ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานเตือนภัยเทคนิคการปลอมผลลัพธ์จาก AI Chatbot และ Search Engine นำไปสู่การติดตั้งมัลแวร์อันตราย ผู้ใช้งานควรเพิ่มความระมัดระวังในการใช้งานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยเกี่ยวกับการโจมตีที่อาศัยการปลอมแปลงผลลัพธ์จาก AI Chatbot และ Search Engine เพื่อนำผู้ใช้งานไปยังเว็บไซต์อันตราย ซึ่งมีการติดตั้งโปรแกรมควบคุมและมัลแวร์ขุดเหรียญดิจิทัล (Cryptojacking Malware) ภายในระบบของเหยื่อ โดยผู้โจมตีใช้เครื่องมือที่ถูกต้องตามกฎหมาย เช่น ScreenConnect และโปรแกรมบน Microsoft .NET เพื่อหลีกเลี่ยงการตรวจจับและสร้างความน่าเชื่อถือในการโจมตี ผู้ใช้งานควรเฝ้าระวังและดำเนินมาตรการป้องกันโดยเร่งด่วน
1. รายละเอียด [1]
Microsoft ได้เปิดเผยการตรวจพบแคมเปญการโจมตีที่ใช้เทคนิค Search Engine Optimization (SEO) Poisoning และการปลอมแปลงคำแนะนำจาก AI Chatbot [2] เพื่อหลอกล่อให้ผู้ใช้งานดาวน์โหลดโปรแกรมจากเว็บไซต์ปลอมที่เลียนแบบเว็บไซต์ซอฟต์แวร์หรือเครื่องมือยอดนิยม โดยไฟล์ที่ดาวน์โหลดอาจมีการติดตั้งเครื่องมือสำหรับเข้าถึงระบบ เช่น ScreenConnect รวมถึงใช้โปรแกรม Microsoft .NET utilities และ PowerShell เพื่อดาวน์โหลดและติดตั้งมัลแวร์ เพื่อใช้ทรัพยากรของเครื่องเหยื่อในการขุดเหรียญดิจิทัล (Cryptocurrency Mining) หรือที่เรียกว่า Cryptojacking ซึ่งอาจส่งผลให้ระบบทำงานช้าลง ใช้ทรัพยากร CPU และ GPU สูงผิดปกติ รวมถึงอาจเปิดช่องให้ผู้โจมตีสามารถเข้าควบคุมระบบของเหยื่อได้ในระยะยาว
2. รูปแบบการโจมตี
ผู้โจมตีมีรูปแบบการดำเนินการ ดังนี้
2.1 สร้างเว็บไซต์ปลอมที่เลียนแบบเว็บไซต์ดาวน์โหลดซอฟต์แวร์หรือบริการที่ได้รับความนิยม
2.2 ใช้เทคนิค SEO Poisoning หรืออาศัยการปั่นผลลัพธ์ให้ AI Chatbot แนะนำลิงก์ปลอมแก่ผู้ใช้งาน
2.3 หลอกให้เหยื่อดาวน์โหลดไฟล์ติดตั้งหรือเรียกใช้สคริปต์อันตราย
2.4 ติดตั้งโปรแกรม ScreenConnect หรือเครื่องมือ Remote Access ภายในเครื่องเหยื่อ
2.5 ใช้ PowerShell และ Microsoft .NET utilities เพื่อดาวน์โหลด Payload เพิ่มเติม
2.6 ติดตั้งมัลแวร์ขุดเหรียญดิจิทัลและสร้าง Persistence เพื่อให้มัลแวร์ทำงานต่อเนื่องหลังรีบูตระบบ
2.7 ใช้ทรัพยากร CPU และ GPU ของเครื่องเหยื่อสำหรับการขุด Cryptocurrency รวมถึงอาจใช้เป็นจุดเริ่มต้นในการโจมตีระบบอื่นภายในองค์กร
3. แนวทางการแก้ไข
3.1 ตรวจสอบการติดตั้งโปรแกรม ScreenConnect ภายในองค์กรว่ามีการติดตั้งโดยไม่ได้รับอนุญาตหรือไม่
3.2 ตรวจสอบ Scheduled Tasks, Startup Items, Services และ Registry Keys ที่อาจถูกใช้สร้าง Persistence
3.3 ตรวจสอบการใช้งาน PowerShell และโปรแกรม Microsoft .NET utilities ที่มีพฤติกรรมผิดปกติ
3.4 เฝ้าระวังการใช้งาน CPU และ GPU สูงผิดปกติบนเครื่องแม่ข่ายและเครื่องผู้ใช้งาน
3.5 ตรวจสอบการเชื่อมต่อเครือข่ายไปยังโดเมนหรือ IP Address ที่ไม่รู้จัก
3.6 อัปเดตระบบปฏิบัติการ ซอฟต์แวร์ และโปรแกรมป้องกันมัลแวร์ให้เป็นเวอร์ชันล่าสุด
3.7 จำกัดสิทธิ์การติดตั้งโปรแกรมของผู้ใช้งานทั่วไปภายในองค์กร
3.8 บล็อกการเข้าถึงเว็บไซต์หรือโดเมนที่เกี่ยวข้องกับการแพร่กระจายมัลแวร์
3.9 จัดทำระบบสำรองข้อมูล (Backup) และทดสอบการกู้คืนข้อมูลอย่างสม่ำเสมอ
4. คำแนะนำด้านความปลอดภัยเพิ่มเติม
4.1 ควรดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ทางการของผู้พัฒนาเท่านั้น
4.2 หลีกเลี่ยงการดาวน์โหลดโปรแกรมจากลิงก์ที่ได้รับผ่าน AI Chatbot หรือ Search Engine โดยไม่ตรวจสอบความถูกต้องของโดเมน
4.3 ตรวจสอบ URL และใบรับรองเว็บไซต์ก่อนดาวน์โหลดไฟล์ทุกครั้ง
4.4 ใช้งานระบบ Endpoint Detection and Response (EDR) หรือระบบตรวจจับภัยคุกคามเพื่อเฝ้าระวังพฤติกรรมผิดปกติ
4.5 กำหนดนโยบายควบคุมการใช้งาน PowerShell และ Script Execution ภายในองค์กร
4.6 เฝ้าระวังการใช้งานทรัพยากรเครื่องผิดปกติ เช่น CPU หรือ GPU Usage สูงอย่างต่อเนื่อง
4.7 จัดอบรมสร้างความตระหนักรู้ด้านภัยคุกคามไซเบอร์แก่ผู้ใช้งานภายในองค์กรอย่างสม่ำเสมอ
แหล่งอ้างอิง