Clear
Lead Graphic Papers

ข่าวสั้น

พบการแพร่ระบาดของมัลแวร์ Cerberus เพิ่มมากขึ้นหลังจากที่ซอร์สโค้ดถูกปล่อยออกสู่สาธารณะ

Cerberus เป็นมัลแวร์ประเภท banking trojan ที่ทำงานบน Android จุดประสงค์หลักเพื่อสอดแนมและขโมยข้อมูลทางการเงิน ช่องทางการแพร่กระจายมีได้หลายวิธี เช่น หลอกให้ผู้ใช้ดาวน์โหลดไฟล์มัลแวร์ไปติดตั้ง รวมถึงพบแอปพลิเคชันที่มีโค้ดของมัลแวร์ Cerberus ปรากฎบน Google Play Store ด้วย

ที่ผ่านมา Cerberus เป็นมัลแวร์สำเร็จรูปที่มีการซื้อขายในตลาดมืด ทำให้ผู้ที่ไม่มีความรู้ทางเทคนิคมากนักก็สามารถซื้อมัลแวร์มาใช้โจมตีได้ ในงาน Kaspersky NEXT 2020 ที่ถูกจัดขึ้นเมื่อช่วงกลางเดือนกันยายน 2563 ทีมนักวิจัยจาก Kaspersky รายงานว่าพบการเปิดประมูลขายซอร์สโค้ดของมัลแวร์ Cerberus ในเว็บไซต์ใต้ดิน สาเหตุคาดเกิดจากทีมพัฒนาต้องการย้ายไปสร้างมัลแวร์ตัวอื่นจึงได้นำข้อมูลที่มีอยู่มาประกาศขาย อย่างไรก็ตาม การเปิดประมูลในครั้งนี้ไม่ได้มีผู้มาเข้าร่วมอย่างที่ทีมพัฒนาตั้งใจไว้ สุดท้ายจึงได้ปล่อยซอร์สโค้ดของมัลแวร์และข้อมูลอื่น ๆ ออกสู่สาธารณะ หลังจากเหตุการณ์ดังกล่าว ทาง Kaspersky ระบุว่าพบการแพร่ระบาดของมัลแวร์ Cerberus เพิ่มขึ้นอย่างรวดเร็ว โดยเหยื่อส่วนใหญ่อยู่ในกลุ่มประเทศแถบยุโรปและรัสเซีย

ในประเทศไทย ณ ขณะที่เผยแพร่บทความ ยังไม่พบรายงานการแพร่ระบาดของ Cerberus เวอร์ชันใหม่ (ในรายงานของ Kaspersky ระบุว่าเป็น Cerberus เวอร์ชัน 2) อย่างไรก็ตาม เมื่อช่วงต้นปี 2563 พบการโจมตีผู้ใช้งาน Android ในประเทศไทยด้วยการหลอกให้ดาวน์โหลดมัลแวร์ Cerberus มาติดตั้ง ตัวอย่างเช่น

ซึ่งทั้ง 2 เหตุการณ์นี้มีจุดร่วมที่คล้ายคลึงกันคือผู้ไม่หวังดีใช้วิธีส่ง SMS เพื่อแพร่กระจายมัลแวร์ รูปแบบการใช้ภาษาใน SMS นั้นไม่ใช่ลักษณะของผู้ที่คุ้นชินกับการใช้ภาษาไทย อีกทั้งการโจมตีก็อาศัยสถานการณ์ที่ผู้คนให้ความสนใจในช่วงเวลานั้น เช่น ข่าวการแพร่ระบาดของโรค COVID-19 หรือการใช้งานระบบ ไทยชนะ

เนื่องจากมัลแวร์ Cerberus เคยมีการแพร่ระบาดในประเทศไทยมาก่อนหน้านี้ อีกทั้งปัจจุบันซอร์สโค้ดของมัลแวร์ดังกล่าวสามารถเข้าถึงได้ง่ายขึ้น ทำให้มีแนวโน้มที่จะมีการนำมัลแวร์ดังกล่าวมาพัฒนาต่อเพื่อใช้โจมตีในลำดับถัดไป ผู้ใช้งานระบบปฏิบัติการ Android ควรพิจารณาก่อนติดตั้งแอปพลิเคชันใด ๆ ไม่ว่าจะเป็นการติดตั้งจากแหล่งภายนอกหรือจาก Google Play Store รวมถึงพิจารณาการให้สิทธิของแอปพลิเคชันตามความเหมาะสม และไม่ควรให้สิทธิที่อาจส่งผลกระทบต่อข้อมูลทางการเงิน เช่น สิทธิในการอ่าน SMS เนื่องจากเป็นช่องทางที่ใช้รับ OTP จากธนาคารเมื่อมีการทำธุรกรรมทางการเงิน

วันที่: 2020-09-21 | ที่มา: ZDNet, Bank Info Security | Share on Facebook Share on Twitter Share on Google+
พบอีเมลสแปมเริ่มใช้วิธีเปลี่ยนรูปแบบการเขียนระบุที่อยู่ IP เพื่อหลบเลี่ยงระบบตรวจจับ โปรดตรวจสอบก่อนคลิก

ทีมวิจัยจาก Trustwave รายงานว่าพบอีเมลสแปมจำนวนมากที่ใช้เทคนิคการเปลี่ยนรูปแบบของการเขียนระบุที่อยู่ IP เพื่อหลบเลี่ยงระบบตรวจจับ โดยหลักแล้ว การเข้าชมเว็บไซต์นั้นสามารถทำได้ 2 ลักษณะ คือเข้าผ่านโดเมน กับเข้าผ่านที่อยู่ IP โดยในการระบุที่อยู่ IPv4 จะเขียนในรูปแบบเลขฐาน 10 คั่นด้วยจุด เช่น 127.0.0.1 ส่วนการระบุที่อยู่ IPv6 จะเขียนในรูปแบบเลขฐาน 16 คั่นด้วยเครื่องหมายโคลอน เช่น 2001:db8:a0b:12f0::1

อย่างไรก็ตาม การระบุที่อยู่ IP นั้นยังสามารถเขียนให้อยู่ในรูปแบบอื่นได้ด้วย เช่น

เลขฐาน 8 (Octal): https://0330.0072.0307.0116 (แปลงจากเลขฐาน 10 เป็นฐาน 8)
เลขฐาน 16 (Hexadecimal): https://0xD83AC74E (แปลงจากเลขฐาน 10 เป็นฐาน 16)
Integer หรือ DWORD: https://3627730766 (แปลงจากเลขฐาน 16 เป็น integer)

เมื่อเข้าถึงที่อยู่ IP ในรูปแบบดังกล่าวผ่านทางเบราว์เซอร์ ตัวเบราว์เซอร์จะแปลงที่อยู่ IP ให้เป็นรูปแบบเลขฐาน 10 จากนั้นจะเริ่มค้นหาและพาผู้ใช้เข้าไปยังเว็บไซต์ตามที่อยู่ดังกล่าวตามกระบวนการปกติ ทำให้ผู้ประสงค์ร้ายสามารถใช้วิธีนี้ในการส่งอีเมลหลอกให้เหยื่อคลิกเข้าไปยังเว็บไซต์ปลอมได้ เนื่องจากในบางกรณีระบบคัดกรองอีเมลอาจไม่รองรับการเขียนระบุที่อยู่ IP ในรูปแบบดังกล่าว

ทาง Trustwave ให้ข้อมูลเพิ่มเติมว่า ตั้งแต่ช่วงกลางเดือนกรกฎาคม 2563 เป็นต้นมา พบอีเมลสแปมจำนวนมากที่ใช้วิธีเขียนที่อยู่ IP ในรูปแบบเลขฐาน 16 (ขึ้นต้นด้วย 0x ตามด้วยตัวเลขฐาน 16) นอกจากนี้ยังพบด้วยว่าเมื่อนำเมาส์ไปชี้บนที่อยู่ IP ที่เขียนในรูปแบบดังกล่าว โปรแกรมอ่านอีเมลแต่ละตัวจะแสดงผลลิงก์ปลายทางไม่เหมือนกัน โดย Thunderbird จะแสดงลิงก์ในลักษณะที่อยู่ IP ที่ถูกแปลงให้อยู่ในรูปแบบปกติแล้ว (เลขฐาน 10) ส่วนใน Outlook จะยังแสดงผลลิงก์ปลายทางเป็นตัวเลขฐาน 16

ทั้งนี้ การหลบเลี่ยงระบบคัดกรองอีเมลด้วยวิธีเปลี่ยนรูปแบบการเขียนระบุที่อยู่ IP นั้นไม่ใช่เรื่องใหม่ แต่บางระบบตรวจจับอาจยังไม่รองรับ รวมทั้งตัวผู้ใช้เองก็อาจยังไม่ได้รับทราบว่าสามารถถูกโจมตีในลักษณะนี้ได้ ดังนั้นการติดตามข่าวสาร โดยเฉพาะอย่างยิ่งการศึกษาเทคนิคการโจมตีที่เกิดขึ้นอยู่ในปัจจุบัน ก็จะช่วยให้ผู้ใช้เกิดความตระหนักและลดความเสี่ยงที่จะเกิดขึ้นได้

วันที่: 2020-09-18 | ที่มา: Trustwave | Share on Facebook Share on Twitter Share on Google+
MITRE เปิด Adversary Emulation Library รวมข้อมูลและแผนจำลองของกลุ่มผู้โจมตีทางไซเบอร์

MITRE ร่วมมือกับหน่วยงานพันธมิตร จัดทำฐานข้อมูลรายละเอียดเทคนิคและวิธีการที่ถูกใช้งานโดยกลุ่มผู้โจมตีทางไซเบอร์ ภายใต้ชื่อโครงการ Adversary Emulation Library ซึ่งเปิดให้เข้าถึงได้ฟรีผ่านเว็บไซต์ https://github.com/center-for-threat-informed-defense/adversary_emulation_library จุดประสงค์ของการจัดทำฐานข้อมูลดังกล่าวเพื่อให้ทีมรับมือภัยคุกคามได้ศึกษารูปแบบการโจมตีอย่างเป็นระบบ และนำสิ่งที่เรียนรู้ไปปรับปรุงเพื่อป้องกันและลดความเสี่ยงได้

โดยพื้นฐานแล้วในแต่ละครั้งที่กลุ่มผู้โจมตีทางไซเบอร์ (adversary) ลงมือโจมตีนั้นก็มักจะใช้กลยุทธ์ เทคนิค และวิธีการ (tactics, techniques, and procedures หรือ TTPs) ที่คล้ายคลึงกับรูปแบบเดิม หมายความว่าหากพบรูปแบบการโจมตีที่มีลักษณะใกล้เคียงกับเหตุการณ์ที่เคยเกิดขึ้นก่อนหน้าก็พอที่จะอนุมานได้ว่ากลุ่มผู้ก่อเหตุนั้นน่าจะเป็นกลุ่มใดบ้าง การศึกษารูปแบบการโจมตีที่เคยเกิดขึ้นจริงแล้วนำรูปแบบเครื่องมือและวิธีการดังกล่าวมาซักซ้อมในระบบที่ใกล้เคียงกับสภาพแวดล้อมจริง (เรียกว่าเป็นการทำ adversary emulation) ก็จะสามารถช่วยให้ผู้ที่ปฏิบัติงานด้านการรับมือสามารถเข้าใจวิธีการตรวจจับและป้องกันความเสียหายที่จะเกิดขึ้นได้

ในเบื้องต้น ข้อมูลใน Adversary Emulation Library ของ MITRE นั้นยังมีเฉพาะส่วนที่เกี่ยวข้องกับกลุ่ม FIN6 ซึ่งเป็นกลุ่มผู้โจมตีที่เน้นปฏิบัติการในสถาบันทางการเงิน รายละเอียดใน FIN6 Adversary Emulation (https://github.com/center-for-threat-informed-defense/adversary_emulation_library/tree/master/fin6) โดยหลัก ๆ สามารถแบ่งได้เป็น 3 ส่วน ดังนี้

  1. Intelligence Summary เป็นข้อมูลสรุปภาพรวมของกลุ่มผู้โจมตี เช่น ประวัติการโจมตีที่ผ่านมา หน่วยงานที่เคยตกเป็นเป้าหมาย เครื่องมือที่ใช้ในการโจมตี รูปแบบและวิธีการที่อ้างอิงตาม MITRE ATT&CK
  2. Operations Flow ลำดับขั้นตอนการโจมตี โดยเริ่มตั้งแต่การเตรียมการ ไปจนถึงกระบวนการโจมตีจริง
  3. Emulation Plan แนวทางการใช้คำสั่ง สคริปต์ และเครื่องมือเพื่อใช้โจมตีในแต่ละขั้นตอน

ทั้งนี้ ทาง MITRE ระบุว่ามีแผนที่จะจัดทำ adversary emulation ของกลุ่มผู้โจมตีอื่น ๆ เพิ่มเติมในอนาคต ผู้ที่สนใจสามารถศึกษารายละเอียดเพิ่มเติมได้จากที่มา

วันที่: 2020-09-16 | ที่มา: MITRE, ZDNet | Share on Facebook Share on Twitter Share on Google+
NCSC UK ออกคู่มือการแจ้งรายงานช่องโหว่ ครอบคลุมการติดต่อสื่อสาร การกำหนดนโยบาย และการประกาศ security.txt

