Clear
Lead Graphic Papers

ข่าวสั้น

รวมข้อมูลการโจมตีทางไซเบอร์ที่เกี่ยวข้องกับไวรัสโคโรน่า #COVID19

ปรับปรุงล่าสุด 24 มีนาคม 2563

ตั้งแต่ช่วงต้นปี 2563 ได้เริ่มมีการแพร่ระบาดของไวรัสโคโรน่า หรือ COVID-19 ไปทั่วโลก ซึ่งผู้ประสงค์ร้ายในโลกไซเบอร์เองก็ไม่พลาดโอกาสที่จะใช้จังหวะนี้ในการโจมตีหรือการล่อลวงต่างๆ ไม่ว่าจะเป็นการแพร่กระจายมัลแวร์หรือหลอกขโมยข้อมูล ไทยเซิร์ตได้รวบรวมข้อมูลที่มีการเปิดเผยในแหล่งต่างๆ และข้อมูลที่มีการแลกเปลี่ยนผ่านเครือข่าย จุดประสงค์เพื่อติดตามสถานการณ์และแจ้งเตือนการเฝ้าระวัง โดยสามารถสรุปข้อมูลเหตุการณ์สำคัญได้ดังนี้

ฟิชชิ่งและการแพร่กระจายมัลแวร์

  • พบการจดโดเมนของเว็บไซต์ที่ชื่อโดเมนเกี่ยวข้องกับไวรัสโคโรน่าหรือ COVID-19 โดยโดเมนจำนวนมากถูกใช้เพื่อแพร่มัลแวร์หรือส่งอีเมลฟิชชิ่ง (อ้างอิง https://www.recordedfuture.com/coronavirus-panic-exploit/)
  • พบการส่งอีเมลโดยอ้างว่าเป็นประกาศที่เกี่ยวข้องกับไวรัสโคโรน่า โดยในอีเมลแนบไฟล์มัลแวร์หลอกให้ติดตั้ง พบผู้ใช้ในไทยตกเป็นเป้าหมายของการโจมตีด้วย (อ้างอิง https://www.thaicert.or.th/newsbite/2020-03-06-01.html)
  • เพื่อให้การโจมตีแนบเนียนขึ้น ผู้ประสงค์ร้ายอาจใช้ข้อความจากข่าวจริงหรือประกาศของจริงมาใส่เป็นเนื้อหาในอีเมล (อ้างอิง https://www.bleepingcomputer.com/news/security/trickbot-emotet-malware-use-coronavirus-news-to-evade-detection/)
  • พบการแพร่กระจายมัลแวร์เรียกค่าไถ่โจมตีผู้ใช้ Android โดยเป็นมัลแวร์สายพันธุ์ CovidLock โดยเป็นการหลอกให้ติดตั้งแอปพลิเคชันนอก Play Store ที่อ้างว่าสามารถติดตามแล้วแจ้งเตือนตำแหน่งของผู้ติดไวรัสโคโรน่าได้ (อ้างอิง https://www.bankinfosecurity.com/fighting-coronavirus-themed-ransomware-malware-a-13966)
  • พบการใช้บ็อทเพื่อโพสต์สแปมคอมเมนต์ในโซเชียลมีเดียต่างๆ เพื่อหลอกให้คลิกลิงก์ไปยังเว็บไซต์ที่อ้างว่ามียารักษาไวรัสได้ แต่จุดประสงค์จริงๆ แล้วเป็นการทำ SEO (https://www.imperva.com/blog/concern-over-coronavirus-leading-to-global-spread-of-fake-pharmacy-spam/)
  • พบการสร้างเว็บไซต์แผนที่แสดงการติดไวรัสโคโคน่า แต่แท้จริงแล้วหลอกให้ดาวน์โหลดมัลแวร์มาติดตั้ง (https://cyberdefense.orange.com/wp-content/uploads/sites/9/2020/03/whitepaper-threat-of-cyberattacks-on-healthcare-and-covid-19.pdf)
  • พบการแพร่กระจายมัลแวร์ประเภทบ็อทเน็ตโดยอาศัยชื่อโปรแกรมว่า Corona Antivirus (https://blog.malwarebytes.com/threat-analysis/2020/03/fake-corona-antivirus-distributes-blacknet-remote-administration-tool/)
  • พบการเจาะระบบเราเตอร์ตามบ้านเพื่อแก้ไขการตั้งค่า DNS ให้พาไปยังเว็บไซต์ปลอมที่อ้างชื่อไวรัสโคโรน่าและองค์การอนามัยโลก จุดประสงค์เพื่อหลอกให้ติดตั้งมัลแวร์ (https://www.thaicert.or.th/newsbite/2020-03-24-02.html)

