ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (Global Research and Analysis Team - GReAT) ได้ค้นพบคลื่นลูกใหม่ของการโจมตีแบบตั้งเป้าหมาย (targeted attacks) ไปที่ภาคส่วนอุตสาหกรรมและวิศวกรรมในหลายๆ ประเทศทั่วโลก อาศัยอีเมลฟิชชิ่งและมัลแวร์เข้ามาก่อน โดยอิงตามสปายแวร์คิทเชิงพานิชย์ จากนั้นอาชญากรจะไล่ล่าหาข้อมูลทางธุรกิจที่อยู่บนระบบเครือข่ายของเหยื่อ นับรวมแล้วกว่า 130 องค์กรใน 30 ประเทศ อาทิ สเปน ปากีสถาน สหรัฐอาหรับเอมิเรตส์ อินเดีย อียิปต์ สหราชอาณาจักร เยอรมนี ซาอุดิอาระเบีย และอื่นๆ อีกมากมายก็ตกเป็นเป้าหมายของกลุ่มนี้
เมื่อเดือนมิถุนายน พ.ศ. 2559 นักวิจัยของแคสเปอร์สกี้ แลป สังเกตพบคลื่นฟิชชิ่งอีเมลมีไฟล์แนบอันตรายมาด้วย ข้อความเหล่านี้ส่วนมากถูกส่งไปหาผู้บริหารระดับสูงและกลางในหลายๆ บริษัท โดยอีเมลที่ส่งมานั้นจะดูเหมือนว่าส่งมาจากธนาคารในสหรัฐอาหรับเอมิเรตส์ เป็นใบแจ้งการโอนเงินที่มีเอกสารแนบเกี่ยวกับธุรกรรมนั้น (SWIFT) มาด้วย แต่ในความเป็นจริงกลับเป็นไฟล์มัลแวร์
การสืบสวนเพิ่มเติมโดยนักวิจัยของแคสเปอร์สกี้ แลปชี้ว่าเคมเปญสเปียร์ฟิชชิ่งนี้บงการโดยกลุ่มอาชญากรไซเบอร์ ซึ่งทางทีมนักวิจัยของแคสเปอร์สกี้ แลปได้ติดตามพฤติกรรมมาตั้งแต่เดือนมีนาคม พ.ศ. 2558 การโจมตีเมื่อเดือนมิถุนายนจัดเป็นครั้งล่าสุดโดยฝีมือของกลุ่มนี้
มัลแวร์ที่พบในไฟล์แนบนี้ใช้สปายแวร์ HawkEye ซึ่งจำหน่ายกันอย่างเปิดเผยบน Darkweb ซ้ำยังให้ทูลต่างๆ นาๆ ไว้ใช้ในการโจมตีอีกด้วย หลังการติดตั้ง ก็จะทำการเก็บรวบรวมข้อมูลที่น่าสนใจจากเครื่องคอมพิวเตอร์ของเหยื่อ ได้แก่:
การกดแป้นพิมพ์
ข้อมูลบนคลิปบอร์ด
ข้อมูลจำเพาะของ FTP เซิร์ฟเวอร์
ข้อมูลบัญชีผู้ใช้จากเบราเซอร์
ข้อมูลบัญชีผู้ใช้จากลูกข่ายที่สื่อสารข้อความกัน (เช่น Paltalk, Google talk, AIM)
ข้อมูลบัญชีผู้ใช้จากลูกข่ายที่ติดต่อทางอีเมล (เช่น Outlook, Windows Live mail)
ข้อมูลเกี่ยวกับแอพพลิเคชั่นที่ได้ติดตั้งไว้ (Microsoft Office)
จากนั้นจะส่งข้อมูลต่อไปยังเซิร์ฟเวอร์บังคับการของตัวแอคเตอร์ก่อการ จากข้อมูลที่ตกมาได้จากช่องโหว่บนเซิร์ฟเวอร์บังคับการบางตัว ชี้ไปในทิศทางว่าเหยื่อส่วนมากอยู่ในภาคส่วนอุตสาหกรรมและวิศวกรรม ในส่วนอื่นๆ ก็มี ได้แก่ การดำเนินงานขนส่งสินค้า เภสัชกรรม การผลิต ธุรกิจซื้อขายสินค้า องค์กรด้านการศึกษา และอื่นๆ
บริษัทเหล่านี้ล้วนมีข้อมูลที่มีค่า สามารถนำมาขายทำเงินได้ในตลาดมืด - ผลกำไรทางการเงินเป็นแรงจูงใจหลักของผู้กระทำผิดที่อยู่เบื้องหลังปฏิบัติการล้วงตับนี้ นั่นคือ "Operation Ghoul"
ปฏิบัติการล้วงตับ ที่ทางทีมวิจัยของแคสเปอร์สกี้แลปทำซ้อนขึ้น เป็นหนึ่งเดียวในหลากหลายเคมเปญที่คะเนว่าควบคุมโดยกลุ่มเดียวกัน และกลุ่มนี้ยังปฏิบัติงานอยู่
โมฮัมหมัด อะมิน ฮาสบีนี ผู้เชี่ยวชาญด้านความปลอดภัย แคสเปอร์สกี้ แลป ให้ข้อมูลเกี่ยวกับที่มาของปฏิบัติการนี้ว่า "เรื่องเล่าเมื่อครั้งโบราณ ผีปอบ (Ghoul) เป็นวิญญาณร้ายที่คอยกินเนื้อมนุษย์หรือเด็กๆ เป็นปีศาจที่มีที่มาแต่เดิมจากยุคเมโสโปเตเมีย วันนี้ คำๆ นี้ ในบางครั้งใช้เพื่ออธิบายลักษณะของบุคคลที่มีความละโมบหรือวัตถุนิยมสุดโต่ง ตรงเหลือเกินกับลักษณะของกลุ่มเบื้องหลัง ปฏิบัติการล้วงตับ (Operation Ghoul) ซึ่งมีแรงจูงใจเป็นเงินที่จะได้จากการขายข้อมูลทรัพย์สินทางปัญญาหรือข้อมูลจำเพาะทางธุรกิจที่ขโมยมาได้ หรือจากการเจาะบัญชีธนาคารของเหยื่อ ต่างไปจากผู้ก่อการที่มีเบื้องหลังเป็นระดับประเทศ พวกนี้จะระมัดระวังในการเลือกเป้าหมาย กลุ่มนี้และกลุ่มที่คล้ายกันอาจจะโจมตีบริษัทองค์กรใดก็ได้ ถึงแม้ว่า ทูลที่ใช้โจมตีจะค่อนข้างธรรมดา แต่ก็ให้ผลอย่างดี ดังนั้น บริษัทองค์กรที่มิได้เตรียมตัวที่รับมือ ก็จำต้องทนทุกข์จากผลที่ตามมาอย่างน่าเศร้า"
นักวิจัยจากแคสเปอร์สกี้ แลป ให้คำแนะนำในการป้องกันองค์กรให้พ้นเงื้อมมือ ปฏิบัติการล้วงตับ ให้ดำเนินมาตรการต่างๆ ดังนี้:
อบรมให้ความรู้แก่พนักงาน เพื่อแยกแยะได้ถูกเวลาที่ได้รับฟิชชิ่งอีเมล หรือฟิชชิ่งลิ้งค์
ใช้โซลูชั่นเพื่อความปลอดภัยสำหรับคอร์ปอเรทที่เป็นที่ยอมรับ ควบคู่กับโซลูชั่นป้องกันการโจมตีแบบตั้งเป้า สามารถระบุการโจมตีได้จากการวิเคราะห์ความผิดปกติของระบบเครือข่าย
เตรียมความพร้อมให้แก่เจ้าหน้าที่ด้านระบบความปลอดภัยสามารถเข้าถึงข้อมูลจำเพาะของภัยคุกคามล่าสุดได้ เสมือนให้อาวุธในการป้องกันตัวและตรวจพบการจู่โจมแบบตั้งเป้าได้ เช่น ตัวระบุชี้จุดเสี่ยง และ ข้อกำหนด YARA เป็นต้น
โปรดักส์ของแคสเปอร์สกี้ แลป ตรวจจับมัลแวร์ที่กลุ่มปฏิบัติการล้วงตับนี้ใช้งาน ได้ดังนี้:
Trojan.MSIL.ShopBot.ww
Trojan.Win32.Fsysna.dfah
Trojan.Win32.Generic
อ่านเพิ่มเติมเกี่ยวกับปฏิบัติการล้วงตับ ได้ที่บล็อกโพสต์ของเรา ที่ Securelist.com