หน่วยงาน National Cyber Security Centre (NCSC) ของสหราชอาณาจักรได้เผยแพร่คู่มือการแจ้งรายงานช่องโหว่ในชื่อ Vulnerability Disclosure Toolkit โดยมีจุดประสงค์เพื่อใช้เป็นแนวปฏิบัติในการกำหนดกระบวนการรับแจ้งและประสานงานช่องโหว่ รวมถึงเพื่อให้เกิดความชัดเจนว่าผู้ที่ค้นพบช่องโหว่จะสามารถติดต่อกับผู้รับผิดชอบหรือผู้ที่เกี่ยวข้องได้ ในคู่มือดังกล่าวจะแบ่งแนวทางหลัก ๆ ออกเป็น 3 ส่วน คือ การติดต่อสื่อสาร การกำหนดนโยบาย และการประกาศ security.txt โดยสรุปรายละเอียดได้ดังนี้

การติดต่อสื่อสาร ควรประกาศช่องทางการรับแจ้งช่องโหว่ด้านความมั่นคงปลอดภัยที่ชัดเจน เช่น รับแจ้งผ่านอีเมล security@example.com หรือมีแบบฟอร์มให้กรอกผ่านหน้าเว็บไซต์โดยตรง ทั้งนี้ หลังจากที่ได้รับแจ้งช่องโหว่แล้ว ควรมีกระบวนการเพื่อนำข้อมูลที่ได้รับแจ้งไปส่งต่อให้กับผู้ที่เกี่ยวข้องโดยเร็วที่สุด ตอบกลับผู้แจ้งว่าได้รับทราบแล้วและอยู่ระหว่างดำเนินการ ไม่ควรเพิ่มขั้นตอนหรือกระบวนการที่ไม่จำเป็นเช่นการลงนามในสัญญาไม่เปิดเผยข้อมูล และหากการแก้ไขช่องโหว่นั้นใช้เวลานานควรอัปเดตความคืบหน้าให้ผู้แจ้งทราบเป็นระยะ ๆ

การกำหนดนโยบาย ควรกำหนดให้ชัดเจนว่าผู้ที่รายงานช่องโหว่เข้ามานั้นจะต้องแจ้งข้อมูลช่องโหว่มากน้อยเพียงใด หากไม่ได้รับรายละเอียดที่เพียงพอควรติดต่อกลับเพื่อขอข้อมูลเพิ่มเติมผ่านช่องทางที่มีความมั่นคงปลอดภัย รวมถึงควรกำหนดกระบวนการทำงานโดยอ้างอิงจากกรอบการทำงานหรือมาตรฐานสากล

การประกาศ security.txt ไว้ในเว็บไซต์เพื่อใช้ระบุช่องทางการติดต่อประสานงานด้านความมั่นคงปลอดภัย โดยควรระบุให้ชัดเจนทั้งในส่วนรายละเอียดการติดต่อสื่อสารและการประกาศนโยบายการรายงานช่องโหว่ ทั้งนี้ รายละเอียดเพิ่มเติมที่เกี่ยวข้องกับการกำหนด security.txt สามารถดูได้จาก https://www.thaicert.or.th/newsbite/2019-12-12-01.html

ในคู่มือมีตัวอย่างแผนการรับมือเมื่อได้รับแจ้งช่องโหว่ด้านความมั่นคงปลอดภัย รวมถึงตัวอย่างการประกาศนโยบายการแจ้งช่องโหว่ด้วย ผู้ที่สนใจสามารถดูเพิ่มเติมได้จาก https://www.ncsc.gov.uk/files/NCSC_Vulnerability_Toolkit.pdf

วันที่: 2020-09-16 | ที่มา: NCSC UK, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
ระวังภัย โค้ดโจมตีช่องโหว่ Zerologon (CVE-2020-1472) ถูกเผยแพร่แล้ว อาจถูกแฮกยึดเซิร์ฟเวอร์ได้ ควรรีบแพตช์

ช่องโหว่ Zerologon หรือ CVE-2020-1472 เป็นช่องโหว่ในบริการ Netlogon บน Windows Server ตัวช่องโหว่ส่งผลให้ผู้ไม่หวังดีสามารถแฮกเพื่อยึดเครื่องเซิร์ฟเวอร์ในหน่วยงานได้ ทาง Microsoft ได้เผยแพร่แพตช์สำหรับแก้ไขช่องโหว่นี้แล้วในอัปเดตความมั่นคงปลอดภัยประจำเดือนสิงหาคม 2563 ผู้ดูแลระบบควรตรวจสอบและอัปเดตเพื่อลดความเสี่ยง

Netlogon เป็นบริการที่เครื่อง Windows Server ที่ทำหน้าที่เป็น Domain Controller จะใช้เพื่อยืนยันตัวตนและให้สิทธิแก่บัญชีผู้ใช้ที่อยู่ภายใต้โดเมนเดียวกัน จากรายงานของทาง Secura พบว่า Netlogon นั้นมีจุดอ่อนในกระบวนการยืนยันตัวตน ส่งผลให้ผู้ไม่หวังดีสามารถยึดเครื่อง Domain Controller สวมรอยเป็นการล็อกอินจากคอมพิวเตอร์เครื่องอื่นในระบบ เปลี่ยนรหัสผ่านของบัญชีผู้ใช้ใน Active Directory หรือสั่งรันมัลแวร์บนเครื่องคอมพิวเตอร์ในเครือข่ายได้ ช่องโหว่นี้ถูกกำหนดหมายเลข CVE-2020-1472 และถูกตั้งชื่อว่า Zerologon เนื่องจากสามารถโจมตีได้โดยใส่ค่าเลขศูนย์เข้าไปในกระบวนการยืนยันตัวตน ตัวช่องโหว่ถูกจัดให้มีระดับความรุนแรง CVSSv3 อยู่ที่ 10 คะแนน รูปแบบช่องโหว่เป็นการยกระดับสิทธิหรือ privilege escalation อย่างไรก็ตาม ถึงแม้ช่องโหว่นี้จะโจมตีได้จากระยะไกล แต่การโจมตีนั้นจำเป็นต้องกระทำจากเครือข่ายภายในเท่านั้น

เมื่อวันที่ 14 กันยายน 2563 มีรายงานการเผยแพร่เครื่องมือและตัวอย่างโค้ดสำหรับใช้โจมตีผ่านช่องโหว่ดังกล่าวแล้ว ผู้ดูแลระบบควรรีบอัปเดตแพตช์เพื่อลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น ทั้งนี้ รายละเอียดและโค้ดตัวอย่างสำหรับตรวจสอบช่องโหว่ Zerologon สามารถดูเพิ่มเติมได้จาก https://github.com/SecuraBV/CVE-2020-1472

วันที่: 2020-09-15 | ที่มา: Microsoft, Secura, | Share on Facebook Share on Twitter Share on Google+
Microsoft ออกแพตช์ประจำเดือนกันยายน 2563 แก้ไขช่องโหว่ระดับวิกฤตหลายรายการ ยังไม่พบรายงานการโจมตี

