Cybersecurity Hacking Threats Top Stories

‘GhostSecret Operation’ ปฏิบัติการล้วงข้อมูลระบาดแล้วในไทย

ปฏิบัติการล้วงข้อมูลระบาดใน 17 ประเทศ ผ่านช่องทางอีเมล์ที่แนบไฟล์อันตราย

มัลแวร์หรือโปรแกรมอันตรายตัวใหม่โดยแฮกเกอร์ ที่คาดว่ามีส่วนเกี่ยวข้องกับประเทศเกาหลีเหนือ กำลังระบาดใน 17 ระเทศรวมถึงประเทศไทยด้วย โดยมัลแวร์ตัวนี้มีเป้าหมายเป็นอุตสาหกรรมบันเทิง สถาบันการเงิน สาธารณสุขและโครงสร้างพื้นฐาน

ผลกระทบที่เกิดจากมัลแวร์ตัวนี้

  • สูญเสียข้อมูลสำคัญ/ข้อมูลความลับขององค์กร
  • คอมพิวเตอร์ไม่สามารถใช้งานได้อย่างเต็มประสิทธิภาพ
  • สูญเสียค่าใช้จ่ายในการแก้ไขและเวลา

ช่องทางการแพร่ระบาดของมัลแวร์

แฮกเกอร์ใช้วิธี Spear Phishing คือการโจมตีแบบมีเป้าหมาย หรือการส่งอีเมล์ตรงเข้าไปในหน่วยงานหรือผู้ใช้ และแนบไฟล์อันตรายลงในอีเมล์ โดยใช้ข้อความหลอกล่อให้ผู้รับเปิดไฟล์ดังกล่าว ส่วนมากเป็นไฟล์เอกสาร อย่างเช่น อ้างเป็นใบเสร็จจากที่ไหนสักแห่ง หรืออ้างตัวเป็นบุคคลสำคัญภายในองค์กร และมีชื่อของผู้รับอยู่ภายในอีเมล์ เพื่อสร้างความน่าเชื่อถือ วิธีนี้เป็นเวิธีเดียวที่แฮกเกอร์ใช้แพร่กระจายโปรแกรมเรียกค่าไถ่ อย่าง WannaCry, Petya และอื่นๆ

al2018ad001-1

จำนวนการแพร่ระบาดของมัลแวร์เมื่อเดือนมีนาคม 2561 :รูปภาพจากเว็บไซต์ ThaiCert

โปรแกรมของ ESET สามารถตรวจจับมัลแวร์ตัวนี้ได้ในชื่อ Win32/NukeSped.AU, Win32/NukeSped.BU และ SWF/Exploit.CVE-2018-4878  ขณะนี้เซิร์ฟเวอร์ที่แฮกเกอร์ใช้รับ-ส่งข้อมูล ถูกเจ้าหน้าที่ดำเนินการปิดไปแล้ว แต่เราก็ไม่สามารถทราบได้ว่ามัลแวร์ตัวนี้จะถูกนำกลับมาใช้อีกครั้งเมื่อไหร่

ข้อแนะนำในการรับมือและป้องกัน

  • พิจารณาบล็อกการเชื่อมต่อไปยังเซิร์ฟเวอร์ปลายทาง จากข้อมูลในส่วนข้อแนะนำในการตรวจสอบ
  • ในกรณีที่พบว่าเครื่องคอมพิวเตอร์ติดมัลแวร์ ควรตัดการเชื่อมต่อจากเครือข่ายทันที
  • ใช้เทคนิค Application whitelist เพื่อป้องกันมัลแวร์และโปรแกรมที่ไม่ได้รับการอนุญาตสามารถทำงานบนเครื่องคอมพิวเตอร์ได้ โดยจัดการให้มีเพียงโปรแกรมที่ระบุและตรวจสอบแล้วทำงานบนเครื่องคอมพิวเตอร์ ส่วนโปรแกรมอื่นๆ ซึ่งรวมถึงมัลแวร์จะไม่สามารถทำงานได้
  • อัปเดตระบบปฏิบัติการและซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ โดยช่องโหว่ของโปรแกรมและระบบปฏิบัติการนั้นจะเป็นเป้าหมายในการการโจมตีอยู่บ่อยครั้ง การติดตั้งแเพตช์ในเวอร์ชันล่าสุดจะถือได้ว่าเป็นการลดความเสี่ยงจากการถูกโจมตีได้เป็นอย่างดี
  • หมั่นอัปเดตโปรแกรมป้องกันไวรัส และดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ทางทางการหรือแหล่งที่น่าเชื่อถือ
  • จำกัดสิทธิของผู้ใช้งาน (Permissions) ในการติดตั้งและรันโปรแกรมต่างๆ โดยยึดหลัก “least privilege” สำหรับทุกระบบและทุกบริการ การจำกัดสิทธิ์ดังกล่าวจะเป็นการป้องกันมัลแวร์ในการรัน และการแพร่กระจายในระบบเครือข่ายคอมพิวเตอร์
  • หลีกเลี่ยงในเปิด Macro จากไฟล์เอกสารแนบที่มากับอีเมล เนื่องจากอาจมีการเรียกทำงานโค้ดที่ซ่อนตัวอยู่ในไฟล์ดังกล่าว ส่งผลให้ติดมัลแวร์บนเครื่องคอมพิวเตอร์ และก่อให้เกิดความเสียหายได้ กรณีหน่วยงานและองค์กรขนาดใหญ่ ควรบล็อกอีเมลที่มีไฟล์แนบจากแหล่งไม่น่าเชื่อถือ

อ้างอิง

http://www.thaigov.go.th/news/contents/details/11873
https://www.thaicert.or.th/alerts/admin/2018/al2018ad001.html

%d bloggers like this: