347/66 (IT) ประจำวันจันทร์ที่ 17 กรกฎาคม 2566

มีการสังเกตพบว่ากลุ่มภัยคุกคามรายใหม่กำลังทำการโจมตีทางไซเบอร์หลายชุด ไปยังหน่วยงานของรัฐ องค์กรทางทหาร และผู้ใช้งานที่เป็นพลเรือนในประเทศยูเครนและประเทศโปแลนด์ ซึ่งตามข้อมูลในคำแนะนำของ Cisco Talos บอกว่าแคมเปญที่เป็นอันตรายนี้ได้เริ่มต้นในเดือนเมษายน 2022 และกำลังดำเนินอยู่จนถึงปัจจุบัน โดยพวกเขามุ่งเป้าไปที่การขโมยข้อมูลที่มีค่าเป็นหลักและสร้างการเข้าถึงระยะไกลอย่างต่อเนื่อง และทีมตอบสนองภัยคุกคามทางคอมพิวเตอร์ของยูเครน (CERT-UA) ระบุว่าแคมเปญในเดือนกรกฎาคมเป็นของกลุ่มภัยคุกคามที่ชื่อ UNC1151 ซึ่งเป็นส่วนหนึ่งของกิจกรรมการดำเนินงานของ GhostWriter ที่ถูกกล่าวหาว่าได้รับการสนับสนุนจากรัฐบาลเบลารุส
การโจมตีมีขั้นตอนที่ซับซ้อน โดยเริ่มต้นจากการใช้ไฟล์ Microsoft Office ที่เป็นอันตราย โดยเฉพาะในรูปแบบ Excel และ PowerPoint ซึ่งไฟล์เหล่านี้ ใช้โปรแกรมดาวน์โหลดไฟล์ปฏิบัติการที่ซ่อนไว้และเพย์โหลดที่ฝังอยู่ภายในไฟล์ภาพ ทำให้การตรวจจับทำได้ยากขึ้น โดยเป้าหมายหลักของแคมเปญนี้อยู่ที่หน่วยงานรัฐบาลและกองทัพในยูเครนและโปแลนด์ โดยผู้คุกคามใช้เทคนิค social engineering คือการโน้มน้าวใจผู้ที่เป็นเป้าหมาย ให้เปิดใช้งานมาโคร โดยใช้รูปภาพและข้อความที่ดูเหมือนเป็นเอกสารของจริง
มีรายงานว่าภาคธุรกิจในประเทศยูเครนและโปแลนด์ รวมถึงผู้ใช้งานทั่วไป ตกเป็นเหยื่อของแคมเปญเหล่านี้ผ่านสเปรดชีต Excel โดยหลอกลวง และปลอมแปลงเป็นแบบฟอร์มการคืนภาษีมูลค่าเพิ่ม (VAT) ซึ่งจากการวิเคราะห์การโจมตีได้เผยให้เห็นการใช้งานเพย์โหลดที่เป็นอันตรายต่าง ๆ รวมถึงโทรจันการเข้าถึงระยะไกลของ AgentTesla (RAT), บีคอน Cobalt Strike และ njRAT โดยเพย์โหลดเหล่านี้ช่วยให้ผู้คุกคามสามารถขโมยข้อมูลและรับการควบคุมระยะไกลเหนือระบบที่ถูกบุกรุกได้ ดังนั้น เพื่อลดความเสี่ยงที่เกิดจากการโจมตีทางไซเบอร์เหล่านี้ Cisco Talos แนะนำให้ใช้มาตรการรักษาความปลอดภัยที่ครอบคลุม อีกทั้งยังได้เผยแพร่รายการ indicators of compromise (IoC) ที่เกี่ยวข้องกับภัยคุกคามเหล่านี้ไว้ ในคำแนะนำด้วย
แหล่งข่าว [ https://www.infosecurity-magazine.com/news/cyber-attacks-ukraine-poland/ ]