เมื่อเร็วๆ นี้ กลุ่มภัยคุกคาม APT ถูกค้นพบโดยใช้แคมเปญฟิชชิ่งแบบหอกเพื่อใช้ประโยชน์จากการแพร่ระบาดของไวรัสโคโรนาเพื่อเผยแพร่มัลแวร์
ขณะนี้โลกกำลังเผชิญกับสถานการณ์พิเศษอันเนื่องมาจากการแพร่ระบาดของไวรัสโคโรนาสายพันธุ์ใหม่ (Covid-19) ในปัจจุบัน เพื่อพยายามหยุดการแพร่กระจายของไวรัส บริษัทจำนวนมากทั่วโลกได้เปิดตัวรูปแบบใหม่ของการทำงานระยะไกล (ระยะไกล) สิ่งนี้ได้ขยายขอบเขตการโจมตีอย่างมีนัยสำคัญ ซึ่งก่อให้เกิดความท้าทายครั้งใหญ่สำหรับบริษัทต่างๆ ในแง่ของความปลอดภัยของข้อมูล เนื่องจากตอนนี้พวกเขาจำเป็นต้องสร้างกฎเกณฑ์ที่เข้มงวดและดำเนินการ เพื่อให้การดำเนินงานขององค์กรและระบบไอทีมีความต่อเนื่อง
อย่างไรก็ตาม ขอบเขตการโจมตีที่ขยายออกไปไม่ใช่ความเสี่ยงทางไซเบอร์เพียงอย่างเดียวที่เกิดขึ้นในช่วงไม่กี่วันที่ผ่านมา อาชญากรไซเบอร์จำนวนมากกำลังหาประโยชน์จากความไม่แน่นอนระดับโลกนี้อย่างแข็งขันเพื่อทำแคมเปญฟิชชิ่ง กระจายมัลแวร์ และก่อให้เกิดภัยคุกคามต่อความปลอดภัยของข้อมูลของบริษัทหลายแห่ง
APT ใช้ประโยชน์จากการแพร่ระบาด
เมื่อปลายสัปดาห์ที่แล้ว กลุ่ม Advanced Persistent Threat (APT) ชื่อ Vicious Panda ถูกค้นพบว่ากำลังดำเนินการรณรงค์ต่อต้าน โดยใช้การแพร่ระบาดของไวรัสโคโรนาเพื่อแพร่กระจายมัลแวร์ อีเมลแจ้งผู้รับว่ามีข้อมูลเกี่ยวกับไวรัสโคโรนา แต่จริงๆ แล้วอีเมลนั้นมีไฟล์ RTF (Rich Text Format) ที่เป็นอันตรายสองไฟล์ หากเหยื่อเปิดไฟล์เหล่านี้ จะมีการเปิดตัว Remote Access Trojan (RAT) ซึ่งสามารถจับภาพหน้าจอ สร้างรายการไฟล์และไดเร็กทอรีบนคอมพิวเตอร์ของเหยื่อ และการดาวน์โหลดไฟล์ได้
จนถึงขณะนี้ การรณรงค์ดังกล่าวมุ่งเป้าไปที่ภาครัฐของมองโกเลีย และตามที่ผู้เชี่ยวชาญชาวตะวันตกบางคนระบุว่า แสดงถึงการโจมตีครั้งล่าสุดในปฏิบัติการของจีนที่กำลังดำเนินอยู่ต่อรัฐบาลและองค์กรต่างๆ ทั่วโลก ในครั้งนี้ ความพิเศษของแคมเปญนี้คือการใช้สถานการณ์โคโรนาไวรัสทั่วโลกใหม่เพื่อแพร่เชื้อไปยังผู้ที่อาจเป็นเหยื่อได้อย่างแข็งขันมากขึ้น
อีเมลฟิชชิ่งดังกล่าวดูเหมือนจะมาจากกระทรวงการต่างประเทศมองโกเลีย และอ้างว่ามีข้อมูลเกี่ยวกับจำนวนผู้ติดเชื้อไวรัส เพื่อสร้างอาวุธให้กับไฟล์นี้ ผู้โจมตีใช้ RoyalRoad ซึ่งเป็นเครื่องมือยอดนิยมในหมู่ผู้สร้างภัยคุกคามชาวจีนที่ช่วยให้พวกเขาสร้างเอกสารแบบกำหนดเองพร้อมออบเจ็กต์ฝังตัวที่สามารถใช้ประโยชน์จากช่องโหว่ใน Equation Editor ที่รวมอยู่ใน MS Word เพื่อสร้างสมการที่ซับซ้อน
เทคนิคการเอาตัวรอด