เมื่อเดือนมิถุนายน พ.ศ. 2559 นักวิจัยของแคสเปอร์สกี้ แลป สังเกตพบคลื่นฟิชชิ่งอีเมลมีไฟล์แนบอันตรายมาด้วย ข้อความเหล่านี้ส่วนมากถูกส่งไปหาผู้บริหารระดับสูงและกลางในหลายๆ บริษัท โดยอีเมลที่ส่งมานั้นจะดูเหมือนว่าส่งมาจากธนาคารในสหรัฐอาหรับเอมิเรตส์ เป็นใบแจ้งการโอนเงินที่มีเอกสารแนบเกี่ยวกับธุรกรรมนั้น (SWIFT) มาด้วย แต่ในความเป็นจริงกลับเป็นไฟล์มัลแวร์
การสืบสวนเพิ่มเติมโดยนักวิจัยของแคสเปอร์สกี้ แลปชี้ว่าเคมเปญสเปียร์ฟิชชิ่งนี้บงการโดยกลุ่มอาชญากรไซเบอร์ ซึ่งทางทีมนักวิจัยของแคสเปอร์สกี้ แลปได้ติดตามพฤติกรรมมาตั้งแต่เดือนมีนาคม พ.ศ. 2558 การโจมตีเมื่อเดือนมิถุนายนจัดเป็นครั้งล่าสุดโดยฝีมือของกลุ่มนี้
มัลแวร์ที่พบในไฟล์แนบนี้ใช้สปายแวร์ HawkEye ซึ่งจำหน่ายกันอย่างเปิดเผยบน Darkweb ซ้ำยังให้ทูลต่างๆ นาๆ ไว้ใช้ในการโจมตีอีกด้วย หลังการติดตั้ง ก็จะทำการเก็บรวบรวมข้อมูลที่น่าสนใจจากเครื่องคอมพิวเตอร์ของเหยื่อ ได้แก่:
การกดแป้นพิมพ์
ข้อมูลบนคลิปบอร์ด
ข้อมูลจำเพาะของ FTP เซิร์ฟเวอร์
ข้อมูลบัญชีผู้ใช้จากเบราเซอร์
ข้อมูลบัญชีผู้ใช้จากลูกข่ายที่สื่อสารข้อความกัน (เช่น Paltalk, Google talk, AIM)
ข้อมูลบัญชีผู้ใช้จากลูกข่ายที่ติดต่อทางอีเมล (เช่น Outlook, Windows Live mail)
ข้อมูลเกี่ยวกับแอพพลิเคชั่นที่ได้ติดตั้งไว้ (Microsoft Office)
จากนั้นจะส่งข้อมูลต่อไปยังเซิร์ฟเวอร์บังคับการของตัวแอคเตอร์ก่อการ จากข้อมูลที่ตกมาได้จากช่องโหว่บนเซิร์ฟเวอร์บังคับการบางตัว ชี้ไปในทิศทางว่าเหยื่อส่วนมากอยู่ในภาคส่วนอุตสาหกรรมและวิศวกรรม ในส่วนอื่นๆ ก็มี ได้แก่ การดำเนินงานขนส่งสินค้า เภสัชกรรม การผลิต ธุรกิจซื้อขายสินค้า องค์กรด้านการศึกษา และอื่นๆ
บริษัทเหล่านี้ล้วนมีข้อมูลที่มีค่า สามารถนำมาขายทำเงินได้ในตลาดมืด - ผลกำไรทางการเงินเป็นแรงจูงใจหลักของผู้กระทำผิดที่อยู่เบื้องหลังปฏิบัติการล้วงตับนี้ นั่นคือ "Operation Ghoul"
ปฏิบัติการล้วงตับ ที่ทางทีมวิจัยของแคสเปอร์สกี้แลปทำซ้อนขึ้น เป็นหนึ่งเดียวในหลากหลายเคมเปญที่คะเนว่าควบคุมโดยกลุ่มเดียวกัน และกลุ่มนี้ยังปฏิบัติงานอยู่
โมฮัมหมัด อะมิน ฮาสบีนี ผู้เชี่ยวชาญด้านความปลอดภัย แคสเปอร์สกี้ แลป ให้ข้อมูลเกี่ยวกับที่มาของปฏิบัติการนี้ว่า "เรื่องเล่าเมื่อครั้งโบราณ ผีปอบ (Ghoul) เป็นวิญญาณร้ายที่คอยกินเนื้อมนุษย์หรือเด็กๆ เป็นปีศาจที่มีที่มาแต่เดิมจากยุคเมโสโปเตเมีย วันนี้ คำๆ นี้ ในบางครั้งใช้เพื่ออธิบายลักษณะของบุคคลที่มีความละโมบหรือวัตถุนิยมสุดโต่ง