www.cioworldmagazine.com

 Breaking News

ไตรมาส 2 วายร้าย APT ป่วนแถบเอเชียหนัก

ไตรมาส 2 วายร้าย APT ป่วนแถบเอเชียหนัก
August 10
12:31 2018

“แคสเปอร์สกี้ แลป ระบุไตรมาส 2 วายร้าย APT ป่วนแถบเอเชียหนักพร้อมแคมเปญใหม่และเป้าหมายอ่อนไหวทางภูมิศาสตร์การเมือง”

ในช่วงไตรมาสที่สองของปี 2018 นักวิจัยจากแคสเปอร์สกี้ แลป สังเกตพบความเคลื่อนไหวของปฏิบัติการวายร้าย APT ป่วนเปี้ยนอยู่แถบเอเชีย และพบความเชื่อมโยงกับ threat actors ทั้งตัวเก่าและตัวใหม่ที่ยังไม่คุ้นนัก มีการวางเป้าหรือตั้งเวลาปล่อยแคมเปญออกปฏิบัติการช่วงเวลาที่มีความอ่อนไหวทางภูมิศาสตร์การเมือง รายละเอียดและทิศทางเหล่านี้ระบุไว้ในรายงานสรุปข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามทางไซเบอร์รายไตรมาสล่าสุด

HPE1 662x190

ในไตรมาสที่สองปี 2018 นักวิจัยของแคสเปอร์สกี้ แลป เปิดโปงทูล เทคนิค และแคมเปญที่กลุ่ม APT ได้ปล่อยออกก่อกวนครั้งใหม่ ซึ่งพบว่าบางตัวก็เงียบงำมาหลายปี และภูมิภาคเอเชียยังคงเป็นศูนย์กลางที่อยู่ในความสนใจของกลุ่ม APT อาทิ กลุ่มระดับภูมิภาค เช่น กลุ่มลาซารัสที่ใช้ภาษาเกาหลี และกลุ่มสการ์ครัฟต์ (Scarcruft) ที่จะยุ่งวุ่นวายอยู่เป็นพิเศษ โดยนักวิจัยค้นพบว่ามีการฝังตัวชนิดที่เรียกว่า LightNeuron ที่กลุ่มที่ใช้ภาษารัสเซียที่ชื่อว่า เทอร์ลา (Turla) ได้นำมาใช้งาน และมีเป้าหมายคือเอเชียกลางและตะวันออกกลาง

Security1ไฮไลท์ที่น่าจับตามอง ไตรมาส 2 ปี 2018:
•การกลับมาของแอคเตอร์ เบื้องหลัง Olympic Destroyer หลังการโจมตีการแข่งขัน Pyeongchang Winter Olympic games เมื่อเดือนมกราคม 2561 ที่เพิ่งผ่านมานั้น นักวิจัยค้นพบตัวแอคเตอร์ที่เชื่อว่าเป็นตัวออกปฏิบัติการใหม่มีเป้าหมายที่องค์กรการเงินในรัสเซีย และห้องปฏิบัติการป้องกันภัยเคมีชีวภาพในยุโรปและยูเครน โดยพบตัวบ่งชี้จำนวนหนึ่งที่คาดว่าน่าจะเป็นตัวเชื่อมโยงระหว่าง Olympic Destroyer กับตัว threat actor ภาษารัสเซียที่ชื่อ Sofacy

Security3• Lazarus/BlueNoroff มีเค้าลางบ่งชี้ว่า APT ระดับโลกตัวนี้มีเป้าหมายที่องค์กรการเงินในตุรกี น่าจะเป็นส่วนหนึ่งของการจารกรรมไซเบอร์ที่ใหญ่กว่านี้ เป้าหมายยังรวมถึงบ่อนคาสิโนในละตินอเมริกาอีกด้วย เป็นที่เด่นชัดว่าเงินคือเป้าหมายหลักสำหรับปฏิบัติการร้ายของกลุ่มนี้ แม้ว่าจะมีการดำเนินการทางการทูตกับเกาหลีเหนือก็ตาม

•นักวิจัยสังเกตุพบกิจกรรมจำนวนมากมาจากกลุ่ม Scarcruft APT ใช้แอนดรอยด์มัลแวร์ และปล่อยปฏิบัติการที่มีแบคดอร์ตัวใหม่ที่ตั้งชื่อว่า POORWEB

•LuckyMouse APT ซึ่งเป็นกลุ่มที่ใช้ภาษาจีนและเป็นที่รู้จักอีกชื่อว่า APT 27 อาศัย ISPs ในเอเชียเพื่อทำการโจมตีแบบ waterhole attacks ผ่านทางเว็บไซต์ที่เป็นที่นิยม และยังมีเป้าหมายที่หน่วยงานภาครัฐของคาซัคสถานและมองโกเลียในช่วงที่จัดการประชุมในประเทศจีน

Security2Security4•The VPNFilter campaignใช้ Sofacy หรือ Sandworm เปิดช่องโหว่ขนาดใหญ่เพื่อโจมตีเน็ตเวิร์กฮาร์ดแวร์และสตอเรจโซลูชั่น ปล่อยมัลแวร์เข้ากระแสทราฟฟิก แพร่เชื้อไปตามเครื่องคอมพิวเตอร์บนเน็ตเวิร์กดีไวซ์ การวิเคราะห์ของแคสเปอร์สกี้ แลป ยืนยันว่ามีการพบร่องรอยของแคมเปญนี้ในเกือบทุกประเทศเลยทีเดียว

วิเซนเต้ ดิอาซ นักวิจัยด้านความปลอดภัย ทีมวิเคราะห์และวิจัยระดับโลก (GReAT) แคสเปอร์สกี้ แลป กล่าวว่า “ในไตรมาสสองปี 2018 พบว่า APT มีการเคลื่อนไหวที่น่าสนใจ มีการปล่อยแคมเปญที่มีกลเม็ดทำลายล้าง มาย้ำเตือนกันพอหอมปากหอมคอถึงอันตรายของภัยไซเบอร์ที่ใกล้ตัวแล้วเป็นจริงตามคาดการณ์ไว้เมื่อไม่กี่ปีที่ผ่านมา โดยเฉพาะอย่างยิ่ง เราได้ย้ำเตือนว่าเน็ตเวิร์กกิ้งฮาร์ดแวร์นี้เองที่จะเป็นช่องทางที่ลงตัวที่สุดสำหรับปฏิบัติการแบบมีการวางเป้าหมาย และเน้นย้ำถึงความพยายามในการอาศัยช่องทางนี้ และการแพร่กระจายของปฏิบัติการขั้นสูงเลยทีเดียวที่พบว่ามีเป้าหมายภารกิจมายังอุปกรณ์นี้โดยเฉพาะ”

รายงานทิศทาง APT ไตรมาสที่ 2 สรุปข้อมูลที่ได้จากการสำรวจผู้เป็นสมัครเป็นสมาชิกรับรายงานข้อมูลวิเคราะห์เชิงลึกเกี่ยวกับภัยคุกามไซเบอร์กลุ่มนี้เท่านั้น ซึ่งรวมถึงข้อมูล Indicators of Compromise (IOC) และ YARA rules เพื่อช่วยสนับสนุนงานด้านการสืบค้น วิเคราะห์หลักฐานทางดิจิทัลและการสืบสวนไล่ล่ามัลแวร์

24-25 Security Report5

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

BannerWeb_CIOworld_3

Like Us On Facebook

Facebook Pagelike Widget

Categories

Newsletters

ลงทะเบียนรับข่าวสารจาก CIOWorldMagazine.com