เมื่อเหยื่อเปิดไฟล์ RTF ที่เป็นอันตราย Microsoft Word จะใช้ประโยชน์จากช่องโหว่ในการโหลดไฟล์ที่เป็นอันตราย (intel.wll) ลงในโฟลเดอร์เริ่มต้น Word (%APPDATA%MicrosoftWordSTARTUP) การใช้วิธีนี้ไม่เพียงแต่ภัยคุกคามจะฟื้นตัวได้เท่านั้น แต่ยังป้องกันห่วงโซ่การติดไวรัสทั้งหมดไม่ให้ระเบิดเมื่อทำงานในแซนด์บ็อกซ์ เนื่องจากต้องรีสตาร์ท Word เพื่อเปิดใช้มัลแวร์โดยสมบูรณ์
จากนั้นไฟล์ intel.wll จะโหลดไฟล์ DLL ที่ใช้ในการดาวน์โหลดมัลแวร์และสื่อสารกับเซิร์ฟเวอร์คำสั่งและควบคุมของแฮ็กเกอร์ เซิร์ฟเวอร์คำสั่งและการควบคุมทำงานในช่วงเวลาจำกัดในแต่ละวัน ทำให้ยากต่อการวิเคราะห์และเข้าถึงส่วนที่ซับซ้อนที่สุดของห่วงโซ่การติดไวรัส
อย่างไรก็ตาม นักวิจัยก็สามารถระบุได้ว่าในระยะแรกของห่วงโซ่นี้ ทันทีหลังจากได้รับคำสั่งที่เหมาะสม RAT จะถูกโหลดและถอดรหัส และ DLL จะถูกโหลด ซึ่งจะถูกโหลดลงในหน่วยความจำ สถาปัตยกรรมที่คล้ายปลั๊กอินแสดงให้เห็นว่ามีโมดูลอื่นๆ นอกเหนือจากเพย์โหลดที่เห็นในแคมเปญนี้
มาตรการป้องกัน APT ใหม่
แคมเปญที่เป็นอันตรายนี้ใช้กลอุบายหลายอย่างเพื่อแทรกซึมระบบของเหยื่อและทำลายความปลอดภัยของข้อมูล เพื่อป้องกันตัวคุณเองจากแคมเปญดังกล่าว สิ่งสำคัญคือต้องใช้มาตรการหลายอย่าง
สิ่งแรกมีความสำคัญอย่างยิ่ง: สิ่งสำคัญคือพนักงานจะต้องเอาใจใส่และระมัดระวังเมื่อได้รับอีเมล อีเมลเป็นหนึ่งในช่องทางการโจมตีหลัก แต่แทบจะไม่มีบริษัทใดสามารถทำได้หากไม่มีอีเมล หากคุณได้รับอีเมลจากผู้ส่งที่ไม่รู้จัก ไม่ควรเปิดอีเมลนั้น และหากคุณเปิดอีเมลนั้นไว้ ก็อย่าเปิดไฟล์แนบหรือคลิกลิงก์ใดๆ
เพื่อประนีประนอมความปลอดภัยของข้อมูลของเหยื่อ การโจมตีนี้ใช้ประโยชน์จากช่องโหว่ใน Word ที่จริงแล้ว ช่องโหว่ที่ไม่ได้รับการติดตั้งคือสาเหตุ และเมื่อรวมกับปัญหาด้านความปลอดภัยอื่นๆ ก็สามารถนำไปสู่การละเมิดข้อมูลที่สำคัญได้ ด้วยเหตุนี้จึงเป็นเรื่องสำคัญมากที่จะต้องใช้โปรแกรมแก้ไขที่เหมาะสมเพื่อปิดช่องโหว่โดยเร็วที่สุด
เพื่อขจัดปัญหาเหล่านี้ จึงมีวิธีแก้ปัญหาที่ออกแบบมาเพื่อระบุตัวตนโดยเฉพาะ . โมดูลจะค้นหาแพตช์ที่จำเป็นโดยอัตโนมัติเพื่อให้มั่นใจในความปลอดภัยของคอมพิวเตอร์ของบริษัท จัดลำดับความสำคัญของการอัปเดตที่เร่งด่วนที่สุดและกำหนดเวลาการติดตั้ง ข้อมูลเกี่ยวกับแพตช์ที่ต้องมีการติดตั้งจะถูกรายงานไปยังผู้ดูแลระบบ แม้ว่าจะตรวจพบช่องโหว่และมัลแวร์ก็ตาม
โซลูชันนี้สามารถกระตุ้นการติดตั้งแพตช์และการอัพเดตที่จำเป็นได้ทันที หรือสามารถกำหนดเวลาการติดตั้งได้จากคอนโซลการจัดการส่วนกลางบนเว็บ หากจำเป็น โดยแยกคอมพิวเตอร์ที่ไม่ได้รับแพตช์ออก ด้วยวิธีนี้ผู้ดูแลระบบสามารถจัดการแพตช์และอัปเดตเพื่อให้บริษัททำงานได้อย่างราบรื่น
น่าเสียดายที่การโจมตีทางไซเบอร์ที่เป็นปัญหาจะไม่ใช่ครั้งสุดท้ายอย่างแน่นอนที่จะใช้ประโยชน์จากสถานการณ์โคโรน่าไวรัสทั่วโลกในปัจจุบันเพื่อทำลายความปลอดภัยของข้อมูลของธุรกิจ
ที่มา: will.com