เมื่อวันที่ 8 กันยายน 2563 บริษัท Microsoft ได้ออกแพตช์แก้ไขช่องโหว่ประจำเดือน โดยมีช่องโหว่ที่ถูกแก้ไขทั้งหมด 129 จุด เป็นช่องโหว่ระดับวิกฤต (Critical) จำนวน 23 จุด และช่องโหว่สำคัญ (Important) จำนวน 105 จุด ทั้งนี้ยังไม่พบรายงานว่ามีการนำช่องโหว่ที่ถูกแก้ไขในรอบนี้ไปใช้โจมตีแต่อย่างใด

ในแพตช์รอบนี้มีการแก้ไขช่องโหว่ที่น่าสนใจจำนวน 3 จุด ได้แก่

  • ช่องโหว่หมายเลข CVE-2020-16875 เป็นช่องโหว่ระดับวิกฤตประเภท Remote Code Execution (RCE) ใน Microsoft Exchange Server ผู้ไม่หวังดีสามารถส่งคำสั่งอันตรายมาประมวลผลบนเซิร์ฟเวอร์ได้จากระยะไกล อย่างไรก็ตาม การจะโจมตีสำเร็จได้ต้องอาศัยการยืนยันสิทธิของผู้ใช้ในระบบด้วย ช่องโหว่นี้มีระดับความรุนแรง CVSS 8.4
  • ช่องโหว่หมายเลข CVE-2020-0922 เป็นช่องโหว่ระดับวิกฤตประเภท RCE ใน Microsoft COM for Windows มีผลกระทบตั้งแต่ Windows 7 จนถึง Windows 10 และ Windows Server 2008 จนถึง 2019 การโจมตีทำได้โดยหลอกให้เหยื่อเปิดไฟล์หรือเข้าเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่ ช่องโหว่นี้มีระดับความรุนแรง CVSS 8.8
  • ช่องโหว่หมายเลข CVE-2020-0908 เป็นช่องโหว่ระดับวิกฤตประเภท RCE ใน Windows Text Service Module มีผลกระทบกับ Windows 10, Windows Server 2016 และ 2019 การโจมตีทำได้โดยหลอกให้เหยื่อเข้าเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่ ช่องโหว่นี้มีระดับความรุนแรง CVSS 7.5

เนื่องจากแพตช์ประจำเดือนมีจุดประสงค์เพื่อแก้ไขปัญหาช่องโหว่ด้านความมั่นคงปลอดภัย ผู้ดูแลระบบและผู้ใช้งานทั่วไปควรพิจารณาอัปเดตแพตช์ เพื่อลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น

วันที่: 2020-09-10 | ที่มา: Bleeping Computer, Microsoft | Share on Facebook Share on Twitter Share on Google+
พบการส่งอีเมลแอบอ้างเป็นสำนักงานตำรวจแห่งชาติ จุดประสงค์เพื่อแพร่กระจายมัลแวร์

ทีมนักวิจัยจากบริษัท Proofpoint ได้รายงานข้อมูลการโจมตีโดยผู้คุกคาม (threat actor) ที่ถูกเรียกว่า TA2719 โดยจากรายงานพบว่าตั้งแต่ช่วงเดือนมีนาคม 2563 เป็นต้นมา ผู้คุกคามดังกล่าวได้ลงมือปฏิบัติการโจมตีในหลายประเทศ รวมถึงประเทศไทยด้วย รูปแบบการโจมตีหลักๆ จะใช้วิธีส่งอีเมลแนบไฟล์มัลแวร์เพื่อเปิดช่องทางเข้ามาควบคุมเครื่องที่ตกเป็นเหยื่อในภายหลัง

กลุ่ม TA2719 นั้นมีรายงานการโจมตีมาก่อนหน้านี้แล้ว แต่ในช่วงเดือนมีนาคม - พฤษภาคม 2563 นั้นพบรายงานการโจมตีโดยกลุ่มดังกล่าวเพิ่มมากขึ้นอย่างมีนัยสำคัญ รวมถึงพบการใช้วิธีแอบอ้างหน่วยงานสำคัญระดับประเทศเพื่อส่งอีเมลหลอกลวงด้วย จากรายงานพบว่ากลุ่ม TA2719 ได้แอบอ้างสำนักงานตำรวจแห่งชาติของประเทศไทยเพื่อส่งอีเมลโจมตี อย่างไรก็ตาม เนื้อหาในอีเมลฉบับดังกล่าวนั้นยังพอดูออกได้ง่ายว่าไม่ได้ส่งมาจากหน่วยงานที่ถูกแอบอ้าง

แนวทางการโจมตีส่วนใหญ่จะเป็นการส่งอีเมลแนบไฟล์ .ISO หรือแนบลิงก์ให้ดาวน์โหลดไฟล์ .ISO ซึ่งสามารถถูกเปิดได้โดยใช้โปรแกรม extract ไฟล์ทั่วไป หากเหยื่อหลงเชื่อดาวน์โหลดไฟล์ดังกล่าวมาเปิด จะพบโปรแกรมมัลแวร์ประเภท Remote Access Trojan (RAT) เช่น NanoCore หรือ AsyncRAT หากเรียกใช้งานไฟล์ดังกล่าวจะเป็นการเปิดช่องทางให้ผู้คุกคามสามารถเชื่อมต่อเข้ามาควบคุมเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อได้ในภายหลัง

การติดตามสถานการณ์การโจมตีทางไซเบอร์ โดยเฉพาะอย่างยิ่งรูปแบบเทคนิคและวิธีการที่กลุ่มผู้โจมตีนำมาใช้งานนั้นสามารถช่วยให้หน่วยงานประเมินความเสี่ยงและวางแผนรับมือการโจมตีที่เป็นปัจจุบันได้ ผู้ที่เกี่ยวข้องควรติดตามและประเมินสถานการณ์อย่างสม่ำเสมอ รายละเอียดอื่น ๆ ที่เกี่ยวข้องกับการโจมตี เช่น ตัวอย่างข้อความในอีเมล ค่าแฮชของไฟล์มัลแวร์ และไอพีของเครื่องที่ใช้ควบคุมและสั่งการ สามารถดูเพิ่มเติมได้จากที่มา

วันที่: 2020-09-03 | ที่มา: Proofpoint | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบช่องในโหว่ปลั๊กอิน File Manager บน WordPress มีการโจมตีแล้ว ควรรีบอัปเดต

เมื่อวันที่ 1 กันยายน 2563 ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Wordfence ได้แจ้งเตือนช่องโหว่ระดับวิกฤตในปลั๊กอินของ WordPress ที่ชื่อว่า File Manager (https://wordpress.org/plugins/wp-file-manager/) ซึ่งเป็นปลั๊กอินที่ได้รับความนิยมสูง ถูกติดตั้งในเว็บไซต์กว่า 700,000 แห่ง ซึ่งในจำนวนดังกล่าวมีเว็บไซต์ในประเทศไทยรวมอยู่ด้วย ผลกระทบจากช่องโหว่อาจทำให้ผู้ไม่หวังดีแฮกเว็บไซต์ได้จากระยะไกล ผู้ดูแลระบบควรรีบตรวจสอบและอัปเดตเพื่อปิดช่องโหว่

