Clear
Lead Graphic Papers

ข่าวสั้น

ความมั่นคงปลอดภัยไซเบอร์กับหน่วยงานภาคสาธารณสุข

จากเหตุการณ์ข้อมูลรั่วไหลหลายครั้งที่เกิดกับตัวองค์กรสาธารณสุข และ vendor ที่หน่วยงานจ้าง ในช่วงที่ผ่านมา เช่น หน่วยงาน Legacy Health ถูกโจมตีด้วยฟิชชิง ส่งผลให้ข้อมูลผู้ป่วย 38,000 รายการรั่วไหล (https://www.healthcareitnews.com/news/phishing-attack-breaches-38000-patient-records-legacy-health) แสดงให้เห็นถึงความสนใจของผู้ประสงค์ร้ายที่มีต่อข้อมูลส่วนบุคคลของหน่วยงานในภาคส่วนนี้ มีการนำข้อมูลไปขายใน Dark Web ซึ่งเป็นเว็บไซต์รูปแบบนึงที่มีลักษณะซ่อนตัวจากการค้นหาทั่วไป โดยตัวอย่างข้อมูลที่ขาย เช่น ข้อมูล 1 เซ็ตของบุคคล 1 คนประกอบด้วยชื่อ วันเกิด หมายเลขบัตรประชาชน ข้อมูลทางการแพทย์ ถูกขายในราคาสูงถึง 50 ดอลล่าร์หรือประมาณ 1500 บาท มีราคามากกว่าข้อมูลบัตรเครดิตซึ่งถูกขายในราคา 1-3 ดอลล่าร์ หรือ 50-150 บาท ผู้ประสงค์ร้ายที่ซื้อข้อมูลอาจนำไปใช้ในการสวมรอย หรือหลอกลวงผู้อื่น

ด้วยความที่เป้าหมายหลักของหน่วยงานภาคสาธารณสุขคือการรักษาคน อาจส่งผลให้หน่วยงานไม่ได้ให้ความสนใจด้านความมั่นคงปลอดภัยในระบบไอทีมากนัก ไม่ได้มีการอัปเดตระบบ จึงเป็นสาเหตุให้ถูกโจมตีจากบุคคลภายนอก สาเหตุอีกส่วนมาจากการกระทำของพนักงานภายใน จากรายงาน 2018 Verizon Protected Health Information Data Breach (http://www.verizonenterprise.com/resources/protected_health_information_data_breach_report_en_xg.pdf) ซึ่งสำรวจ 27 ประเทศ (ข้อมูลสามในสี่เป็นของหน่วยงานในสหรัฐฯ) พบว่าสาเหตุหลักส่วนหนึ่งของข้อมูลรั่วไหลเกิดจากการกระทำที่ตั้งใจจากพนักงานภายในซึ่งอาจเป็นเพราะจุดประสงค์ต่าง ๆ ตั้งแต่ความสะดวกส่วนตัว จนถึงจุดประสงค์ทางการเงิน หรือเพื่อแก้แค้น โดย 66% เป็นการเข้าถึงข้อมูลโดยที่ไม่ควรมีสิทธิเข้าถึง (privilege abuse)

ดังนั้น หน่วยงานภาคสาธารณสุขอาจพิจารณามาตรการด้านความมั่นคงปลอดภัย ได้แก่

  1. การสร้างความตระหนักรู้ให้กับเจ้าหน้าที่
  2. การเข้ารหัสลับข้อมูลข้อมูลสำคัญ
  3. การใช้งานการยืนยันตัวตนแบบหลายขั้นตอนในระบบสำคัญ
  4. บังคับใช้นโยบายการให้สิทธิเท่าที่่จำเป็น

ด้วยการโจมตีด้านไซเบอร์ที่เพิ่มขึ้นต่อภาคสาธารณสุขในประเทศสหรัฐฯ จึงมีมาตรการทางกฎหมายเข้ามากำกับ เช่น Health Insurance Portability and Accountability Act (HIPAA) หรือ the Health Information Technology for Economic and Clinical Health (HITECH) Act ถือเป็นเพียงมาตรการขั้นต่ำที่หน่วยงานต้องทำตาม ซึ่งหน่วยงานจำเป็นต้องเสริมสร้างศักภาพอย่างต่อเนื่องเพื่อรับมือภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็ว

วันที่: 2018-09-18 | ที่มา: Securityweek | Share on Facebook Share on Twitter Share on Google+
บทบาทของทีมรับมือภัยคุกคามกับมาตรฐานด้านความมั่นคงปลอดภัยของ ICS

ICS หรือ Industrial Control System เป็นระบบที่ใช้ควบคุมเครื่องจักรในอุตสาหกรรมต่าง ๆ ซึ่งระบบเหล่านี้ที่ถูกใช้งานในปัจจุบันอาจจะเก่าและไม่ได้ถูกออกแบบโดยคำนึงถึงความมั่นคงปลอดภัย เช่น ทำการอัปเดตได้ยาก ไม่มีระบบจัดการอุปกรณ์ (asset management) หรือการเฝ้าระวังภัยคุกคาม เป็นอุปสรรคที่ท้าทายในการจะทำให้หน่วยงานปฏิบัติตามมาตรฐานหรือข้อบังคับด้านความมั่นคงปลอดภัย อย่างไรก็ตามทีมที่มีหน้าที่รับมือภัยคุกคามอาจพิจารณา 5 หัวข้อเป็นแนวทาง โดยมีรายละเอียดดังนี้

  1. Asset Management ทำการระบุจัดแยกประเภท ระบบ ICS รวมถึงข้อมูลที่ระบบจัดเก็บ
  2. Identify and access management ในการเข้าถึงระบบ ต้องมีการยืนยันตัวตน จำกัดและควบคุมสิทธิ
  3. Risk assessment, Vulnerability management, and change management มีการประเมินความเสี่ยง ตรวจสอบหาช่องโหว่ของระบบ รวมถึงจัดการและบันทึกการแก้ไขค่าต่างๆ รวมถึงการอัปเดตของระบบ
  4. Security controls ควบคุมเพิ่มความมั่นคงปลอดภัย เช่น แยกเครือข่าย ICS ออกจากเครือข่ายที่ใช้งานทั่วไป เข้ารหัสลับข้อมูล มีการเฝ้าระวังและบันทึกทราฟิค
  5. Physical security เนื่องจากอุปกรณ์ ICS มักมีข้อจำกัดเรื่องความสามารถด้านความมั่นคงปลอดภัย จึงจำเป็นต้องจำกัดการเข้าถึงอุปกรณ์ทางภาพอย่างเข้มงวด

ทีมที่รับมือคุกคามมีบทบาทสำคัญในการทำให้องค์กรปฏิบัติตามมาตรฐานด้านความมั่นคงปลอดภัย ไม่ว่าจะเป็น การเฝ้าระวังเพื่อตรวจจับภัยคุกคามให้เร็วที่สุด การวิเคราะห์ตรวจสอบภัยคุกคามที่พบ เช่น สาเหตุ ความเสียหาย แนวทางแก้ไข นอกจากนี้ยังรวมถึงการทำเอกสารขั้นตอนการรับมือ ดังนั้นหน่วยงานจึงควรให้ความสำคัญในการสร้างทีมรับมือภัยคุกคาม ซึ่งส่วนใหญ่มักจะเป็นเจ้าหน้าที่ปฏิบัติการที่ดูแลระบบ ICS

สำหรับผู้ที่สนใจสามารถศึกษาแนวทางด้านความมั่นคงปลอดภัยสำหรับ ICS ได้จากเอกสาร Recommended Practice: Creating Cyber Forensics Plan for Control Systems (https://ics-cert.us-cert.gov/sites/default/files/recommended_practices/Forensics_RP.pdf) ,Recommended Practice: Developing an Industrial Control Systems Cybersecurity Incident Response Capability (https://ics-cert.us-cert.gov/sites/default/files/recommended_practices/final-RP_ics_cybersecurity_incident_response_100609.pdf) รวมถึงตามข้อมูลจากเว็บไซต์ของ National Cybersecurity and Communications Integration Center (NCCIC) Industrial Control Systems (https://ics-cert.us-cert.gov)ซึ่งเป็นหน่วยงานที่ส่งเสริมความมั่นคงปลอดภัยของ ICS ของประเทศสหรัฐฯ

วันที่: 2018-09-10 | ที่มา: DarkReading | Share on Facebook Share on Twitter Share on Google+
ว่าด้วยความจำเป็นในการบังคับให้เปิดเผยรหัสผ่านเพื่อสืบสวนคดี

ในวันที่ 31 สิงหาคม 2561 ผู้ต้องหาคดีฆาตกรรมถูกสั่งจำคุก 14 เดือน เนื่องจากไม่ยอมเปิดเผยรหัสผ่านบัญชี Facebook ให้กับเจ้าหน้าที่สืบสวนคดีฆาตกรรมเด็กผู้หญิงอายุวัย 13 ปี การตัดสินดังกล่าวเป็นไปตามกฎหมาย RIPA (Regulation of Investigation Powers Act 2000) ของประเทศสหราชอาณาจักร

RIPA เป็นหนึ่งใน 2 กฎหมายของประเทศสหราชอาณาจักรที่มอบอำนาจให้เจ้าหน้าที่สามารถบังครับให้เปิดเผยกุญแจเข้ารหัสลับหรือข้อมูลสำหรับถอดรหัสลับข้อมูล ซึ่งหากไม่ปฏิบัติตามอาจจะถูกลงโทษด้วยการจำคุกสูงสุด 2 ปีหรือ 5 ปีในกรณีที่เป็นคดีที่เกี่ยวข้องกับความมั่นคงของชาติหรือการอนาจารเด็ก อีกกฎหมายเป็น Terrorism Act 2000 ซึ่งบังคับใช้กับนาย Muhammad Rabbani เพื่อเข้าถึงข้อมูลในอุปกรณ์ ซึ่งคาดว่ามีข้อมูลเกี่ยวข้องกับเหตุกาณ์ทรมานของชายคนหนึ่งระหว่างถูกกักคุมตัวในประเทศสหรัฐฯ

สำหรับประเทศสหรัฐ ไม่ได้มีกฎหมายที่ให้อำนาจโดยตรงเหมือนสหราชอาณาจักร แต่ขึ้นอยู่กับดุลพินิจของผู้พิพากษา เช่น ในกรณีที่ตัดสินสั่งจำคุกอดีตตำรวจอย่างไม่มีกำหนดจนกว่าจะให้สิทธิเข้าถึงข้อมูลในฮาร์ดดิสก์เนื่องจากถูกกล่าวหาเก็บรูปภาพอนาจารเด็กไว้ หรืออีกกรณีที่ศาลยกฟ้องกรณีที่บังคับให้จำเลยปลดล็อกไอโฟนเนื่องจากข้ดต่อหลักกฎหมายด้านสิทธิที่ชื่อ Fifth Amendment

ในบางกรณีที่สืบสวนคดีที่มีผลกระทบสูง ก็อาจจำเป็นต้องเข้าถึงข้อมูลของผู้ต้องหาเพื่อค้นหาความจริงและยืนยันการกระทำผิด ในประเทศสหรัฐฯ และสหราชอาณาจักรมีกรณีที่ใช้กฎหมายเพื่อสนับสนุนเจ้าหน้าที่ในส่วนนี้ โดยเฉพาะคดีที่เกี่ยวข้องกับการอนาจารเด็ก ในขณะเดียวกันในบางกรณีก็อาจมองเป็นเรื่องของการละเมิดสิทธิเสรีภาพ แต่ละประเทศจึงอาจจำเป็นต้องหาจุดสมดุลหรือแนวทางที่สังคมของประเทศยอมรับได้

วันที่: 2018-09-07 | ที่มา: Nakedsecurity | Share on Facebook Share on Twitter Share on Google+
พบการโจมตีครั้งใหม่จากกลุ่ม Cobalt มุ่งเป้าธนาคารในรัสเซียและโรมาเนีย

ในเดือนสิงหาคม นักวิจัยได้ค้นพบการโจมตีอีกครั้งจากกลุ่มแฮกเกอร์ที่ชื่อ Cobalt โดยมุ่งเป้าโจมตีธนาคารในประเทศรัสเซียและโรมาเนีย โดยใช้รูปแบบการส่งอีเมลไปยังเป้าหมายเพื่อเผยแพร่มัลแวร์

กลุ่มแฮกเกอร์ดังกล่าวเริ่มปฏิบัติการตั้งแต่ปี 2559 โดยมุ่งเป้าไปที่หน่วยงานภาคการเงิน จากข้อมูลของ Europol พบว่ามีความเกี่ยวข้องกับการโจมตีกับธนาคารอย่างน้อย 100 แห่งและขโมยเงินประมาณ 1 พันล้านยูโรหรือ 40,000 ล้านบาท

สำหรับการโจมตีในเดือนสิงหาคมที่พบเป็นรูปแบบ Spear Phishing (https://www.thaicert.or.th/papers/general/2012/pa2012ge007.html) แฮกเกอร์ได้เลือกเหยื่อไว้ล่วงหน้าซึ่งเป็นเจ้าหน้าที่ธนาคารเพื่อส่งอีเมลหลอกลวง ในอีเมลมี 2 ลิงก์ คือลิงก์สำหรับดาวน์โหลดไฟล์เอกสารนามสกุล doc ซึ่งมีสคริปต์ VBA ที่ผู้ประสงค์ร้ายฝังไว้ เมื่อเปิดไฟล์ด้วย Microsoft Word จะปรากฎข้อความถามเพื่อเปิดใช้งาน macro หากเหยื่อตกลง ก็จะทำให้สคริปต์ดังกล่าวทำงานและดาวน์โหลดมัลแวร์มายังเครื่อง ส่วนลิงก์ที่โหลดสำหรับดาวน์โหลดไฟล์ที่ดูเหมือนเป็นไฟล์รูปภาพ มีนามสกุลเป็น jpg แต่ที่จริงแล้วเป็นไฟล์โปรแกรมซึ่งหากเปิดไฟล์ก็จะทำให้ติดมัลแวร์เช่นกัน

