ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ที่เกี่ยวข้องกับกลุ่ม Silver Fox ซึ่งใช้เทคนิค Social Engineering โดยอ้างอิงบริบทด้าน ภาษี เอกสารการเงิน และบัญชีองค์กร เพื่อหลอกให้ผู้ใช้งานเปิดไฟล์หรือดาวน์โหลดโปรแกรมอันตราย
จากการวิเคราะห์พบว่า แคมเปญดังกล่าวมีการปรับเนื้อหาให้สอดคล้องกับบริบทของแต่ละประเทศ และมีการมุ่งเป้าไปยังหลายประเทศในภูมิภาคเอเชีย รวมถึงประเทศไทย จึงอาจทำให้ผู้ใช้งานในประเทศมีความเสี่ยงตกเป็นเหยื่อ โดยเฉพาะกรณีที่เนื้อหาสอดคล้องกับการทำงานจริง เช่น เอกสารภาษีหรือเอกสารทางการเงิน
1. รายละเอียดภัยคุกคาม [1]
กลุ่ม Silver Fox เป็นกลุ่มภัยคุกคามทางไซเบอร์ที่มีการพัฒนาและปรับเปลี่ยนแนวทางการโจมตีอย่างต่อเนื่อง โดยมีการใช้เทคนิค Phishing เป็นช่องทางหลักในการเข้าถึงเหยื่อ ผ่านอีเมลปลอมและเอกสารที่มีลักษณะน่าเชื่อถือ โดยพบว่ากลุ่มดังกล่าวมีการปรับเปลี่ยนรูปแบบการโจมตีและเครื่องมืออย่างต่อเนื่อง เพื่อเพิ่มประสิทธิภาพและหลีกเลี่ยงการตรวจจับ โดยในปัจจุบันมีการใช้หลากหลายวิธีการและเครื่องมือในการดำเนินการโจมตี ได้แก่
1.1 Remote Access Trojan (RAT) เช่น ValleyRAT หรือ Winos
มัลแวร์ประเภทที่เปิดช่องให้ผู้โจมตีสามารถควบคุมระบบของเหยื่อจากระยะไกล โดยมีความสามารถรองรับการดำเนินการได้หลากหลาย เช่น การบันทึกการกดแป้นพิมพ์ การเข้าถึงและถ่ายโอนข้อมูล การสั่งรันคำสั่งเพิ่มเติม รวมถึงการพยายามหลีกเลี่ยงกลไกการตรวจจับของระบบรักษาความปลอดภัย เพื่อรักษาการเข้าถึงระบบของเครื่องเหยื่อ
1.2 Remote Monitoring and Management (RMM)
ซอฟต์แวร์ที่องค์กรใช้สำหรับบริหารจัดการอุปกรณ์ปลายทาง เช่น การติดตั้งซอฟต์แวร์ การอัปเดตระบบ และการเข้าควบคุมเครื่องเหยื่ออย่างไรก็ตาม ผู้ไม่หวังดีอาจนำเครื่องมือดังกล่าวมาใช้ในทางที่ผิดเพื่อควบคุมระบบของเหยื่อ เนื่องจากเป็นซอฟต์แวร์ที่ถูกต้องตามกฎหมายและมีการใช้งานจริงในองค์กร จึงอาจทำให้การตรวจจับจากระบบความมั่นคงปลอดภัยทำได้ยากขึ้นเมื่อเทียบกับมัลแวร์ทั่วไป
1.3 มัลแวร์ประเภท Stealer (พัฒนาโดยภาษา Python)
ใช้สำหรับขโมยข้อมูลสำคัญ เช่น Credentials และข้อมูลจากเบราว์เซอร์
2.ลักษณะการโจมตีที่สำคัญ ได้แก่
2.1 ส่งอีเมลปลอมแอบอ้างหน่วยงานด้านภาษีหรือเอกสารทางการเงิน โดยมักใช้เนื้อหาเร่งด่วนเพื่อกระตุ้นให้ผู้ใช้งานดำเนินการทันที