ปลั๊กอิน File Manager ที่ได้รับผลกระทบคือเวอร์ชัน 6.0 ถึง 6.8 ตัวช่องโหว่เกิดจากข้อผิดพลาดในฟังก์ชันการอัปโหลดไฟล์ ส่งผลให้ผู้ไม่หวังดีสามารถอัปโหลดไฟล์อันตรายเข้าไปยังพาธ “wp-content/plugins/wp-file-manager/lib/files/” และเรียกใช้งานไฟล์ดังกล่าวได้ จากรายงานผู้ไม่หวังดีจะอัปโหลดไฟล์ประเภท web shell เข้าไปเพื่อใช้ควบคุมและยึดเครื่องเซิร์ฟเวอร์ ช่องโหว่นี้ถูกจัดให้อยู่ในประเภท remote code execution ระดับความรุนแรง CVSS เต็ม 10 คะแนน

เพื่อหลีกเลี่ยงและป้องกันความเสี่ยงที่อาจเกิดขึ้น ผู้ดูแลเว็บไซต์ควรพิจารณาอัปเดตปลั๊กอิน File Manager ให้เป็นเวอร์ชัน 6.9 โดยด่วน เนื่องจากมีรายงานการโจมตีโดยใช้ช่องโหว่ดังกล่าวแล้ว หากยังไม่สามารถอัปเดตปลั๊กอินดังกล่าวได้ควรปิดการทำงานของปลั๊กอินดังกล่าวเป็นการชั่วคราวจนกว่าจะแก้ไขแล้วเสร็จ

ทั้งนี้ ทาง Wordfence ได้เผยแพร่ข้อมูล Indicators of Compromise เพื่อใช้ตรวจสอบว่าระบบถูกโจมตีสำเร็จแล้วหรือไม่ โดยข้อมูลดังกล่าวประกอบด้วยตัวอย่างไฟล์ web shell ที่จะปรากฏในพาธ “wp-content/plugins/wp-file-manager/lib/files/” และไอพีของผู้ที่เข้ามาโจมตี โดยผู้ดูแลระบบควรตรวจสอบรายละเอียดในส่วนนี้ด้วย หากพบว่าระบบถูกโจมตีสำเร็จแล้วอาจพิจารณาติดตั้งระบบใหม่รวมถึงเปลี่ยนรหัสผ่านของบัญชีทั้งหมดที่เกี่ยวข้อง

วันที่: 2020-09-03 | ที่มา: Bleeping Computer, Wordfence | Share on Facebook Share on Twitter Share on Google+
Microsoft แจ้งเตือนการแพร่ระบาดของมัลแวร์ Anubis บน Android ขโมยข้อมูลทางการเงิน

เมื่อวันที่ 27 สิงหาคม 2563 ทีม Security Intelligence ของ Microsoft ได้แจ้งเตือนการแพร่ระบาดของมัลแวร์บน Android ที่ถูกตั้งชื่อว่า Anubis โดยมัลแวร์ดังกล่าวมีการซื้อขายในตลาดใต้ดินตั้งแต่ช่วงเดือนมิถุนายน 2563 อย่างไรก็ตาม มัลแวร์ Anubis ที่ทาง Microsoft แจ้งเตือนนี้เป็นสายพันธุ์ใหม่ ไม่เกี่ยวข้องกับมัลแวร์ Anubis ที่เคยมีการระบาดเมื่อก่อนหน้านี้ โดยมัลแวร์ Anubis ที่ถูกค้นพบใหม่นี้เป็นตัวที่พัฒนาต่อยอดมาจากมัลแวร์ Loki ซึ่งเป็นมัลแวร์ที่มีความสามารถในการขโมยข้อมูลทางการเงิน (หมายความว่าหลังจากนี้หากต้องการอ้างอิงถึงมัลแวร์ชื่อ Anubis ต้องระบุว่าเป็นสายพันธุ์เดิมหรือเป็นสายพันธุ์ Loki เพื่อไม่ให้สับสน) ทั้งนี้ ทาง Microsoft ยังไม่ได้แจ้งรายละเอียดช่องทางการโจมตีหรือการแพร่พระจายของมัลแวร์ดังกล่าว โดยเบื้องต้นมีเฉพาะข้อมูล IoC เช่น ค่าแฮช และชื่อที่ของมัลแวร์ที่ปรากฎใน Windows Defender

ที่่ผ่านมา ผู้ประสงค์ร้ายมักใช้วิธีแพร่กระจายมัลแวร์บน Android ผ่านการหลอกให้เหยื่อดาวน์โหลดไฟล์ APK จากแหล่งภายนอกมาติดตั้ง แต่ก็มีหลายครั้งที่พบมัลแวร์ปรากฎบน Google Play Store ด้วย (ตัวอย่าง https://www.thaicert.or.th/newsbite/2020-05-28-02.html) เพื่อเป็นการป้องกันและลดความเสี่ยง ผู้ใช้ควรพิจารณาการขอสิทธิ์และศึกษารีวิวที่เกี่ยวข้องกับแอปพลิเคชันใด ๆ ก่อนดาวน์โหลด

วันที่: 2020-09-02 | ที่มา: Security Week, Microsoft Security Intelligence | Share on Facebook Share on Twitter Share on Google+
CIS ออกข้อแนะนำในการกำหนดนโยบายรหัสผ่าน เน้นตั้งให้ยาว เปิดใช้ 2FA และเฝ้าระวังการโจมตี

Center for Internet Security หรือ (CIS) เป็นองค์กรที่กำหนดเกณฑ์เปรียบเทียบ (bechmark) ด้านความมั่นคงปลอดภัยของระบบไอที โดยเกณฑ์เหล่านี้ได้รับการยอมรับและถูกนำไปใช้อ้างอิงในหลายหน่วยงาน เมื่อเดือนกรกฎาคม 2563 ทาง CIS ได้เผยแพร่เอกสาร CIS Password Policy Guide เพื่อเป็นแนวทางให้หน่วยงานนำไปใช้เป็นเกณฑ์เปรียบเทียบในการกำหนดนโยบายรหัสผ่าน สาระสำคัญของแนวทางดังกล่าวจะเน้นการตั้งรหัสผ่านให้ยาว เปิดใช้การยืนยันตัวตนแบบหลายปัจจัย (multi-factor authentication หรือ MFA) และเฝ้าระวังการโจมตี