มัลแวร์ที่แอบอยู่ในเครื่องจะรับคำสั่งและส่งข้อมูลไปให้แฮกเกอร์ เรียนรู้สภาพแวดล้อมของระบบต่าง ๆ และเครือข่ายขององค์กร เพื่อหาช่องทางในการเจาะระบบสำคัญหรือบัญชีที่มีสิทธิระดับสูง เพื่อดำเนินการขโมยเงินผ่านระบบ SWIFT หรือ ATM ต่อไป

รูปแบบการเผยแพร่มัลแวร์ด้วยสคริปต์ที่ฝังอยู่ใน microsoft word เป็นหนึ่งในการรูปแบบการโจมตีที่ค่อนข้างพบ ในระดับองค์กรอาจพิจารณาควบคุมไม่ให้พนักงานเปิดใช้งาน macro หากไม่ได้มีการใช้งาน ผู้ที่สนใจสามารถศึกษารายละเอียดการโจมตีรวมถึงข้อมูลที่ใช้การตรวจจับการโจมตี (IoC) ในครั้งนี้ได้จากที่มา

วันที่: 2018-09-04 | ที่มา: Bleeping Computer , Arbor | Share on Facebook Share on Twitter Share on Google+
พบการโจมตีครั้งใหม่จากกลุ่ม Cobalt มุ่งเป้าธนาคารในรัสเซียและโรมาเนีย

ในเดือนสิงหาคม นักวิจัยได้ค้นพบการโจมตีอีกครั้งจากกลุ่มแฮกเกอร์ที่ชื่อ Cobalt โดยมุ่งเป้าโจมตีธนาคารในประเทศรัสเซียและโรมาเนีย โดยใช้รูปแบบการส่งอีเมลไปยังเป้าหมายเพื่อเผยแพร่มัลแวร์

กลุ่มแฮกเกอร์ดังกล่าวเริ่มปฏิบัติการตั้งแต่ปี 2559 โดยมุ่งเป้าไปที่หน่วยงานภาคการเงิน จากข้อมูลของ Europol พบว่ามีความเกี่ยวข้องกับการโจมตีกับธนาคารอย่างน้อย 100 แห่งและขโมยเงินประมาณ 1 พันล้านยูโรหรือ 40,000 ล้านบาท

สำหรับการโจมตีในเดือนสิงหาคมที่พบเป็นรูปแบบ Spear Phishing (https://www.thaicert.or.th/papers/general/2012/pa2012ge007.html) แฮกเกอร์ได้เลือกเหยื่อไว้ล่วงหน้าซึ่งเป็นเจ้าหน้าที่ธนาคารเพื่อส่งอีเมลหลอกลวง ในอีเมลมี 2 ลิงก์ คือลิงก์สำหรับดาวน์โหลดไฟล์เอกสารนามสกุล doc ซึ่งมีสคริปต์ VBA ที่ผู้ประสงค์ร้ายฝังไว้ เมื่อเปิดไฟล์ด้วย Microsoft Word จะปรากฎข้อความถามเพื่อเปิดใช้งาน macro หากเหยื่อตกลง ก็จะทำให้สคริปต์ดังกล่าวทำงานและดาวน์โหลดมัลแวร์มายังเครื่อง ส่วนลิงก์ที่โหลดสำหรับดาวน์โหลดไฟล์ที่ดูเหมือนเป็นไฟล์รูปภาพ มีนามสกุลเป็น jpg แต่ที่จริงแล้วเป็นไฟล์โปรแกรมซึ่งหากเปิดไฟล์ก็จะทำให้ติดมัลแวร์เช่นกัน

มัลแวร์ที่แอบอยู่ในเครื่องจะรับคำสั่งและส่งข้อมูลไปให้แฮกเกอร์ เรียนรู้สภาพแวดล้อมของระบบต่าง ๆ และเครือข่ายขององค์กร เพื่อหาช่องทางในการเจาะระบบสำคัญหรือบัญชีที่มีสิทธิระดับสูง เพื่อดำเนินการขโมยเงินผ่านระบบ SWIFT หรือ ATM ต่อไป

รูปแบบการเผยแพร่มัลแวร์ด้วยสคริปต์ที่ฝังอยู่ใน microsoft word เป็นหนึ่งในการรูปแบบการโจมตีที่ค่อนข้างพบ ในระดับองค์กรอาจพิจารณาควบคุมไม่ให้พนักงานเปิดใช้งาน macro หากไม่ได้มีการใช้งาน ผู้ที่สนใจสามารถศึกษารายละเอียดการโจมตีรวมถึงข้อมูลที่ใช้การตรวจจับการโจมตี (IoC) ในครั้งนี้ได้จากที่มา

วันที่: 2018-08-31 | ที่มา: Bleeping Computer, Arbor | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือนช่องโหว่ร้ายแรงใน Apache Struts 2 อาจถูกยึดเครื่องได้ มีโค้ดสาธิตการโจมตีแล้ว

เมื่อวันที่ 22 สิงหาคม 2561 US-CERT ได้แจ้งเตือนช่องโหว่ใน Apache Struts 2 ( https://struts.apache.org) ซึ่งเป็นช่องโหว่ประเภท Remote Code Execution ส่งผลให้ผู้ประสงค์ร้ายสามารถเข้าควบคุมเครื่องจากระยะไกล ช่องโหว่นี้มีผลกระทบกับ Apache Struts 2 ตั้งแต่เวอร์ชัน 2.3 - 2.3.34 หรือ 2.5 - 2.5.16 และได้มีการเผยแพร่โค้ดสาธิตการโจมตีแล้ว ผู้ดูแลเว็บไซต์ที่มีการใช้งาน Apache Struts 2 ควรตรวจสอบและอัปเดตแก้ไขช่องโหว่ทันที โดยสามารถศึกษาข้อมูลเพิ่มเติมได้จากเว็บไซต์ของ Apache (https://cwiki.apache.org/confluence/display/WW/S2-057)

วันที่: 2018-08-24 | ที่มา: US-CERT | Share on Facebook Share on Twitter Share on Google+
เอฟบีไอ ออกโรงเตือนอาชญากรไซเบอร์ หลอกขโมยรหัสผ่านเข้าระบบ HR เพื่อเปลี่ยนบัญชีธนาคารรับเงินเดือน

