แคสเปอร์สกี้เผยรายงานวิเคราะห์ APT 3 ปฏิบัติการไซเบอร์ร้ายโจมตีไทย

พฤหัส ๑๒ มีนาคม ๒๐๒๐ ๑๐:๕๗
แคสเปอร์สกี้เปิดโปงปฏิบัติการของกลุ่มอาชญากรไซเบอร์ที่ยังดำเนินการอยู่ในภูมิภาคเอเชียตะวันออกเฉียงใต้ จากการวิเคราะห์พบว่า ปี 2019 เป็นปีที่กลุ่มผู้ร้ายวุ่นวายอย่างหนักในการเริ่มใช้งานทูลโจมตีใหม่ๆ รวมถึงการสองส่องผ่านโมบายมัลแวร์เพื่อทำจารกรรมล่าข้อมูลจากรัฐบาล หน่วยงานการทหาร และองค์กรต่างๆ ทั่วภูมิภาค

นายวิทาลี คามลัก ผู้อำนวยการทีมวิเคราะห์และวิจัย แคสเปอร์สกี้ ภูมิภาคเอเชียแปซิฟิก กล่าวว่า “ภูมิศาสตร์การเมืองนับเป็นหนึ่งในปัจจัยหลักที่จะกำหนดแนวทางภัยคุกคามในภูมิภาคเอเชียตะวันออกเฉียงใต้ โดยในปีที่แล้ว จากจำนวนเคสที่แคสเปอร์สกี้ตรวจสอบการโจมตีแบบ APT ที่พุ่งเป้าหมายที่ภูมิภาคนี้โดยเฉพาะ แสดงให้เห็นว่า สิ่งที่กระตุ้นให้เกิดการโจมตีหลักๆ แล้วคือการรวบรวมข่าวกรองด้านเศรษฐกิจและภูมิศาสตร์การเมือง”

“ภูมิภาคเอเชียตะวันออกเฉียงใต้ประกอบด้วยประเทศที่มีความหลากหลายทางชาติพันธุ์ วิสัยทัศน์ทางการเมือง และการพัฒนาทางเศรษฐกิจ จึงเป็นปัจจัยกำหนดรูปแบบการโจมตีทางไซเบอร์ที่หลากหลายในภูมิภาคนี้ ผู้เชี่ยวชาญได้เห็นว่าผู้โจมตี APT นั้นปฏิบัติการอย่างไรช่วงหลายปีที่ผ่านมา พัฒนาทูลใหม่อย่างไร มีความระมัดระวังมากขึ้น มีความก้าวหน้าทางเทคนิคและกระตือรือร้นไขว่คว้าเป้าหมายที่สูงขึ้น” นายวิทาลีกล่าวเสริม

