แคสเปอร์สกี้ (Kaspersky) เปิดรายงาน APT (Advanced Persistent Threats) ของไตรมาสที่สองของปี 2023 พบมัลแวร์สายพันธุ์ใหม่ และการใช้เทคนิคใหม่ ๆ ของอาชญากรไซเบอร์…
Kaspersky เปิดรายงานจับตา APT ไตรมาส 2 ชี้เอเชียแปซิฟิกเป็นพื้นที่ถูกคุกคาม
แคสเปอร์สกี้ เปิดรายงานล่าสุดเรื่องรูปแบบแนวโน้มของ APT (Advanced Persistent Threats) ของไตรมาสที่สองของปี 2023 นักวิจัยแคสเปอร์สกี้ได้วิเคราะห์การพัฒนาแคมเปญใหม่ และแคมเปญที่มีอยู่เดิม ในรายงานได้เน้นกิจกรรม APT ในช่วงดังกล่าว
รวมถึงการอัปเดตชุดเครื่องมือ การสร้างมัลแวร์สายพันธุ์ใหม่ และการใช้เทคนิคใหม่ ๆ ของอาชญากรไซเบอร์ ในรายงานนี้ได้เปิดเผยเรื่องสำคัญคือแคมเปญ “Operation Triangulation“ ที่ดำเนินการใช้แพลตฟอร์มมัลแวร์ iOS มายาวนานโดยไม่มีใครรู้จักมาก่อน ผู้เชี่ยวชาญยังได้สังเกตการพัฒนาที่น่าสนใจอื่น ๆ ที่ควรทราบ ได้แก่
เอเชียแปซิฟิกเป็นพื้นที่ถูกคุกคามตัวใหม่ “Mysterious Elephant“
แคสเปอร์สกี้ ได้ค้นพบตัวการคุกคามตัวใหม่จากตระกูล Elephants ซึ่งปฏิบัติการในภูมิภาคเอเชียแปซิฟิก ซึ่งมีชื่อว่า “Mysterious Elephant“ ในแคมเปญล่าสุดนี้ผู้ก่อภัยคุกคามใช้ตระกูลแบ็คดอร์ใหม่ ซึ่งสามารถเรียกใช้ไฟล์และคำสั่งบนคอมพิวเตอร์ของเหยื่อ และรับไฟล์
หรือคำสั่งจากเซิร์ฟเวอร์ที่เป็นอันตราย เพื่อดำเนินการกับระบบที่ติดมัลแวร์ ในขณะที่นักวิจัยของ แคสเปอร์สกี้ สังเกตเห็นการโจมตีที่ทับซ้อนกับ Confucius และ SideWinder แต่ Mysterious Elephant มีชุด TTP ที่โดดเด่น และไม่เหมือนใคร แตกต่างจากกลุ่มอื่น ๆ
ผู้คุกคามอัปเกรดชุดเครื่องมือใหม่ : Lazarus พัฒนามัลแวร์สายพันธุ์ใหม่ BlueNoroff โจมตี macOS และอื่น ๆ
ผู้คุกคามกำลังปรับปรุงเทคนิคของตนอย่างต่อเนื่อง โดยกลุ่ม Lazarus ได้อัปเกรดเฟรมเวิร์ก MATA และใช้ MATAv5 ที่เป็นตระกูลมัลแวร์ MATA ที่ซับซ้อนสายพันธุ์ใหม่ ส่วนกลุ่ม BlueNoroff ซึ่งเป็นกลุ่มย่อยที่เน้นการโจมตีทางการเงินของ Lazarus ได้ใช้วิธีการส่ง และภาษาการเขียนโปรแกรมใหม่
รวมถึงการใช้โปรแกรมอ่าน PDF แบบโทรจันในแคมเปญล่าสุด การใช้มัลแวร์ macOS และภาษาโปรแกรม Rust นอกจากนี้ กลุ่ม ScarCruft APT ยังได้พัฒนาวิธีการติดมัลแวร์แบบใหม่
โดยหลีกเลี่ยงกลไกการรักษาความปลอดภัย Mark–of–the–Web (MOTW) กลยุทธ์ที่พัฒนาตลอดเวลาของผู้คุกคามเหล่านี้สร้างความท้าทายใหม่ให้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์
อิทธิพลของภูมิรัฐศาสตร์ยังคงเป็นตัวขับเคลื่อนหลักของกิจกรรม APT