เอฟบีไอได้แจ้งเตือนการเพิ่มขึ้นของอาชญากรทางอินเทอร์เน็ตเพื่อเข้าถึงข้อมูลเงินเดือนของพนักงานบริษัท ในปี 2560 พบเหยื่อ 17 ราย แต่ในเดือนกรกฎาคม 2561 ที่ผ่านมา ได้พบเหยื่อ 47 ราย ถูกหลอกโอนเงิน มีมูลค่าความเสียหายรวมประมาณ 1 ล้านเหรียญสหรัฐหรือ 33 ล้านบาท และหน่วยงานต่าง ๆ มีโอกาสที่จะได้รับผลกระทบนี้ ไม่จำกัดเฉพาะกลุ่มของ มหาวิทยาลัย โรงเรียน ระบบการดูแลสุขภาพ และการขนส่งทางอากาศ

โดยเอฟบีไอได้ตั้งข้อสังเกตพบว่ามีสองวิธี ที่กลุ่มอาชญากรใช้เพื่อเข้าถึง และแก้ไขข้อมูลการเงินของพนักงานได้ คือ ผ่านทางฟิชชิ่งอีเมล และผ่านการชักชวนทางโทรศัพท์ (ลักษณะคล้ายแก้งค์คอลเซ็นเตอร์ หลอกถามข้อมูล หรือหลอกให้โอนเงิน)

รูปแบบวิธีการที่อาชญากรนำมาใช้

อาชญากรใช้วิธีการ เปลี่ยนแปลงบัญชีเงินเดือนปลายทางเพื่อรับโอนเงินจากบริษัทเป้าหมาย โดยการใช้ข้อมูลส่วนตัวของพนักงานเพื่อเข้าถึงระบบจ่ายเงินเดือน เปลี่ยนแปลงข้อมูลหมายเลขบัญชีธนาคารที่รับเงินเดือน หรือสั่งจ่ายไปยังบัญชีบัตรเติมเงินปลายทางที่อาชญากรสามารถควบคุมได้

รูปแบบแรก เป็นวิธีการได้มาของข้อมูลประจำตัวของเหยื่อมีการเจาะจงเป้าหมาย โดยการส่งอีเมลที่มีลิงก์ไปยังฟิชชิ่งเว็บไซต์ หรือแนบไฟล์เอกสารนามสกุล pdf เพื่อหลอกให้ผู้ใช้เข้าไปยังฟิชชิ่งเว็บไซต์ ในกรณีนี้ส่วนใหญ่มีการปลอมแปลงลักษณะหน้าเว็บไซต์ให้คล้ายกับบริการซอฟต์แวร์ที่ฝ่ายบุคคลใช้งาน เพื่อให้เหยื่อหลงเชื่อและป้อนรหัสผ่านสำหรับล็อกอินเข้าสู่ระบบของตน จากนั้นอาชญากรนำรหัสผ่านที่ได้ ล็อกอินเข้าใช้บัญชีของพนักงาน และเปลี่ยนแปลงหมายเลขบัญชีธนาคารสำหรับรับเงินเดือน ทำให้เงินเดือนถูกโอนไปยังบัญชีธนาคารปลายทางตามข้อมูลที่ระบุ

รูปแบบที่สอง การใช้วิธีการทาง Social Engineer ด้วยการติดต่อไปยังบริการสายด่วนพนักงาน เพื่อขอให้บริษัททำการรีเซ็ตรหัสผ่าน โดยการแจ้งหมายเลขประจำตัวลูกจ้าง และหมายเลขประกันสังคมสี่ตัวสุดท้ายของเหยื่อเพื่อใช้สำหรับเข้าถึงข้อมูลทางการเงินของเหยื่อต่อไป

จากการตรวจสอบพบว่ามีการจ่ายเงินเดือนจำนวน 205 รายการ ที่โอนเงินไปยังบัตรเติมเงินของอาชญากรไซเบอร์ นอกจากนี้ ยังพบว่าระยะเวลาเฉลี่ยตั้งแต่เปิดใช้งานบัตรเติมเงินเพื่อรับโอนเงินฝากคือ 54 วัน และอย่างน้อยที่สุดคือ 1 วัน

ข้อแนะนำสำหรับองค์กรเพื่อป้องกัน

  • ควรแจ้งเตือนพนักงานให้ทราบถึงรูปแบบการหลอกลวงของภัยคุกคามนี้ เพื่อให้รู้ทัน
  • เมื่อระบบพบการร้องเพื่อขอเปลี่ยนแปลงข้อมูลบัญชีธนาคารเพื่อรับเงินเดือน ควรมีการตรวจสอบอย่างเข้มงวด
  • ให้ความรู้แก่บุคลากรเกี่ยวกับการดำเนินการเชิงป้องกัน และการแก้ไขที่เหมาะสมกับแผนการก่ออาชญากรรมที่มาในรูปแบบของ Social Engineer
  • แนะนำพนักงานในกรณีได้รับอีเมลที่ขอข้อมูลสำหรับเข้าสู่ระบบ เช่น รหัสผ่าน ไอดี ให้หลีกเลี่ยงการให้ข้อมูล และดำเนินการส่งต่อข้อมูลที่น่าสงสัยเกี่ยวกับการร้องขอข้อมูลส่วนบุคคลไปที่แผนกไอที หรือแผนกทรัพยากรบุคคล ให้ช่วยตรวจสอบ
  • แนะนำพนักงานให้ตั้งรหัสผ่านของระบบที่ใช้สำหรับการจ่ายเงินเดือน แตกต่างจากรหัสผ่านที่ใช้ในบัญชีทั่วไป
  • ตรวจสอบการเข้าสู่ระบบของพนักงานที่เกิดขึ้นนอกเวลาทำการปกติ
  • จำกัดการเข้าถึงอินเทอร์เน็ตในระบบจัดการข้อมูลที่สำคัญ
  • สำหรับระบบและข้อมูลสำคัญ ควรใช้งานรูปแบบการยืนยันตัวตนแบบสองขั้นตอน
  • พนักงานสามารถดำเนินการจัดการข้อมูลที่สำคัญได้ บนระบบที่อนุญาตเท่านั้น เช่น เครื่อง Terminal ที่เตรียมไว้ให้
วันที่: 2018-08-17 | ที่มา: FBI | Share on Facebook Share on Twitter Share on Google+
FBI แจ้งเตือนปฏิบัติการ Unlimited เจาะระบบธนาคารเพื่อปลดล็อกการจำกัดจำนวนถอนเงินผ่านตู้ ATM