2.2 แนบไฟล์ PDF ที่มีลิงก์ฝังอยู่ หรือปุ่มให้คลิก เพื่อนำผู้ใช้งานไปยังขั้นตอนถัดไป
2.3 เมื่อลิงก์ถูกเปิด ระบบจะนำผู้ใช้งานไปยังแหล่งดาวน์โหลดไฟล์หรือเว็บไซต์ที่ผู้โจมตีควบคุม
2.4 หลอกให้ผู้ใช้งานดาวน์โหลดไฟล์บีบอัด (ZIP/RAR) ซึ่งภายในมีไฟล์โปรแกรมที่เป็นอันตราย
2.5 เมื่อผู้ใช้งานเปิดหรือรันไฟล์ดังกล่าว อาจทำให้มัลแวร์ถูกติดตั้งลงในเครื่อง เช่น โปรแกรมขโมยข้อมูล (Stealer) หรือเครื่องมือควบคุมเครื่อง
2.6 ในระยะท้าย อาจมีการใช้มัลแวร์ประเภท RAT เช่น ValleyRAT เพื่อรักษาการเข้าถึงระบบของเหยื่อในระยะยาว และควบคุมระบบเหยื่อ
3. ผลกระทบที่อาจเกิดขึ้น
หากผู้ใช้งานหลงเชื่อและดำเนินการเปิดไฟล์หรือรันโปรแกรม อาจส่งผลให้
3.1 ข้อมูลบัญชีผู้ใช้งาน (Credentials) ถูกขโมย
3.2 ข้อมูลจากเบราว์เซอร์และเอกสารสำคัญถูกเข้าถึง
3.3 เครื่องถูกใช้เป็นจุดเริ่มต้นในการโจมตีระบบองค์กร (Initial Access)
นอกจากนี้ เครื่องที่ถูกบุกรุกอาจถูกใช้ต่อยอดไปยังการโจมตีอื่น เช่น การเข้าถึงอีเมลองค์กร การหลอกลวงทางการเงิน หรือการเคลื่อนย้ายภายในเครือข่าย (Lateral Movement)
4. เป้าหมายที่ได้รับผลกระทบ
กลุ่ม Silver Fox มีแนวโน้มมุ่งเป้าไปยัง
4.1 บุคลากรด้านการเงิน บัญชี และธุรการ
4.2 องค์กรที่มีการจัดการเอกสารภาษีหรือข้อมูลทางการเงิน
4.3 ผู้ใช้งานทั่วไปที่ได้รับอีเมลในลักษณะเร่งด่วน
ทั้งนี้ พบว่ามีการกระจายแคมเปญในหลายประเทศในภูมิภาคเอเชีย รวมถึงประเทศไทย
5. แนวทางการป้องกันสำหรับผู้ดูแลระบบ
5.1 กรองและตรวจสอบอีเมลที่เกี่ยวข้องกับภาษีหรือเอกสารการเงินอย่างเข้มงวด
5.2 จำกัดการดาวน์โหลดไฟล์ ZIP/RAR และไฟล์ปฏิบัติการจากแหล่งที่ไม่น่าเชื่อถือ
5.3 ตรวจสอบการรันไฟล์จากโฟลเดอร์ เช่น %TEMP% และ Downloads
5.4 เฝ้าระวังการใช้งานเครื่องมือ RMM ที่ไม่ได้รับอนุญาต
5.5 ตรวจสอบการเชื่อมต่อไปยังโดเมนหรือ IP ที่ผิดปกติ
5.6 ใช้ EDR/Antivirus ที่สามารถตรวจจับพฤติกรรมผิดปกติได้
6. ข้อแนะนำสำหรับบุคคลทั่วไป
6.1 ไม่เปิดไฟล์แนบจากอีเมลที่ไม่สามารถยืนยันแหล่งที่มาได้
6.2 ไม่คลิกลิงก์ดาวน์โหลดเอกสารภาษีจากอีเมลหรือข้อความโดยตรง
6.3 ตรวจสอบชื่อผู้ส่งและชื่อเว็บไซต์ให้ถูกต้องก่อนดำเนินการ
6.4 หากเป็นเอกสารจากหน่วยงานภาครัฐ ควรเข้าตรวจสอบผ่านเว็บไซต์ทางการเท่านั้น
แหล่งข้อมูลอ้างอิง