Clear
Lead Graphic Papers

แจ้งเตือนการระบาดมัลแวร์ Volgmer ผลกระทบมาถึงประเทศไทย

วันที่ประกาศ: 23 พฤศจิกายน 2560
ปรับปรุงล่าสุด: 23 พฤศจิกายน 2560
เรื่อง: แจ้งเตือน มัลแวร์ Trojan
ประเภทภัยคุกคาม: Intrusion

Share on Facebook Share on Twitter Share on Google+

สถานการณ์การแพร่ระบาด

วันที่ 22 พฤศจิกายน 2560 ทาง US-CERT ได้อัปเดตข้อมูลการแจ้งเตือนการแพร่ระบาดมัลแวร์ประเภท Trojan ชื่อ Volgmer โดยมีการระบุว่าเป็นมัลแวร์ที่เคยถูกใช้โดยรัฐบาลเกาหลีเหนือ ที่มุ่งโจมตีหน่วยงานภาครัฐ ภาคการเงิน ภาคอุตสาหกรรมรถยนต์ รวมถึงภาคอุตสาหกรรมสื่อตั้งแต่ปี 2556 นอกจากนี้มัลแวร์ตัวดังกล่าวยังถูกจัดให้มีความเกี่ยวข้องกับปฎิบัติการโจมตีของเกาหลีเหนือภายใต้ชื่อ “HIDDEN COBRA”

จากข้อมูลที่ US-CERT เผยแพร่ พบว่ามัลแวร์ดังกล่าวมีการเชื่อมต่อกับเครื่องควบคุมของแฮกเกอร์ (Command and Control Server : C&C) ที่อยู่ในหลายประเทศ โดยคิดเป็นเครื่องที่ใช้งานหมายเลขไอพีในประเทศไทย 4.6% หรือคิดเป็นจำนวน 140 หมายเลข โดยไทยเซิร์ตได้มีการประสานแจ้งเหตุไปยังผู้เกี่ยวข้องและอยู่ระหว่างการรอยืนยันข้อมูล

การทำงานของมัลแวร์

US-CERT คาดการณ์ว่า Volgmer ในช่วงแรกมีการแพร่กระจายจากการโจมตีด้วยรูปแบบ Spear phishing ซึ่งเป็นการโจมตีแบบมีเป้าหมายเฉพาะเจาะจง มัลแวร์นี้ถูกจัดอยู่ในประเภท Backdoor ซึ่งมีความสามารถหลบซ่อนตัวเพื่อติดต่อกับผู้ประสงค์ร้ายเป็นหลัก และสามารถรับคำสั่งต่าง ๆ เช่น ขโมยข้อมูลที่เกี่ยวกับระบบ ดาวน์โหลดและอัปโหลดไฟล์

มัลแวร์ดังกล่าวจะติดต่อไปยังเครื่อง C&C ผ่านพอร์ต 8080 และ 8088 และใช้งาน SSL ในการส่งข้อมูล ซึ่งอาจทำให้การตรวจจับเป็นไปได้ยาก อย่างไรก็ตามให้พิจารณาความผิดปกติของเครื่องคอมพิวเตอร์ที่มีการเชื่อมต่อกับไอพีดังต่อไปนี้ ซึ่งคาดว่าจะมีส่วนเกี่ยวกับการทำงานของมัลแวร์ Volgmer อ้างอิงจากผลการวิเคราะห์มัลแวร์ของ US-CERT [1] [2]

  • 103.16.223.35
  • 113.28.244.194
  • 116.48.145.179
  • 186.116.9.20
  • 186.149.198.172
  • 195.28.91.232
  • 195.97.97.148
  • 199.15.234.120
  • 200.42.69.133
  • 203.131.222.99
  • 210.187.87.181
  • 83.231.204.157
  • 84.232.224.218
  • 89.190.188.42

นอกจากนี้ยังควรต้องพิจารณาการเชื่อมต่อที่ใช้งาน Useragent ชื่อ Mozillar/ ซึ่งถูกใช้จากมัลแวร์ตัวดังกล่าวนี้ด้วยเช่นกัน