เมื่อช่วงต้นเดือนสิงหาคม FBI ได้แจ้งเตือนปฏิบัติการโจมตีทางไซเบอร์ที่ชื่อ Unlimited เพื่อขโมยเงินจากธนาคาร โดยการโจมตีเริ่มจากผู้ประสงค์ร้ายเจาะระบบธนาคารเพื่อ 1) ปลดล็อกการควบคุม เช่น การจำกัดจำนวนเงินหรือจำนวนครั้งที่สามารถถอนได้จากตู้ ATM 2) เปลี่ยนจำนวนเงินในบัญชีและมาตรการควบคุมเพื่อให้สามารถถอนเงินได้อย่างไม่จำกัดจากตู้ ATM ต่าง ๆ อย่างรวดเร็ว

จากนั้นผู้ประสงค์ร้ายขโมยข้อมูลบัตร ATM หรือบัตรเครดิตของลูกค้า เพื่อนำไปสร้างบัตรแล้วนำไปถอนเงินตามตู้ ATM ในประเทศต่าง ๆ โดยมีการทำงานเป็นทีม นัดหมายกันเพื่อถอนเงินจากตู้ ATM ต่าง ๆ ในวันเวลาที่กำหนด โดยมักเริ่มปฏิบัติการในช่วงวันหยุดสุดสัปดาห์ โดยเฉพาะวันเสาร์ ช่วงเวลาธนาคารใกล้ปิดทำการ

การแจ้งเตือนของ FBI นี้มีความสัมพันธ์กับเหตุการณ์ ธนาคาร Cosmos ประเทศอินเดีย ถูกโจมตีด้วยปฏิบัติการดังกล่าว ในช่วงวันที่ 11 ถึง 13 สิงหาคม 2561 ถูกขโมยเงินผ่านตู้ ATM ในประเทศแคนาดา ฮ่องกง และอินเดีย จำนวน 12,000 ครั้ง รวมเงินที่ถูกขโมยเป็นจำนวนประมาณ 940 ล้านรูปีหรือ 450 ล้านบาท และก่อนหน้านี้พบแฮกเกอร์เจาะระบบธนาคาร Blacksburg ซึ่งเป็นธนาคารแห่งชาติของประเทศสหรัฐฯ ในสาขาเล็ก เพื่อเข้าถึงระบบจัดการบัตรเครดิตและเดบิตที่ผูกกับบัญชีลูกค้า และได้ขโมยเงิน 2 ครั้ง จากการถอนเงินตู้ ATM รวมมูลค่า 2.4 ล้านดอลล่าร์หรือ 80 ล้านบาท ในช่วงระหว่างเดือนพฤษภาคม 2560 ถึงเดือนมกราคม 2561

ทาง FBI ได้ให้คำแนะนำแก่ธนาคารดังนี้

  1. แยกหน้าที่ผู้ที่มีหน้าที่เพิ่มจำนวนเงินที่ถอนได้สูงสุดต่อวันหรือปรับจำนวนเงินในบัญชี ออกจากการทำหน้าที่อื่น รวมถึงเฝ้าระวังบัญชีของผู้ที่มีสิทธิดังกล่าว
  2. จำกัดให้เฉพาะรายการแอปพลิเคชันที่กำหนดไว้เท่านั้นที่สามารถทำงานได้ (application whitelisting) เพื่อป้องกันไม่ให้มัลแวร์ทำงาน
  3. เฝ้าระวังเครื่องมือของผู้ประสงค์ร้ายที่แอบวางไว้ในระบบเพื่อเชื่อมต่อเข้ามาควบคุมหรือสั่งการเครื่องจากระยะไกล เช่น Powershell, Cobalt Strike และ TeamViewer
  4. เฝ้าระวังทราฟฟิคการเชื่อมต่อรูปแบบ SSL หรือ TLS ด้วยพอร์ตหมายเลขที่ไม่ใด้ใช้งานทั่วไป (non-standard port)
  5. เฝ้าระวังทราฟฟิคขาออกจากธนาคารไปยังปลายทางที่น่าสงสัย

หากผู้ใช้พบเห็นการถอนเงินจำนวนมากจากตู้ ATM เกินจำกัดอย่างผิดปกติ สามารถแจ้งไทยเซิร์ตได้ที่ 02-123-1212 เพื่อประสานงานดำเนินการตรวจสอบต่อไป

วันที่: 2018-08-17 | ที่มา: KrebsOnSecurity | Share on Facebook Share on Twitter Share on Google+
Malvertising กับการโจมตีผ่านวงจรธุรกิจโฆษณาออนไลน์

ก่อนหน้านี้ไทยเซิร์ตได้อธิบายเกี่ยวกับการแพร่กระจายมัลแวร์ผ่านทางโฆษณาในหน้าเว็บไซต์หรือ Malvertising ซึ่งเกิดจากผู้ประสงค์ร้ายซื้อพื้นที่โฆษณาสำหรับใช้โจมตี (https://www.thaicert.or.th/newsbite/2016-06-27-02.html) อย่างไรก็ตามบริษัทด้านความมั่นคงปลอดภัยพบว่า มีผู้ประสงค์ร้ายได้เจาะระบบเว็บไซต์ที่ใช้งาน Wordpress เวอร์ชันเก่า (4.7.1) มากกว่า 10,000 เว็บไซต์ เพื่อขายพื้นที่โฆษณาให้กับผู้ประสงค์ร้ายที่ต้องการเผยแพร่มัลแวร์ด้วย

สำหรับวงจรธุรกิจโฆษณาออนไลน์นั้น สามารถแบ่งเป็นส่วนประกอบ 4 ส่วน คือ 1. ผู้ที่มีเนื้อหาที่ต้องการโฆษณา (Advertiser) 2. เจ้าของเว็บไซต์ที่เตรียมพื้นที่สำหรับโฆษณาออนไลน์ (Publisher) 3. บริษัทกลางที่ติดต่อซื้อพื้นที่โฆษณา Publisher จำนวนมากและแบ่งขายให้กับ Advertisers ด้วยระบบประมูล (Ad-Networks) 4. ในบางรูปแบบธุรกิจ จะมีบริษัทที่รับซื้อพื้นที่โฆษณาจาก Ad-Networks เพื่อขายต่อให้กับ Advertiser อีกที (Reseller)

ซึ่งการโจมตีที่พบนั้น ผู้ประสงค์ร้ายได้เจาะระบบเว็บไซต์จำนวนมากแล้วขายพื้นที่โฆษณาบนเว็บไซต์ให้กับ Ad-Networks และผู้ประสงค์ร้ายที่ต้องการเผยแพร่มัลแวร์จะเลือกซื้อพื้นที่โฆษณาบนเว็บไซต์ของผู้ประสงค์ร้ายคนดังกล่าว ในขณะที่ Ad-Networks และ Reseller อยู่ในฐานะคนกลางที่อาจรู้เห็นในการกระทำผิดแต่ได้รับผลประโยชน์ทางธุรกิจ ซึ่งสภาพแวดล้อมในรูปแบบนี้ทำให้ยากต่อการหยุดยั้งการโจมตี อีกทั้งยังตรวจจับการโจมตีได้ยากเนื่องจากผู้ประสงค์ร้ายอาจเลือกเผยแพร่มัลแวร์เมื่อพบเป้าหมายผู้เยี่ยมชมเว็บไซต์ที่มีคุณสมบัติตรงตามลักษณะเฉพาะที่กำหนด เช่น เวอร์ชันระบบปฏิบัติการหรือเบราว์เซอร์ที่ใช้งาน