ตรงเหลือเกินกับลักษณะของกลุ่มเบื้องหลัง ปฏิบัติการล้วงตับ (Operation Ghoul) ซึ่งมีแรงจูงใจเป็นเงินที่จะได้จากการขายข้อมูลทรัพย์สินทางปัญญาหรือข้อมูลจำเพาะทางธุรกิจที่ขโมยมาได้ หรือจากการเจาะบัญชีธนาคารของเหยื่อ ต่างไปจากผู้ก่อการที่มีเบื้องหลังเป็นระดับประเทศ พวกนี้จะระมัดระวังในการเลือกเป้าหมาย กลุ่มนี้และกลุ่มที่คล้ายกันอาจจะโจมตีบริษัทองค์กรใดก็ได้ ถึงแม้ว่า ทูลที่ใช้โจมตีจะค่อนข้างธรรมดา แต่ก็ให้ผลอย่างดี ดังนั้น บริษัทองค์กรที่มิได้เตรียมตัวที่รับมือ ก็จำต้องทนทุกข์จากผลที่ตามมาอย่างน่าเศร้า"
นักวิจัยจากแคสเปอร์สกี้ แลป ให้คำแนะนำในการป้องกันองค์กรให้พ้นเงื้อมมือ ปฏิบัติการล้วงตับ ให้ดำเนินมาตรการต่างๆ ดังนี้:
อบรมให้ความรู้แก่พนักงาน เพื่อแยกแยะได้ถูกเวลาที่ได้รับฟิชชิ่งอีเมล หรือฟิชชิ่งลิ้งค์
ใช้โซลูชั่นเพื่อความปลอดภัยสำหรับคอร์ปอเรทที่เป็นที่ยอมรับ ควบคู่กับโซลูชั่นป้องกันการโจมตีแบบตั้งเป้า สามารถระบุการโจมตีได้จากการวิเคราะห์ความผิดปกติของระบบเครือข่าย
เตรียมความพร้อมให้แก่เจ้าหน้าที่ด้านระบบความปลอดภัยสามารถเข้าถึงข้อมูลจำเพาะของภัยคุกคามล่าสุดได้ เสมือนให้อาวุธในการป้องกันตัวและตรวจพบการจู่โจมแบบตั้งเป้าได้ เช่น ตัวระบุชี้จุดเสี่ยง และ ข้อกำหนด YARA เป็นต้น
โปรดักส์ของแคสเปอร์สกี้ แลป ตรวจจับมัลแวร์ที่กลุ่มปฏิบัติการล้วงตับนี้ใช้งาน ได้ดังนี้:
Trojan.MSIL.ShopBot.ww
Trojan.Win32.Fsysna.dfah
Trojan.Win32.Generic
อ่านเพิ่มเติมเกี่ยวกับปฏิบัติการล้วงตับ ได้ที่บล็อกโพสต์ของเรา ที่ Securelist.com
แคสเปอร์สกี้ แลป เผย “ShadowHammer” โจมตีแบบซัพพลายเชนทั่วโลก พบผู้ใช้ไทยโดนโจมตี 376 เครื่อง
แคสเปอร์สกี้ แลป เผย แบงกิ้งโทรจัน RTM ลุยโจมตีกลุ่มธุรกิจไปแล้วมากกว่า 130,000 ราย
แคสเปอร์สกี้ แลป ได้รับรางวัล CEIA Award 2018 สาขาความปลอดภัยไซเบอร์
แคสเปอร์สกี้ แลป เตือนนายจ้างระวังลูกจ้างเก่าใช้ช่องทางเพื่อแก้แค้นทางไซเบอร์
แคสเปอร์สกี้ แลป สกัดภัยไซเบอร์มุ่งโจมตีไทยได้มากกว่า 5 ล้านรายการ
แคสเปอร์สกี้ แลป พบช่องโหว่ของตัวชาร์จรถไฟฟ้า ที่สามารถสร้างความเสียหายต่อเน็ตเวิร์กบ้านได้
แคสเปอร์สกี้ แลป คาดการณ์ภัยคุกคาม 2019: ผู้ร้ายไซเบอร์จะงัดอาวุธหนักพร้อมกลยุทธ์ใหม่ หวังโจมตีทำลายล้าง
แคสเปอร์สกี้ แลป แต่งตั้ง วีเอสที อีซีเอส เสริมทัพตัวแทนจัดจำหน่ายในไทยเพิ่ม พร้อมตั้งเป้าขยายตลาด B2B