Cybersecurity
- 03 ก.ย. 63
-
1188
-
พบการส่งอีเมลแอบอ้างเป็นสำนักงานตำรวจแห่งชาติ จุดประสงค์เพื่อแพร่กระจายมัลแวร์
ทีมนักวิจัยจากบริษัท Proofpoint ได้รายงานข้อมูลการโจมตีโดยผู้คุกคาม (threat actor) ที่ถูกเรียกว่า TA2719 โดยจากรายงานพบว่าตั้งแต่ช่วงเดือนมีนาคม 2563 เป็นต้นมา ผู้คุกคามดังกล่าวได้ลงมือปฏิบัติการโจมตีในหลายประเทศ รวมถึงประเทศไทยด้วย รูปแบบการโจมตีหลักๆ จะใช้วิธีส่งอีเมลแนบไฟล์มัลแวร์เพื่อเปิดช่องทางเข้ามาควบคุมเครื่องที่ตกเป็นเหยื่อในภายหลัง
กลุ่ม TA2719 นั้นมีรายงานการโจมตีมาก่อนหน้านี้แล้ว แต่ในช่วงเดือนมีนาคม - พฤษภาคม 2563 นั้นพบรายงานการโจมตีโดยกลุ่มดังกล่าวเพิ่มมากขึ้นอย่างมีนัยสำคัญ รวมถึงพบการใช้วิธีแอบอ้างหน่วยงานสำคัญระดับประเทศเพื่อส่งอีเมลหลอกลวงด้วย จากรายงานพบว่ากลุ่ม TA2719 ได้แอบอ้างสำนักงานตำรวจแห่งชาติของประเทศไทยเพื่อส่งอีเมลโจมตี อย่างไรก็ตาม เนื้อหาในอีเมลฉบับดังกล่าวนั้นยังพอดูออกได้ง่ายว่าไม่ได้ส่งมาจากหน่วยงานที่ถูกแอบอ้าง
แนวทางการโจมตีส่วนใหญ่จะเป็นการส่งอีเมลแนบไฟล์ .ISO หรือแนบลิงก์ให้ดาวน์โหลดไฟล์ .ISO ซึ่งสามารถถูกเปิดได้โดยใช้โปรแกรม extract ไฟล์ทั่วไป หากเหยื่อหลงเชื่อดาวน์โหลดไฟล์ดังกล่าวมาเปิด จะพบโปรแกรมมัลแวร์ประเภท Remote Access Trojan (RAT) เช่น NanoCore หรือ AsyncRAT หากเรียกใช้งานไฟล์ดังกล่าวจะเป็นการเปิดช่องทางให้ผู้คุกคามสามารถเชื่อมต่อเข้ามาควบคุมเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อได้ในภายหลัง
การติดตามสถานการณ์การโจมตีทางไซเบอร์ โดยเฉพาะอย่างยิ่งรูปแบบเทคนิคและวิธีการที่กลุ่มผู้โจมตีนำมาใช้งานนั้นสามารถช่วยให้หน่วยงานประเมินความเสี่ยงและวางแผนรับมือการโจมตีที่เป็นปัจจุบันได้ ผู้ที่เกี่ยวข้องควรติดตามและประเมินสถานการณ์อย่างสม่ำเสมอ รายละเอียดอื่น ๆ ที่เกี่ยวข้องกับการโจมตี เช่น ตัวอย่างข้อความในอีเมล ค่าแฮชของไฟล์มัลแวร์ และไอพีของเครื่องที่ใช้ควบคุมและสั่งการ สามารถดูเพิ่มเติมได้จากที่มา
ที่มา: Proofpoint