เพื่อป้องกันการถูกโจมตี ทั้งเจ้าของเว็บไซต์และผู้ที่เยี่ยมชมเว็บไซต์ควรอัปเดตระบบปฏิบัติการและซอฟต์แวร์ที่ให้งานเป็นประจำ สำหรับผู้ดูแลระบบอาจใช้ข้อมูลรายการโดเมนต้องสงสัย และหมายเลขไอพีของเครื่องผู้ประสงค์ร้าย (134.249.116.78) เป็นข้อมูลประกอบในการเฝ้าระวังการโจมตี หรือตรวจสอบเครื่องที่ติดมัลแวร์

วันที่: 2018-08-02 | ที่มา: Checkpoint | Share on Facebook Share on Twitter Share on Google+
ฐานข้อมูลของ SingHealth กลุ่มผู้ให้บริการสาธารณะสุขที่ใหญ่สุดในสิงคโปร์ถูกเจาะ กระทบข้อมูลผู้ป่วย 1.5 ล้านคน

เมื่อวันที่ 20 กรกฎาคม 2561 SingCERT ซึ่งเป็นหน่วยงานประสานการรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ของสิงคโปร์ได้แจ้งเตือนเหตุการณ์ที่ข้อมูลของผู้ป่วยที่ใช้บริการของ SingHealth ถูกขโมยไปจากฐานข้อมูล SingHealth ซึ่งเป็นกลุ่มสถานให้บริการสาธารณสุขที่ใหญ่สุดในประเทศสิงค์โปร์ ข้อมูลที่ถูกขโมยมีสองส่วน ส่วนแรกเป็นข้อมูลส่วนบุคคลของผู้ป่วย 1.5 ล้านคน ที่มาใช้บริการระหว่างวันที่ 1 พฤษภาคม 2558 ถึง 4 กรกฎาคม 2561 ซึ่งข้อมูลประกอบไปด้วย ชื่อ นามสกุล ที่อยู่ เพศ เชื้อชาติ หมายเลขบัตรประจำตัวประชาชน และวันเกิด และในส่วนที่สองเป็นข้อมูลการจ่ายยาผู้ป่วยนอกจำนวน 160,000 คนจากผู้ป่วย 1.5 ล้านคน ทั้งนี้นายกรัฐมนตรีสิงคโปร์ได้โพสต์ข้อความผ่านเฟสบุ้คว่าข้อมูลของตนก็ได้รับผลกระทบจากเหตุการณ์ครั้งนี้เช่นเดียวกัน

เหตุการณ์นี้ทำให้รัฐบาลสิงคโปร์สั่งให้ผู้ให้บริการสาธารณะสุขตรวจสอบระบบทั้งหมด และชะลอโครงการระเบียนผู้ป่วยอิเล็กทรอนิกส์ ตลอดจนให้แยกเครือข่ายที่พนักงานจำนวน 28,000 คนของ SingHealth ที่เชื่อมต่อกับอินเทอร์เน็ตออกจากเครือข่ายภายในของหน่วยงาน หลักการ Network separation นี้จะใช้กับหน่วยบริการสาธารณสุขอื่น ๆ ในสิงคโปร์ด้วย อย่างไรก็ตาม ถึงแม้ว่าข้อมูลส่วนบุคคลบางส่วนจะถูกขโมยออกมาแต่ข้อมูลผู้ป่วยทั้งหมดยังใช้งานได้ตามปกติ โดย SingHelath จะติดต่อผู้ป่วยทุกคนที่มาใช้บริการระหว่างวันที่ 1 พฤษภาคม 2558 – 4 กรกฎาคม 2561 เพื่อแจ้งว่าข้อมูลของตนถูกขโมยหรือไม่ หรือผู้ที่สงสัยว่าจะได้รับผลกระทบจากเหตุการณ์นี้ สามารถตรวจสอบได้ผ่านแอปพลิเคชันบนโทรศัพท์มือถือ (mobile application) หรือเว็บไซต์ของ SingHealth

องค์กรด้านสาธารณะสุข เช่น โรงพยาบาล มักจะเป็นหนึ่งในเหยื่อที่มีแนวโน้มตกเป็นเป้าการโจมตี เนื่องจากเก็บข้อมูลส่วนบุคคลจำนวนมากของผู้ป่วยอาจพิจารณาจัดทำรายการบริการโครงสร้างพื้นฐานหรือข้อมูลสำคัญ เพื่อยกระดับการเฝ้าระวังในส่วนดังกล่าวเมื่ออยู่ภาวะเสี่ยงต่อการถูกโจมตี รวมถึงสร้างความตระหนักรู้ให้กับบุคลากรและจัดซ้อมรับมือภัยคุกคาม หน่วยงานอื่นๆ ที่เก็บข้อมูลส่วนบุคคลของลูกค้าก็จำเป็นต้องทบทวนเสริมมาตรการป้องกันให้เพียงทั้งในด้านกระบวนการ เทคโนโลยี และบุคคลากร

คำแนะนำของไทยเซิร์ตเกี่ยวกับการปกป้องข้อมูล

  1. ผู้ดูแลระบบควรจัดทำรายการข้อมูลในระบบสารสนเทศและทบทวนสิทธิการเข้าถึงข้อมูลในระบบทั้งหมด ยืนยันมาตรการตรวจสอบสิทธิการเข้าถึงข้อมูล พร้อมทั้งเฝ้าระวังและตรวจจับพฤติกรรม การเข้าถึงข้อมูลที่ผิดปกติ
  2. หน่วยงานควรแจ้งให้บุคลากรของหน่วยงานระมัดระวังในการเปิดไฟล์แนบอีเมล หรือคลิกลิงก์ที่ได้รับ ผ่านช่องทางต่าง ๆ ถ้าสงสัยว่าเป็นไฟล์หรือลิงก์ได้รับจะมีความผิดปกติ ให้ตรวจสอบและยืนยัน กับผู้ส่ง เพื่อป้องกันการติดมัลแวร์
  3. ปรับปรุงซอฟต์แวร์ให้เป็นปัจจุบันอย่างสม่ำเสมอ และติดตามข้อมูลข่าวสารเกี่ยวกับภัยคุกคาม ไซเบอร์ทางเว็บไซต์ https://www.thaicert.or.th หรือ Facebook page https://th-th.facebook.com/thaicert
  4. หากพบความผิดปกติหรือมีข้อสงสัยเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ สามารถติดต่อศูนย์ประสานกลางรักษาความมั่นคงปลอดภัยไซเบอร์ (24x7) ทางโทรศัพท์หมายเลข 1212 หรือ 0-2123-1212 หรืออีเมลที่ report@thaicert.or.th (ดำเนินการโดยไทยเซิร์ต สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม)