ผลกระทบ

มัลแวร์ Volgmer มีความสามารถหลายประการ และอาจทำให้เกิดผลกระทบอย่างรุนแรงต่อระบบคอมพิวเตอร์ที่มีข้อมูลสำคัญ ซึ่งผลกระทบในเชิงต่าง ๆ สามารถสรุปได้ดังนี้

  • สูญเสียข้อมูลสำคัญ/ข้อมูลความลับขององค์กร
  • สูญเสียความพร้อมใช้งาน ทำให้ระบบคอมพิวเตอร์ไม่สามารถใช้งานได้ปกติ
  • สูญเสียค่าใช้จ่ายที่เกิดขึ้นจากการกู้คืนระบบ
  • สูญเสียภาพลักษณ์ขององค์กร

ข้อแนะนำในการรับมือและป้องกัน

  • ในกรณีที่พบว่าเครื่องคอมพิวเตอร์ติดมัลแวร์ ควรตัดการเชื่อมต่อจากเครือข่ายทันที เช่น การดึงสายแลนด์ออก
  • ใช้เทคนิค Application whitelist เพื่อป้องกันมัลแวร์และโปรแกรมที่ไม่ได้รับการอนุญาตสามารถทำงานบนเครื่องคอมพิวเตอร์ได้ โดยจัดการให้มีเพียงโปรแกรมที่ระบุและตรวจสอบแล้วทำงานบนเครื่องคอมพิวเตอร์ ส่วนโปรแกรมอื่นๆ ซึ่งรวมถึงมัลแวร์จะไม่สามารถทำงานได้
  • อัปเดตระบบปฏิบัติการและซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ โดยช่องโหว่ของโปรแกรมและระบบปฏิบัติการนั้นจะเป็นเป้าหมายในการการโจมตีอยู่บ่อยครั้ง การติดตั้งแเพตช์ในเวอร์ชันล่าสุดจะถือได้ว่าเป็นการลดความเสี่ยงจากการถูกโจมตีได้เป็นอย่างดี
  • หมั่นอัปเดตโปรแกรมป้องกันไวรัส และดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ทางทางการหรือแหล่งที่น่าเชื่อถือ
  • จำกัดสิทธิของผู้ใช้งาน (Permissions) ในการติดตั้งและรันโปรแกรมต่างๆ โดยยึดหลัก “least privilege” สำหรับทุกระบบและทุกบริการ การจำกัดสิทธิ์ดังกล่าวจะเป็นการป้องกันมัลแวร์ในการรัน และการแพร่กระจายในระบบเครือข่ายคอมพิวเตอร์
  • หลีกเลี่ยงในเปิด Marcro จากไฟล์เอกสารแนบที่มากับอีเมล เนื่องจากอาจมีการเรียกทำงานโค้ดที่ซ่อนตัวอยู่ในไฟล์ดังกล่าว ส่งผลให้ติดมัลแวร์บนเครื่องคอมพิวเตอร์ และก่อให้เกิดความเสียหายได้ กรณีหน่วยงานและองค์กรขนาดใหญ่ ควรบล็อกอีเมลที่มีไฟล์แนบจากแหล่งไม่น่าเชื่อถือ
  • หลีกเลี่ยงการกดลิงก์น่าสงสัยในอีเมล โดยสามารถศึกษาข้อมูลเพิ่มเติมที่ Avoiding Social Engineering and Phishing Attacks [3]
  • หากพบเหตุต้องสงสัยหรือต้องการคำแนะนำเพิ่มเติมในกรณีนี้ สามารประสานกับไทยเซิร์ตได้ทางอีเมล report@thaicert.or.th หรือโทรศัพท์ 0-2123-1212

อ้างอิง

  1. https://www.us-cert.gov/ncas/alerts/TA17-318B
  2. https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-D_WHITE_S508C.PDF
  3. https://www.us-cert.gov/ncas/tips/ST04-014
Clear