กลุ่ม APT ที่โจมตีประเทศไทยในปี 2019 และปฏิบัติการต่อเนื่องในปี 2020 นี้

ฟันนีดรีม (FunnyDream)- ประเทศเป้าหมายในภูมิภาคนี้: ไทย มาเลเซีย ฟิลิปปินส์ เวียดนาม- ช่วงต้นปี 2020 แคสเปอร์สกี้ออกรายงานการสืบสวนแคมเปญการโจมตีที่ชื่อ “FunnyDream” ผู้ร้ายที่ใช้ภาษาจีนในการสื่อสารนี้ดำเนินการร้ายนานอย่างน้อย 2-3 ปี และฝังมัลแวร์ร้ายที่มีความสามารถหลากหลายไว้ โดยตั้งแต่กลางปี 2018 นักวิจัยของแคสเปอร์สกี้ได้สังเกตุเห็นกิจกรรมที่แอคทีฟอย่างต่อเนื่องจากกลุ่มนี้ มีเป้าหมายส่วนหนึ่งเป็นองค์กรรัฐบาลระดับสูงและพรรคการเมืองในประเทศไทย มาเลเซีย ฟิลิปปินส์ และเวียดนาม - แคสเปอร์สกี้รายงานว่า แคมเปญนี้มีทูลจารกรรมไซเบอร์ที่มีความสามารถหลากหลายจำนวนมาก และยังปฏิบัติการอยู่ ยูสเซอร์สามารถดูข้อมูลอัพเดทได้ที่ Kaspersky Threat Portalไซค์เด็ค (Cycldek)- ประเทศเป้าหมายในภูมิภาคนี้: ไทย ลาว ฟิลิปปินส์ เวียดนาม- กลุ่ม APT อีกกลุ่มที่มีเป้าหมายในภูมิภาคเอเชียตะวันออกเฉียงใต้คือ “Cycldek” ที่ใช้ภาษาจีนในการสื่อสาร แม้ว่าเป้าหมายหลักของกลุ่มนี้คือเครือข่ายรัฐบาลของเวียดนามและลาว แต่ก็พบว่ามีสัดส่วนเป้าหมายในประเทศไทย 3% และพบเหยื่อแคมเปญร้ายหนึ่งรายในฟิลิปปินส์ช่วงปี 2018 - 2019 - กลุ่ม Cycldeck นั้นรู้จักกันในอีกชื่อว่า Goblin Panda และมีชื่อเสียงทางร้ายในการจารกรรมข้อมูลหน่วยงานรัฐบาล หน่วยงานการทหาร องค์กรพลังงานโดยใช้ PlugX และมัลแวร์ HttpTunnelเซโบรซี (Zebrocy)- ประเทศเป้าหมายในภูมิภาคนี้: ไทย มาเลเซีย- กลุ่ม “Zebrocy” เป็นกลุ่ม APT ที่ใช้ภาษารัสเซียซึ่งใช้ทรัพยากรร่วมกับกลุ่ม Sofacy และยังมีความสนใจและเป้าหมายร่วมกัน กลุ่ม Zebrocy ยังใช้โค้ดมัลแวร์ร่วมกับกลุ่ม BlackEnergy/Sandworm และมีเป้าหมายและใช้โครงสร้างพื้นฐานร่วมกับ BlackEnergy/GreyEnergy อีกด้วย - โปรแกรมแบ็กดอร์ Nimcy ของกลุ่มนี้พัฒนาขึ้นจากภาษาโปรแกรมมิ่ง Nimrod/Nim มีเป้าหมายโจมตีหน่วยงานของประเทศไทยและมาเลเซีย โดย Nimcy เป็นคอลเล็คชั่นภาษาใหม่ของกลุ่ม Zebrocy เพื่อใช้พัฒนาฟังชั่นหลักให้แบ็กดอร์ใหม่ๆ

นายโย เซียง เทียง ผู้จัดการทั่วไป แคสเปอร์สกี้ ภูมิภาคเอเชียตะวันออกเฉียงใต้ กล่าวว่า “การค้นพบของแคสเปอร์สกี้เรื่องการเปลี่ยนแปลงของภัยคุกคามในภูมิภาคนี้ แสดงให้เห็นความจำเป็นในการเร่งพัฒนาศักยภาพการป้องกันทางไซเบอร์ขององค์กรทั้งภาครัฐและเอกชนอย่างมาก กลุ่ม APT เหล่านี้มีวิธีการโจมตีแอบแฝงแทรกซึมเพื่อปฏิบัติการจารกรรมไซเบอร์ในภูมิภาค มาตรการความปลอดภัยจึงจะต้องก้าวล้ำกว่าแค่แอนตี้ไวรัสและไฟร์วอลล์ทั่วไป โดยแคสเปอร์สกี้เชื่อมั่นในโครงสร้างความปลอดภัยไซเบอร์ที่ก่อร่างสร้างขึ้นจากคลังข้อมูลภัยคุกคามเชิงลึกและทันท่วงที”

“การรวมแมชลีนเลิร์นนิ่งเข้ากับความรู้ของมนุษย์ผ่านนักวิจัยทีม GReAT ของแคสเปอร์สกี้ ทำให้เราสามารถติดตามดูการทำงานของกลุ่ม APT ได้มากกว่า 100 กลุ่มทั่วโลกไม่ว่าจะมีต้นกำเนิดจากที่ใดก็ตาม รายงานทางเทคนิคของแคสเปอร์สกี้ทำให้บริษัทธุรกิจต่างๆ รัฐบาลและองค์กรไม่หวังผลกำไรได้เห็นการเปลี่ยนแปลงและทิศทางของภัยคุกคาม ซึ่งในท้ายที่สุดก็จะเป็นแนวทางปรับปรุงการป้องกันของหน่วยงานนั้นๆ ได้ เรายังแบ่งปันข้อมูลภายในวงการ ยกตัวอย่างเช่นการสานสัมพันธ์กับ INTERPOL เพราะเราเชื่อว่าความร่วมมือกันเป็นหนทางที่ดีที่สุดเพื่อก้าวล้ำนำหน้ากลุ่มจารกรรมไซเบอร์” นายโย เซียง เทียง กล่าวเสริม