วันที่: 2018-07-31 | ที่มา: Ministry of Health, The Straits Times | Share on Facebook Share on Twitter Share on Google+
จุดอ่อนของโปรแกรมสร้างความตระหนักรู้ในองค์กร

หากพูดถึงหนึ่งในมาตรการเสริมสร้างด้านความมั่นคงปลอดภัยที่องค์กรนำมาปฏิบัติ ก็มักจะนึกถึงการสร้างความตระหนักรู้ให้กับพนักงานในองค์กร ทำให้พนักงานรู้จักรูปแบบภัยคุกคาม เช่น รู้จักสังเกตลักษณะของอีเมลหลอกลวง เพื่อให้รู้เท่าทันหลีกเลี่ยงการตกเป็นเหยื่อ แต่โปรแกรมเหล่านี้อาจยังไม่ช่วยป้องกันได้อย่างสมบูรณ์ เนื่องจาก สุดท้ายแล้วขึ้นอยู่กับการตัดสินใจของพนักงานเองว่าการกระทำที่พบเป็นการหลอกลวงหรือไม่ ซึ่งกลไกที่มาช่วยเติมเต็มในส่วนนี้คือการมีกระบวนการที่ชัดเจน

ยกตัวอย่าง เช่น การหลอกลวงติดต่อไปยัง HR เพื่อขอข้อมูลส่วนบุคคลของพนักงาน หากให้ HR เป็นผู้พิจารณาเองก็มีโอกาสที่ HR จะตกเป็นเหยื่อ แต่หากมีกระบวนการที่ดี กำหนดชัดเจนว่าใครที่สามารถขอข้อมูลเหล่านี้ได้ และมีการลงนามเพื่อยืนยันตัวตน ผู้ประสงค์ร้ายต้องใช้ความพยายามปลอมเป็นผู้มีอำนาจในการเข้าถึงข้อมูล ถือเป็นการยกระดับการปกป้องกัน ช่วยลดความเสี่ยงได้มาก

อีกตัวอย่างเป็นเรื่องของ กลไก เรื่องเหตุการณ์ทดสอบหลอกให้ยามออกตราป้ายเพื่อเข้าถึงข้อมูลสำคัญ ซึ่งองค์กรของยามนั้นไม่มีกระบวนการที่ชัดเจนในการกำกับการออกป้าย ยิ่งไปกว่านั้นคือไม่มีการบันทึก ทำให้ไม่รู้ว่าเป็นยามคนไหนที่ออกป้าย ซึ่งผู้รับผิดก็คือหัวหน้าผู้จัดการที่ดูแลเรื่องความปลอดภัย

สุดท้ายเป็นเรื่องของ การสูญหายของ Thumb Drive ที่เก็บข้อมูล ซึ่งองค์กรมักจะบอกพนักงานว่าให้ระวังไม่ให้สูญหาย แต่วิธีที่ดีกว่านั้นคือการกำหนดว่าข้อมูลสำคัญระดับใดที่สามารถเก็บใส่ Thumb Drive ได้ หรือคำนึงถึงเผื่อกรณีสูญหาย ให้เข้ารหัสลับไว้หากต้องถ่ายข้อมูลสำคัญลง Thumb Drive โดยวิธีง่ายวิธีหนึ่งคือการเก็บในรูปแบบไฟล์สกุล zip ที่ใส่รหัสลับไว้

ดังนั้นแล้ว จึงเป็นเรื่องที่ดีที่องค์กรควรตรวจสอบว่าส่วนใดที่ต้องพึ่งการใช้วิจารณญาณของพนักงาน กล่าวคือ พนักงานต้องระวังในเรื่องใด เพื่อไม่ให้ตกเป็นเหยื่อ แล้วลองคิดว่าจะหากระบวนการใดมาชดเชยเพื่อลดความเสี่ยง แทนที่จะบอกให้ระวังอย่างเดียว ก็จะช่วยเสริมให้องค์กรมีความมั่นคงปลอดภัยมากขึ้น

วันที่: 2018-07-20 | ที่มา: Dark Reading | Share on Facebook Share on Twitter Share on Google+
ความมั่นคงปลอดภัยของข้อมูลบนโซเชียลมีเดีย

ในโลกโซเชียลมีเดียที่เรียกได้ว่าหลายคนใช้เวลาอยู่ในโลกแห่งนี้มากกว่าโลกแห่งความจริง แต่คำถามที่คนส่วนใหญ่ไม่ได้นึกถึงคือ ข้อมูลของเราบนโซเชียลมีเดียมีความมั่นคงปลอดภัยแค่ไหน ซึ่งหากพูดถึงความมั่นคงปลอดภัย เราสามารถจำกัดความของคำนี้ด้วยคุณสมบัติ 3 ด้านคือ

การรักษาความลับของข้อมูล (Confidentiality)

นั่นหมายถึงผู้ใช้สามารถกำหนดว่าใครสามารถเข้าถึงข้อมูลได้บ้าง ใน Facebook ผู้ใช้สามารถกำหนดได้ว่าให้ ใครก็ตาม เพื่อนหรือ กลุ่มคนที่เฉพาะ ให้สามารถอ่านโพสต์ที่สร้างไว้ สำหรับ Instagram ข้อความต่าง ๆ จะเป็นรูปแบบที่ใครก็ตามสามารถอ่านได้ แต่ก็มีช่องทาง direct message สำหรับสื่อสารในรูปแบบตัวต่อตัว

ข้อมูลไม่ถูกใครแอบมาแก้ไข (Integrity)

ในโซเชียลมีเดีย ไม่ค่อยมีปัญหาในด้านนี้ เพราะข้อมูลจะถูกแสดงในรูปแบบที่เราโพสต์โดยเป็นเรื่องยากที่จะมีคนอื่นมาแก้ไข แต่ในฐานะผู้ที่อ่านโพสต์ควรระลึกไว้ว่าข้อความที่โพสต์นั้นที่เห็นอยู่ อาจถูกแก้ไขก่อนหน้าโดยเจ้าของโพสต์เอง ซึ่งไม่ใช่ปัญหาของ Integrity และในกรณีของ Facebook ผู้ที่อ่านโพสต์ สามารถตรวจสอบดูประวัติการแก้ไขของโพสต์ได้

ข้อมูลพร้อมใช้งาน (Availability)

หมายความว่าผู้ใช้สามารถอ่านหรือแชร์ข้อความหรือรูปในโซเชียลเมื่อต้องการ แต่ในแง่มุมนึงอาจจะพูดถึงคุณสมบัติการดึงข้อมูลบนโซเชียลมีเดีย เช่น รูป หรือคลิป มาเก็บไว้บนเครื่องเพื่อใช้งานในเวลาที่ไม่สามารถเข้าถึงโซเชียลมีเดียได้ ซึ่งผู้ใช้ Facebook สามารถเรียกใช้งานความสามารถนี้ได้ที่ https://www.facebook.com/settings?tab=your_facebook_information