เหตุผลหลัก ๆ ของข้อแนะนำนี้เพื่อให้หน่วยงานสามารถกำหนดนโยบายรหัสผ่านที่สอดคล้องกับรูปแบบการโจมตีที่เกิดขึ้นจริง เนื่องจากการได้มาซึ่งรหัสผ่านนั้นไม่ได้มีแค่วิธีการเดา (guessing หรือ brute force) ที่เป็นการทดลองไล่สุ่มจนกว่าจะได้รหัสผ่านที่ถูกต้อง ซึ่งเป็นวิธีที่ใช้เวลานานและสามารถตรวจจับความผิดปกติได้ง่าย แต่ยังมีวิธีที่ได้ผลกว่าและซับซ้อนน้อยกว่าอย่างการทำวิศวกรรมสังคม (social engineering) เช่น หลอกให้ผู้ใช้กรอกรหัสผ่านในเว็บไซต์ฟิชชิ่ง หรือการใช้มัลแวร์ขโมยข้อมูล ซึ่งเป็นวิธีที่ผู้โจมตีสามารถได้รหัสผ่านที่ถูกต้องมาโดยไม่ต้องคาดเดา ดังนั้นแนวทางการกำหนดนโยบายรหัสผ่านจึงควรกำหนดให้รองรับการโจมตีในรูปแบบอื่นที่ไม่ใช่การเดารหัสผ่านด้วย อีกทั้งถึงแม้ข้อแนะนำด้านความมั่นคงปลอดภัยจะระบุว่าควรเปิดใช้งาน MFA แต่บางระบบก็อาจยังไม่รองรับ รวมถึงการใช้เครื่องมือบริหารจัดการรหัสผ่าน (password manager) ที่ถึงแม้ในปัจจุบันจะใช้งานได้สะดวกขึ้นแล้ว แต่ผู้ใช้จำนวนมากก็ยังคงใช้วิธีการกำหนดและจดจำรหัสผ่านด้วยตนเองอยู่ ดังนั้นในข้อแนะนำของ CIS จึงเขียนมาเพื่อให้ครอบคลุมแนวทางการกำหนดนโยบายรหัสผ่านทั้ง 3 รูปแบบ

ตัวอย่างข้อแนะนำในเอกสาร CIS Password Policy Guide

  • บัญชีที่เปิดใช้งาน MFA อนุญาตให้ตั้งรหัสผ่านได้ต่ำสุด 8 ตัวอักษร แต่ถ้าไม่เปิดใช้ MFA ควรกำหนดให้ตั้งรหัสผ่านที่มีความยาวไม่ต่ำกว่า 14 ตัวอักษร
  • ไม่บังคับให้ผู้ใช้ต้องเปลี่ยนรหัสผ่านบ่อย ๆ แต่ให้เปลี่ยนเฉพาะในกรณีที่จำเป็น เช่น พบว่าข้อมูลรั่วไหล หรือพบการล็อกอินที่ผิดปกติ อย่างไรก็ตาม ทาง CIS ได้แนะนำให้เปลี่ยนรหัสผ่านใหม่ทุก 1 ปี ด้วยเหตุผลว่าเป็นปราการด่านสุดท้าย (backstop) ในการรักษาความมั่นคงปลอดภัยของรหัสผ่าน
  • ในขั้นตอนการตั้งรหัสผ่าน ต้องตรวจสอบว่ารหัสผ่านที่ผู้ใช้ตั้งนั้นไม่ตรงกับรายการรหัสผ่านที่เคยรั่วไหลมาก่อนหน้านี้ และไม่ซ้ำกับรหัสผ่าน 5 ชุดล่าสุดที่ผู้ใช้เคยตั้งมาแล้วก่อนหน้านี้
  • ตั้งค่า session lock เมื่อไม่มีการใช้งานเกิน 15 นาทีหรือน้อยกว่า
  • ป้องกันการโจมตีแบบ brute force ด้วยการจำกัดจำนวนครั้งที่ล็อกอินผิด เช่น เมื่อล็อกอินผิดต่อเนื่องเกิน 5 ครั้งให้ระงับการใช้งานบัญชีนั้นชั่วคราว (อย่างน้อย 15 นาที) รวมถึงตั้งค่าให้มีการแจ้งเตือนผู้ดูแลระบบเมื่อมีการล็อกอินผิดพลาดเกินจำนวนครั้งที่กำหนด
  • หากบัญชีใดที่ไม่มีการล็อกอินเกิน 45 วันให้ระงับการใช้งานบัญชีนั้นโดยอัตโนมัติ
  • พัฒนาระบบให้รองรับการใช้งานร่วมกับโปรแกรมบริหารจัดการรหัสผ่าน รวมถึงอนุญาตให้ช่องกรอกรหัสผ่านนั้นสามารถ paste ข้อมูลได้

ทั้งนี้ หน่วยงานอาจกำหนดนโยบายรหัสผ่านที่แตกต่างไปจากข้อแนะนำของ CIS หรืออาจพิจารณาอ้างอิงจากข้อแนะนำอื่นได้ (เช่น NIST SP 800-63) โดยขึ้นอยู่กับความพร้อมและความเหมาะสมของระบบ รายละเอียดและแนวทางของการตั้งค่าในแต่ละรายการ ผู้ที่สนใจสามารถศึกษาเพิ่มเติมได้จากเอกสารฉบับเต็ม

วันที่: 2020-08-27 | ที่มา: CIS | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบมัลแวร์ FritzFrog โจมตีเซิร์ฟเวอร์ SSH ทั่วโลก จุดประสงค์เพื่อขุดเงินดิจิทัล

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Guardicore ได้รายงานการโจมตีโดยใช้มัลแวร์ที่มีชื่อว่า FritzFrog เป้าหมายการโจมตีคือเซิร์ฟเวอร์ที่เปิดให้เชื่อมต่อได้ผ่านบริการ SSH (secure shell) จุดประสงค์การโจมตีเพื่อใช้เป็นฐานขุดสกุลเงินดิจิทัล (cryptocurrency) จากรายงาน การโจมตีดังกล่าวเริ่มขึ้นตั้งแต่เดือนมกราคม 2563 เป้าหมายหลักของการโจมตีส่วนใหญ่เป็นหน่วยงานภาครัฐ สถาบันการศึกษา และสถาบันการเงิน

FritzFrog เป็นมัลแวร์ที่ถูกพัฒนาด้วยภาษา Golang พฤติกรรมการทำงานนั้นสามารถจัดให้เป็นได้ทั้งประเภท botnet และ worm กล่าวคือตัวมัลแวร์มีความสามารถในการเปลี่ยนเครื่องที่ตกเป็นเหยื่อให้กลายเป็นเครื่องที่ใช้เพื่อรับคำสั่งจากผู้ไม่หวังดี และตัวมัลแวร์สามารถแพร่กระจายตัวเองไปยังเครื่องอื่น ๆ ผ่านระบบเครือข่ายได้