นักวิจัยของแคสเปอร์สกี้ขอแนะนะมาตรการเพื่อหลีกเลี่ยงการตกเป็นเหยื่อโจมตีโดยผู้ก่อภัยคุกคาม ดังนี้

ทีมดูแลความปลอดภัยขององค์กร หรือ SOC (Security Operations Center) จะต้องเข้าถึงฐานข้อมูลภัยคุกคามอัจฉริยะล่าสุด Threat Intelligence เพื่ออัพเดทข้อมูลทูล เทคนิค และกลยุทธ์ใหม่ๆ ที่ผู้ก่อภัยคุกคามและอาชญากรไซเบอร์ใช้งานการตรวจจับระดับเอ็นด์พอยต์ การตรวจสอบ การฟื้นฟูให้ทันท่วงที แนะนำให้ใช้โซลูชั่นสำหรับการตรวจจับและตอบสนองโดยเฉพาะ เช่น Kaspersky Endpoint Detection and Responseการเพิ่มการป้องกันที่จำเป็นสำหรับเครื่องเอ็นด์พอยต์ แนะนำติดตั้งโซลูชั่นระดับองค์กรที่สามารถตรวจจับภัยคุกคามขั้นสูงในเน็ตเวิร์กได้ตั้งแต่เพิ่มเริ่ม เช่น Kaspersky Anti Targeted Attack Platform

ข่าวประชาสัมพันธ์ล่าสุด

๑๗:๒๑ 60 ปีแห่งความมุ่งมั่น! คาโอ คว้ารางวัลอุตสาหกรรมดีเด่น 2 ประเภทในปี 2567 ชูความสำเร็จด้านสิ่งแวดล้อมและความรับผิดชอบต่อสังคม
๑๗:๒๓ AVATR ก้าวสู่ความสำเร็จครั้งยิ่งใหญ่! ระดมทุนในรอบ Series C ได้มากกว่า 11,000 ล้านหยวน พร้อมก้าวสู่ความเป็นผู้นำในตลาดรถยนต์ไฟฟ้าหรูหราแห่งอนาคต
๑๗:๐๖ Zoom เปิด 10 เทรนด์ ใช้ AI ในการทำงานปี 2568
๑๗:๑๐ เปิดมุมมองอาชีพที่หลากหลายในอุตสาหกรรมกาแฟไทย เจาะลึกบทบาทและแนวทางยกระดับสู่การเติบโตอย่างยั่งยืน
๑๗:๑๔ อนาคตแห่งการเดินทาง: 5 คนขับ AI จากแอปเรียกรถ Maxim
๑๗:๕๕ Well-Being House บ้านชั้นเดียวเอาใจคนวัยเกษียณ
๑๗:๑๖ กทม. แจงเปิดกว้างการแข่งขันโครงการเช่าคอมพิวเตอร์พกพาสำหรับนักเรียน
๑๖:๓๗ รายงาน Ericsson Mobility Report ฉบับล่าสุด เผยผู้เริ่มให้บริการ 5G กลุ่มแรกกำลังมุ่งสู่โมเดลธุรกิจที่เน้นประสิทธิภาพ
๑๗:๒๕ เมดีซ กรุ๊ป ร่วมสมทบทุนสนับสนุนมูลนิธิโรงพยาบาลสมเด็จพระยุพราช ช่วยผู้ป่วยในชนบท ถิ่นทุรกันดารที่ห่างไกล
๑๖:๔๔ CNN จับตา นวัตกรรมล่าสุดจากนักวิจัยไทย พลิกโฉมการตรวจคัดกรองความเครียดด้วย เหงื่อ