การที่เรารู้จักใช้วิธีควบคุม และรู้จักเลือกกำหนดการเข้าถึงข้อมูลให้เหมาะสมกับข้อมูลที่จะโพสต์ จะทำให้ข้อมูลมีความมั่นคงปลอดภัยมากขึ้น ใน Facebook หรือโซเชียลมีเดียต่าง ๆ อาจมีการอัปเดตเปลี่ยนแปลงรูปแบบการกำหนดดังกล่าว ผู้ใช้จึงควรเช็คเป็นประจำ หากต้องการข้อมูลเพิ่มเติม ผู้ใช้สามารถศึกษาข้อแนะนำในการใช้โซเชียลมีเดียได้จาก Infographic ของไทยเซิร์ต (https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg)

วันที่: 2018-07-02 | ที่มา: Trend Micro | Share on Facebook Share on Twitter Share on Google+
พบกลุ่มปฏิบัติการโจมตีใหม่ Rancor มุ่งเป้าโจมตีเฉพาะเพื่อขโมยข้อมูลในประเทศสิงค์โปร์และกัมพูชา

บริษัท Palo Alto ได้เผยแพร่การค้นพบปฏิบัติการโจมตีทางไซเบอร์โจมตีในประเทศสิงคโปร์ และกัมพูชา โดยตั้งชื่อกลุ่มผู้โจมตีว่า Rancor เชื่อว่ากลุ่มดังกล่าวมีเป้าหมายเฉพาะโจมตีหน่วยงานหรือบุคคลที่เกี่ยวข้องกับการเมืองเพื่อขโมยข้อมูล

ผู้ประสงค์ร้ายได้ใช้ไฟล์ 3 ประเภทในการเริ่มต้นโจมตีเพื่อดาวน์โหลดมัลแวร์ ได้แก่

  1. ไฟล์เอกสารประเภท Excel ที่มีโค้ดอันตรายในรูปแบบ Macro หากผู้ใช้เปิดไฟล์และเปิดใช้งาน Macro ก็จะประมวลผลโค้ดอันตรายดังกล่าว
  2. ไฟล์แนบอีเมลประเภท .hta (HTML Application File) เมื่อเปิดไฟล์ดังกล่าว จะดาวน์โหลดมัลแวร์และรูปภาพที่มีข้อมูลเกี่ยวกับการเมือง
  3. ไฟล์ประเภท DDL Loader ถูกพบในเว็บไซต์ของรัฐบาลกัมพูชา

ในรายงานระบุมัลแวร์ที่ถูกดาวน์โหลด 2 สายพันธุ์คือ Loader และ PLAINTEE สำหรับผู้ดูแลระบบที่สนใจสามารถนำข้อมูลเกี่ยวกับมัลแวร์ในรายงาน เช่น ค่า hash ของมัลแวร์หรือหมายไอพีที่มัลแวร์ติดต่อ มาใช้ตรวจสอบการบุกรุกของระบบ

ในช่วงหลายปีที่ผ่านมา เริ่มมีการพบการโจมตีแบบมุ่งเป้าหมาย เพื่อแอบแฝงและขโมยข้อมูลในระบบขององค์กรในประเทศแถบอาเซียนอยู่หลายครั้ง องค์กรจึงควรใส่ใจในเรื่องความมั่นคงปลอดภัยไซเบอร์และสร้างความตระหนักให้พนักงานในองค์กรของตนรู้จักระวังการเปิดไฟล์หรือลิงก์ที่ได้รับตามช่องทางต่าง ๆ โดยเฉพาะรู้จักความเสี่ยงในการเปิดไฟล์เอกสารและเปิดใช้งาน Macro ซึ่งเป็นช่องทางที่ผู้ประสงค์ร้ายนิยมใช้ในการเผยแพร่มัลแวร์ และหากพบความผิดปกติหรือน่าสงสัยควรแจ้งเจ้าหน้าที่ไอที

วันที่: 2018-06-28 | ที่มา: Palo Alto | Share on Facebook Share on Twitter Share on Google+
สหรัฐอเมริกาเผยข้อมูลสำหรับตรวจจับมัลแวร์สายพันธุ์ใหม่จากปฏิบัติการโจมตี HIDDEN COBRA

เมื่อวันที่ 14 มิถุนายน 2561 US-CERT ประกาศแจ้งเตือนและเผยแพร่รายงานวิเคราะห์มัลแวร์ซึ่งเกิดจากความร่วมมือระหว่าง Federal Bureau of Investigation (FBI) และ Department of Homeland Security (DHS) ของสหรัฐอเมริกา ในรายงานระบุมัลแวร์ประเภทโทรจัน สายพันธุ์ TYPEFRAME ซึ่งรัฐบาลประเทศเกาหลีเหนือใช้ในปฏิบัติการโจมตีทางไซเบอร์ชื่อ HIDDEN COBRA รายงานนี้มีบทวิเคราะห์ตัวอย่างมัลแวร์ 11 รายการ เป็น executable file บน Windows ทั้ง 32-bit และ 64-bit และไฟล์เอกสาร Microsoft Word ซึ่งมี VBA macro โดยไฟล์เหล่านี้มีความสามารถดาวน์โหลดและติดตั้งมัลแวร์ ติดตั้ง proxy และ Remote Access Trojans (RATs) สามารถเชื่อมต่อกับเซิร์ฟเวอร์ของผู้ประสงค์ร้าย (command and control server : C2) เพื่อรับคำสั่งเพิ่มเติม รวมถึงตั้งค่าใน firewall ของเหยื่อให้เปิดรับการเชื่อมต่อจากภายนอก

ในรายงานมีข้อมูลที่องค์กรสามารถนำไปใช้ในการตรวจจับมัลแวร์ดังกล่าว รวมถึงข้อแนะนำในการป้องกัน ผู้ใช้สามารถอ่านรายงานการวิเคราะห์มัลแวร์ดังกล่าวฉบับเต็มได้ที่ https://www.us-cert.gov/ncas/analysis-reports/AR18-165A และ ศึกษาข้อแนะนำในการรับมือและจัดการมัลแวร์เพิ่มเติมจากคู่มือของ NIST (https://www.nist.gov/publications/guide-malware-incident-prevention-and-handling-desktops-and-laptops)

หากตรวจพบมัลแวร์ ผู้ใช้สามารถติดต่อไทยเซิร์ตเพื่อขอคำแนะนำและความช่วยเหลือในการรับมือภัยคุกคาม โดยติดต่อได้ที่ 0-2123-1212

วันที่: 2018-06-15 | ที่มา: US-CERT | Share on Facebook Share on Twitter Share on Google+