การโจมตีทางไซเบอร์

  • โรงพยาบาล Brno University ในสาธารณรัฐเช็ก ซึ่งกำลังวิจัยวัคซีนป้องกัน COVID-19 ถูกโจมตีทางไซเบอร์จนไม่สามารถให้บริการต่อได้ ต้องย้ายผู้ป่วยไปรักษาที่โรงพยาบาลอื่นเป็นการชั่วคราว (อ้างอิง https://www.zdnet.com/article/czech-hospital-hit-by-cyber-attack-while-in-the-midst-of-a-covid-19-outbreak/)
  • โรงพยาบาลในรัฐอิลลินอยส์ ประเทศสหรัฐฯ ซึ่งอยู่ระหว่างการดูแลรักษาผู้ป่วยติดเชื้อ COVID-19 ได้ประกาศว่าระบบติดมัลแวร์เรียกค่าไถ่ โดยสามารถกู้ระบบกลับคืนมาได้ในเวลาไม่นาน (อ้างอิง https://www.databreachtoday.com/covid-19-complication-ransomware-keeps-hitting-healthcare-a-13941)
  • กลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐหรือประเทศ (state-sponsored attack) ได้อาศัยข่าวหรือเหตุการณ์ที่เกี่ยวข้องกับไวรัส COVID-19 ในการโจมตี โดยส่วนใหญ่เป็นการส่งอีเมลเพื่อแพร่กระจายมัลแวร์ (https://www.zdnet.com/article/state-sponsored-hackers-are-now-using-coronavirus-lures-to-infect-their-targets/)
  • อาชญากรอาศัยช่วงที่ประชาชนไม่กล้าออกนอกบ้านเพื่อไปรับประทานอาหาร ข่มขู่โจมตี DDOS เว็บไซต์บริการรับส่งอาหารแบบเดลิเวอรี่ในเยอรมันถู เรียกค่าไถ่เป็นเงินบิตคอยน์ (https://www.bleepingcomputer.com/news/security/food-delivery-service-in-germany-under-ddos-attack/)

ข้อมูลอื่นๆ ที่อาจเป็นประโยชน์สำหรับการเฝ้าระวังและวิเคราะห์การโจมตีทางไซเบอร์

  • APKLab เปิดข้อมูล IOC ของมัลแวร์ใน Android รวมถึงรายการโดเมนอันตรายที่อ้างชื่อไวรัส COVID-19 ซึ่งนักวิจัยสามารถใช้เป็นแหล่งอ้างอิงและปรับปรุงระบบป้องกันได้ (ดูได้ที่ https://www.apklab.io/covid19)
  • Any.Run เว็บไซต์วิเคราะห์มัลแวร์แบบ online sandbox ได้เปิดแท็ก covid19 ขึ้นมาเพื่อใช้จัดแบ่งหมวดหมู่มัลแวร์ที่เกี่ยวข้องกับเรื่องนี้โดยเฉพาะ (ดูได้ที่ https://app.any.run/submissions/#tag:covid19)
  • นักวิจัยที่ใช้ชื่อบัญชีในทวิตเตอร์ว่า @dustyfresh ได้ติดตามการจดชื่อโดเมนที่เกี่ยวข้องกับไวรัสโคโรน่าหรือ COVID-19 แล้วสร้าง feed เพื่ออัปเดตข้อมูลเป็นระยะ (https://1984.sh/covid19-domains-feed.txt)

ข้อแนะนำเพื่อป้องกันไม่ให้ตกเป็นเหยื่อ

วันที่: 2020-03-19 | ที่มา: - | Share on Facebook Share on Twitter Share on Google+

Clear