ช่องทางการโจมตีของ FritzFrog จะเริ่มจากการ brute force เพื่อล็อกอินเข้าไปยังเซิร์ฟเวอร์ผ่านช่องทาง SSH หลังจากที่โจมตีสำเร็จแล้วจะเพิ่ม public key ของผู้โจมตีเข้าไปยัง authorized_keys บนเครื่องเป้าหมายเพื่อใช้เป็นช่องทางในการเชื่อมต่อเข้ามาในภายหลัง จากนั้นมัลแวร์จะรันคำสั่ง netcat เปิดพอร์ตหมายเลย 1234 เพื่อรอรับคำสั่งจากเครื่องสั่งการและควบคุม (command and control หรือ C2) โดยในขั้นตอนสุดท้ายจะติดตั้งเครื่องมือสำหรับขุดเงินดิจิทัลสกุล Monero พร้อมรันโปรแกรมที่มีการใช้งาน CPU ในระดับสูง จุดประสงค์เพื่อกลบเกลื่อนและทำให้สังเกตความผิดปกติได้ยาก

ในการติดต่อกับเครื่อง C2 นั้นตัวมัลแวร์จะใช้ใช้การเชื่อมต่อแบบ peer-to-peer (P2P) ซึ่งเป็นการเชื่อมต่อแบบไม่มีศูนย์กลางที่ชัดเจน จึงเป็นการยากที่จะตัดวงจรการเชื่อมต่อจากเครื่อง C2 ทั้งหมดได้ การรับส่งข้อมูลกับเครื่อง C2 ถูกเข้ารหัสลับ นอกจากนี้ตัวมัลแวร์ยังเน้นทำงานบนแรมโดยไม่มีการเขียนไฟล์ลงบนดิสก์ (fileless) รวมถึงรองรับการทำลายข้อมูลในแรมด้วย เพื่อให้การวิเคราะห์หาร่องรอยของมัลแวร์ในภายหลังนั้นทำได้ยาก

จากรายงานพบเครื่องเซิร์ฟเวอร์ที่ตกเป็นเหยื่อของมัลแวร์ FritzFrog นั้นมีอยู่ทั่วโลก รวมถึงประเทศไทยด้วย เพื่อหลีกเลี่ยงและป้องกันความเสี่ยงที่อาจเกิดขึ้น ผู้ดูแลระบบควรตั้งค่าการล็อกอินผ่าน SSH ให้มีความมั่นคงปลอดภัย เช่น ป้องกันการ brute force หรือใช้ key แทนการใช้รหัสผ่าน รวมถึงหมั่นตรวจสอบความผิดปกติของเซิร์ฟเวอร์อย่างสม่ำเสมอ ทั้งนี้ ทางทีม Guardicore ได้เผยแพร่ข้อมูล IoC ที่เกี่ยวข้อง และสคริปต์สำหรับตรวจจับมัลแวร์ FritzFrog โดยผู้ดูแลระบบสามารถตรวจสอบข้อมูลเพิ่มเติมได้ตามลิงก์ต่อไปนี้ https://github.com/guardicore/labs_campaigns/tree/master/FritzFrog

วันที่: 2020-08-21 | ที่มา: Guardicore, Bleeping Computer, The Hacker News | Share on Facebook Share on Twitter Share on Google+
Microsoft ออกแพตช์ประจำเดือนสิงหาคม 2563 แก้ไขช่องโหวที่ถูกใช้โจมตีแล้ว ควรรีบอัปเดต

เมื่อวันที่ 12 สิงหาคม 2563 บริษัท Microsoft ได้ปล่อยแพตช์ความมั่นคงปลอดภัยประจำเดือน โดยมีช่องโหว่ที่ถูกแก้ไขทั้งหมด 120 จุด เป็นช่องโหว่ระดับวิกฤต (Critical) จำนวน 17 จุด และช่องโหว่สำคัญ (Important) จำนวน 103 จุด ซึ่งในรอบนี้มีช่องโหว่จำนวน 2 จุดที่มีรายงานว่าถูกใช้โจมตีจริงแล้ว

ช่องโหว่ที่มีรายงานว่าถูกใช้โจมตีแล้วได้แก่ CVE-2020-1380 ซึ่งเป็นช่องโหว่ประเภท Remote Code Execute (RCE) ที่ส่งผลให้ผู้ไม่หวังดีสามารถส่งคำสั่งอันตรายมาประมวลผลในเครื่องเป้าหมายได้จากระยะไกล ช่องโหว่นี้มีผลกระทบกับ Internet Explorer 11 และช่องโหว่หมายเลข CVE-2020-1464 ซึ่งเป็นช่องโหว่ที่สามารถใช้ปลอมแปลงใบรับรองของไฟล์ executable ส่งผลให้สามารถรันโปรแกรมที่ไม่น่าเชื่อถือได้

เนื่องจากแพตช์ประจำเดือนมีจุดประสงค์เพื่อแก้ไขปัญหาช่องโหว่ด้านความมั่นคงปลอดภัย ผู้ดูแลระบบและผู้ใช้งานทั่วไปควรพิจารณาอัปเดตแพตช์โดยเร็วที่สุดเพื่อลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น

วันที่: 2020-08-13 | ที่มา: Bleeping Computer, Microsoft | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบช่องโหว่ร้ายแรงใน vBulletin อาจถูกแฮกยึดเซิร์ฟเวอร์ได้ มีการโจมตีแล้ว ควรรีบแพตช์

เมื่อเดือนกันยายน 2562 ทีมพัฒนา vBulletin ได้ออกแพตช์แก้ไขช่องโหว่รหัส CVE-2019-16759 ซึ่งเป็นข้อผิดพลาดใน PHP Module ที่ส่งผลให้ผู้ไม่หวังดีสามารถโจมตีแบบ remote code execution เพื่อแฮกยึดเซิร์ฟเวอร์ได้ โดยช่องโหว่ดังกล่าวมีระดับความรุนแรง CVSS 9.8 และมีรายงานการโจมตีเว็บไซต์ที่มีช่องโหว่ไปแล้วก่อนหน้านี้ (ข่าวเก่า: https://www.thaicert.or.th/newsbite/2019-09-26-01.html)

อย่างไรก็ตาม วันที่ 10 สิงหาคม 2563 นักวิจัยด้านความมั่นคงปลอดภัยได้ค้นพบช่องทางที่ยังสามารถโจมตีผ่านช่องโหว่นี้ได้ถึงแม้จะมีการติดตั้งแพตช์ไปแล้ว พร้อมกับได้เผยแพร่ตัวอย่างโค้ดสำหรับใช้โจมตีออกสู่สาธารณะด้วย จากเหตุการณ์ที่เกิดขึ้นทางทีมพัฒนา vBulletin ได้ออกแพตช์เร่งด่วนเพื่อแก้ไขปัญหาเฉพาะหน้าเป็นการชั่วคราว โดยแพตช์ดังกล่าวจะปิดการทำงานของ PHP Module พร้อมกันนี้ยังได้แนะนำให้ผู้พัฒนาเว็บไซต์อัปเดตมาใช้ vBulletin เวอร์ชัน 5.6.2 เพื่อลดความเสี่ยง