แคมเปญ APT ยังคงกระจายไปตามพื้นที่ทางภูมิศาสตร์ โดยผู้ก่อภัยคุกคามได้มุ่งโจมตีในภูมิภาคต่าง ๆ เช่น ยุโรป ละตินอเมริกา ตะวันออกกลาง และส่วนต่าง ๆ ของเอเชีย การจารกรรมทางไซเบอร์ซึ่งเน้นภูมิรัฐศาสตร์ที่มั่นคงยังคงเป็นอิทธิพลสำคัญสำหรับความพยายามโจมตีทางไซเบอร์
เดวิด เอมม์ หัวหน้านักวิจัยความปลอดภัยของทีมวิจัย และวิเคราะห์ระดับโลก (GReAT) แคสเปอร์สกี้ กล่าวว่า ผู้ก่อภัยคุกคามบางรายยึดติดกับกลยุทธ์เดิม ๆ ที่คุ้นเคย เช่น วิศวกรรมสังคม แต่ผู้ก่อภัยคุกคามรายอื่นๆ ก็พัฒนาปรับปรุงชุดเครื่องมือ และกิจกรรมการโจมตี ยิ่งไปกว่านั้น ผู้คุกคามขั้นสูงใหม่ ๆ
อย่างเช่นเจ้าของแคมเปญ “Operation Triangulation“ ก็ปรากฏตัวออกมาอย่างต่อเนื่อง แคมเปญนี้ใช้แพลตฟอร์มมัลแวร์ iOS ซึ่งกระจายผ่านช่องโหว่ iMessage แบบซีโร่คลิก แคสเปอร์สกี้ แนะนำว่า การเฝ้าระวังโดยใช้ข้อมูลภัยคุกคามอัจฉริยะ และเครื่องมือป้องกันที่เหมาะสม เป็นสิ่งสำคัญสำหรับบริษัทระดับโลก
เพื่อป้องกันตนเองจากภัยคุกคามทั้งที่มีอยู่แล้ว และที่เกิดขึ้นใหม่ได้ การตรวจสอบรายไตรมาสของเราเน้นข้อมูลการพัฒนาที่สำคัญที่สุดในกลุ่ม APT เพื่อช่วยป้องกัน และลดความเสี่ยงที่อาจเกิดขึ้น
ข้อแนะนำให้ใช้มาตรการต่อไปนี้เพื่อหลีกเลี่ยงการตกเป็นเหยื่อการโจมตีแบบระบุเป้าหมาย
- ตรวจสอบความปลอดภัยของระบบ อัปเดตระบบปฏิบัติการและซอฟต์แวร์ของบริษัทตัวเอง และเธิร์ดปาร์ตี้ให้เป็นเวอร์ชันล่าสุดโดยทันที การรักษาตารางการอัปเดตอย่างสม่ำเสมอเป็นสิ่งสำคัญ เพื่อให้ได้รับการปกป้องจากช่องโหว่และความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น
- ยกระดับทีมรักษาความปลอดภัยทางไซเบอร์ด้วยการฝึกอบรมออนไลน์ Online Training ที่พัฒนาโดยผู้เชี่ยวชาญ GReAT
- ใช้ข้อมูลภัยคุกคามอัจฉริยะล่าสุด (Threat Intelligence) เพื่อให้ก้าวทันกับ TTP จริงที่ผู้ก่อัยคุกคามใช้
- สำหรับการตรวจจับ การสืบสวน และการแก้ไขเหตุการณ์อย่างทันท่วงทีในระดับเอ็นด์พ้อยต์ แนะนำให้ใช้โซลูชัน EDR โดยเฉพาะ เช่น Endpoint Detection and Response
- บริการเฉพาะทางสามารถช่วยต่อต้านการโจมตีเหยื่อโปรไฟล์สูงได้ เช่น บริการ Managed Detection and Response สามารถช่วยระบุ และหยุดการบุกรุกตั้งแต่ในระยะเริ่มต้น ก่อนที่ผู้คุกคามจะบรรลุเป้าหมาย หากคุณประสบเหตุการณ์โจมตี บริการ Incident Response จะช่วยตอบสนองการโจมตี และลดผลกระทบที่ตามมา เช่น ระบุโหนดที่ถูกบุกรุก และปกป้องโครงสร้างพื้นฐานจากการโจมตีที่คล้ายคลึงกันในอนาคต