจมตีเหยื่อโปรไฟล์สูงได้ เช่น บริการ Kaspersky Managed Detection and Response สามารถช่วยระบุและหยุดการบุกรุกตั้งแต่ในระยะเริ่มต้น ก่อนที่ผู้คุกคามจะบรรลุเป้าหมาย หากคุณประสบเหตุการณ์โจมตี บริการ Kaspersky Incident Response จะช่วยตอบสนองการโจมตีและลดผลกระทบที่ตามมา เช่น ระบุโหนดที่ถูกบุกรุกและปกป้องโครงสร้างพื้นฐานจากการโจมตีที่คล้ายคลึงกันในอนาคต