เนื่องจาก vBulletin เวอร์ชัน 5.6.4 ซึ่งเป็นเวอร์ชันที่ได้รับการแก้ไขปัญหาช่องโหว่นั้นยังอยู่ระหว่างการพัฒนา ระหว่างนี้ผู้ดูแลระบบที่ใช้งาน vBulletin เวอร์ชันที่มีความเสี่ยงควรติดตามข่าวสารจากผู้พัฒนา รวมถึงควรพิจารณาอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดหากเป็นไปได้ เนื่องจากช่องโหว่มีความรุนแรงสูงและมีรายงานการโจมตีแล้ว รายละเอียดที่เกี่ยวข้องกับช่องโหว่และแนวทางการลดความเสี่ยงสามารถศึกษาเพิ่มเติมได้จากที่มา

วันที่: 2020-08-11 | ที่มา: Bleeping Computer, Exploitee.rs | Share on Facebook Share on Twitter Share on Google+
Kaspersky เผยสถิติภัยคุกคามไซเบอร์ปี 2019 พบส่วนใหญ่โจมตีผ่านช่องโหว่ที่องค์กรไม่ยอมแพตช์

บริษัท Kaspersky ได้เผยแพร่รายงานบทวิเคราะห์การตอบสนองภัยคุกคามไซเบอร์ โดยเป็นข้อมูลสถิติที่รวบรวมจากเหตุการณ์ทั่วโลกตลอดปี 2562 เนื้อหาหลักของรายงานฉบับดังกล่าวแบ่งออกเป็น 5 ส่วน ประกอบด้วย ช่องทางการเข้ามาโจมตี เครื่องมือที่ใช้ในการรวบรวมข้อมูลและเคลื่อนย้ายไปยังระบบอื่น ๆ ในเครือข่าย ผลกระทบ กลุ่มเป้าหมายที่ตกเป็นเหยื่อ และภาพรวมการตอบสนองภัยคุกคาม

ช่องทางการเข้ามาโจมตี (initial attack vector) ที่พบมากที่สุดคือการโจมตีผ่านช่องโหว่ โดยคิดเป็น 37% รองลงมาคือการโจมตีผ่านอีเมล คิดเป็น 30% และต่อมาคือการโจมตีเพื่อเดารหัสผ่านแบบ brute force คิดเป็น 13% จากสถิติการโจมตีที่พบมากที่สุด 3 อันดับแรกนั้นองค์กรสามารถบริหารความเสี่ยงได้โดยการพยายามติดตั้งแพตช์อย่างสม่ำเสมอ สร้างความตระหนักเรื่องความมั่นคงปลอดภัยในการรับส่งอีเมลให้กับพนักงาน และจำกัดไม่ให้ระบบบริหารจัดการสามารถเข้าถึงได้จากอินเทอร์เน็ต

สถิติต่อมาคือเครื่องมือที่ผู้โจมตีใช้เพื่อรวบรวมข้อมูล เชื่อมต่อไปยังระบบอื่น หรือดำเนินการเพื่อให้บรรลุวัตถุประสงค์ โดยรูปแบบการโจมตีที่พบมากที่สุดในขั้นตอนนี้คือการใช้ PowerShell พบที่ 25% รองลงมาคือการใช้ PsExec พบที่ 22% แนวทางการรับมือการโจมตีในลักษณะนี้คือการตั้งค่าเฝ้าระวังและแจ้งเตือนการรันสคริปต์หรือรันโพรเซสที่อาจเป็นอันตราย

รูปแบบผลกระทบที่พบมากที่สุดคือการแพร่กระจายมัลแวร์เรียกค่าไถ่ โดยพบที่ 34% รองลงมาคือการแพร่กระจายมัลแวร์ประเภทอื่น ๆ พบที่ 21% ตามด้วยการขโมยเงินและการขโมยข้อมูล ที่ 9% และ 8% ตามลำดับ สำหรับแนวทางการป้องกันการตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่นั้นทำได้โดยการปรับปรุงกระบวนการทำงานเพื่อเตรียมพร้อมรับมือหากเกิดสถานการณ์การโจมจากมัลแวร์เรียกค่าไถ่ รวมถึงควรสำรองข้อมูลอย่างสม่ำเสมอและแยกส่วนระบบที่ใช้ทำงานทั่วไปกับระบบที่มีความสำคัญสูงออกจากกัน

ประเภทของธุรกิจหรือบริการที่ตกเป็นเป้าของการโจมตีทางไซเบอร์มากที่สุด 3 อันดับแรกคือกลุ่มอุตสาหกรรม (เช่น น้ำมัน เคมี และอื่น ๆ ) โดยมี 29% รองลงมาคือสถาบันการเงิน พบที่ 16% และตามด้วยหน่วยงานภาครัฐ พบที่ 15% การศึกษาข้อมูลของกลุ่มผู้โจมตีรวมถึงรูปแบบและเทคนิคการโจมตีที่พบในแต่ละภาคส่วนนั้นจะช่วยให้สามารถวางแผนรับมือหรือเฝ้าระวังการโจมตีได้อย่างมีประสิทธิภาพ

ผู้ประสงค์ร้ายใช้เวลาในการโจมตีโดยส่วนใหญ่ไม่เกินหนึ่งสัปดาห์ แต่การแก้ไขปัญหาจะใช้เวลานานหลายสัปดาห์หรืออาจเป็นเดือน รูปแบบความผิดปกติที่ส่งผลให้สามารถตรวจจับการโจมตีได้นั้นส่วนใหญ่เป็นการตรวจพบไฟล์ที่น่าสงสัย พบที่ 32% รองลงมาคือข้อมูลถูกเข้ารหัสลับ พบที่ 27% และตามด้วยพบพฤติกรรมผิดปกติจากเครื่องคอมพิวเตอร์ พบที่ 13%

สรุปภาพรวมจากรายงาน แนวทางในการป้องกันและลดผลกระทบจากการโจมตีทางไซเบอร์ ผู้ดูแลระบบควรพิจารณาแก้ไขช่องโหว่อย่างสม่ำเสมอ ควรศึกษาเครื่องมือและเทคนิคการโจมตีที่ผู้ไม่หวังดีใช้ รวมถึงพิจารณาปรับปรุงนโยบายหรือแนวทางในการป้องกันและรับมือภัยคุกคามที่อาจเกิดขึ้น สำหรับรายละเอียดและข้อมูลอื่น ๆ ผู้ที่สนใจสามารถศึกษาเพิ่มเติมได้จากรายงานฉบับเต็ม (https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2020/08/06094905/Kaspersky_Incident-Response-Analyst_2020.pdf)

วันที่: 2020-08-10 | ที่มา: Kaspersky | Share on Facebook Share on Twitter Share on Google+
Clear