แคสเปอร์สกี้ แลป ระบุไตรมาส 2 วายร้าย APT ป่วนแถบเอเชียหนัก

ในช่วงไตรมาสที่สองของปี 2018 นักวิจัยจากแคสเปอร์สกี้ แลป สังเกตพบความเคลื่อนไหวของปฏิบัติการวายร้าย APT ป่วนเปี้ยนอยู่แถบเอเชีย และพบความเชื่อมโยงกับ threat actors ทั้งตัวเก่าและตัวใหม่ที่ยังไม่คุ้นนัก มีการวางเป้าหรือตั้งเวลาปล่อยแคมเปญออกปฏิบัติการช่วงเวลาที่มีความอ่อนไหวทางภูมิศาสตร์การเมือง รายละเอียดและทิศทางเหล่านี้ระบุไว้ในรายงานสรุปข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามทางไซเบอร์รายไตรมาสล่าสุด

 

ในไตรมาสที่สองปี 2018 นักวิจัยของแคสเปอร์สกี้ แลป เปิดโปงทูล เทคนิค และแคมเปญที่กลุ่ม APT ได้ปล่อยออกก่อกวนครั้งใหม่ ซึ่งพบว่าบางตัวก็เงียบงำมาหลายปี และภูมิภาคเอเชียยังคงเป็นศูนย์กลางที่อยู่ในความสนใจของกลุ่ม APT อาทิ กลุ่มระดับภูมิภาค เช่น กลุ่มลาซารัสที่ใช้ภาษาเกาหลี และกลุ่มสการ์ครัฟต์ (Scarcruft) ที่จะยุ่งวุ่นวายอยู่เป็นพิเศษ โดยนักวิจัยค้นพบว่ามีการฝังตัวชนิดที่เรียกว่า LightNeuron ที่กลุ่มที่ใช้ภาษารัสเซียที่ชื่อว่า เทอร์ลา (Turla) ได้นำมาใช้งาน และมีเป้าหมายคือเอเชียกลางและตะวันออกกลาง

 

ไฮไลท์ที่น่าจับตามอง ไตรมาส 2 ปี 2018:

 

• การกลับมาของแอคเตอร์เบื้องหลัง Olympic Destroyer หลังการโจมตีการแข่งขัน Pyeongchang Winter Olympic games เมื่อเดือนมกราคม 2561 ที่เพิ่งผ่านมานั้น นักวิจัยค้นพบตัวแอคเตอร์ที่เชื่อว่าเป็นตัวออกปฏิบัติการใหม่มีเป้าหมายที่องค์กรการเงินในรัสเซีย และห้องปฏิบัติการป้องกันภัยเคมีชีวภาพในยุโรปและยูเครน โดยพบตัวบ่งชี้จำนวนหนึ่งที่คาดว่าน่าจะเป็นตัวเชื่อมโยงระหว่าง Olympic Destroyer กับตัว threat actor ภาษารัสเซียที่ชื่อ Sofacy
• Lazarus/BlueNoroff มีเค้าลางบ่งชี้ว่า APT ระดับโลกตัวนี้มีเป้าหมายที่องค์กรการเงินในตุรกี น่าจะเป็นส่วนหนึ่งของการจารกรรมไซเบอร์ที่ใหญ่กว่านี้ เป้าหมายยังรวมถึงบ่อนคาสิโนในละตินอเมริกาอีกด้วย เป็นที่เด่นชัดว่าเงินคือเป้าหมายหลักสำหรับปฏิบัติการร้ายของกลุ่มนี้ แม้ว่าจะมีการดำเนินการทางการทูตกับเกาหลีเหนือก็ตาม
• นักวิจัยสังเกตุพบกิจกรรมจำนวนมากมาจากกลุ่ม Scarcruft APT ใช้แอนดรอยด์มัลแวร์ และปล่อยปฏิบัติการที่มีแบคดอร์ตัวใหม่ที่ตั้งชื่อว่า POORWEB
• LuckyMouse APT ซึ่งเป็นกลุ่มที่ใช้ภาษาจีนและเป็นที่รู้จักอีกชื่อว่า APT 27 อาศัย ISPs ในเอเชียเพื่อทำการโจมตีแบบ waterhole attacks ผ่านทางเว็บไซต์ที่เป็นที่นิยม และยังมีเป้าหมายที่หน่วยงานภาครัฐของคาซัคสถานและมองโกเลียในช่วงที่จัดการประชุมในประเทศจีน
• The VPNFilter campaign ใช้ Sofacy หรือ Sandworm เปิดช่องโหว่ขนาดใหญ่เพื่อโจมตีเน็ตเวิร์กฮาร์ดแวร์และสตอเรจโซลูชั่น ปล่อยมัลแวร์เข้ากระแสทราฟฟิก แพร่เชื้อไปตามเครื่องคอมพิวเตอร์บนเน็ตเวิร์กดีไวซ์ การวิเคราะห์ของแคสเปอร์สกี้ แลป ยืนยันว่ามีการพบร่องรอยของแคมเปญนี้ในเกือบทุกประเทศเลยทีเดียว

 

วิเซนเต้ ดิอาซ นักวิจัยด้านความปลอดภัย ทีมวิเคราะห์และวิจัยระดับโลก (GReAT) แคสเปอร์สกี้ แลป กล่าวว่า “ในไตรมาสสองปี 2018 พบว่า APT มีการเคลื่อนไหวที่น่าสนใจ มีการปล่อยแคมเปญที่มีกลเม็ดทำลายล้าง มาย้ำเตือนกันพอหอมปากหอมคอถึงอันตรายของภัยไซเบอร์ที่ใกล้ตัวแล้วเป็นจริงตามคาดการณ์ไว้เมื่อไม่กี่ปีที่ผ่านมา โดยเฉพาะอย่างยิ่ง เราได้ย้ำเตือนว่าเน็ตเวิร์กกิ้งฮาร์ดแวร์นี้เองที่จะเป็นช่องทางที่ลงตัวที่สุดสำหรับปฏิบัติการแบบมีการวางเป้าหมาย และเน้นย้ำถึงความพยายามในการอาศัยช่องทางนี้ และการแพร่กระจายของปฏิบัติการขั้นสูงเลยทีเดียวที่พบว่ามีเป้าหมายภารกิจมายังอุปกรณ์นี้โดยเฉพาะ”

 

รายงานทิศทาง APT ไตรมาสที่ 2 สรุปข้อมูลที่ได้จากการสำรวจผู้เป็นสมัครเป็นสมาชิกรับรายงานข้อมูลวิเคราะห์เชิงลึกเกี่ยวกับภัยคุกามไซเบอร์กลุ่มนี้เท่านั้น ซึ่งรวมถึงข้อมูล Indicators of Compromise (IOC) และ YARA rules เพื่อช่วยสนับสนุนงานด้านการสืบค้น วิเคราะห์หลักฐานทางดิจิทัลและการสืบสวนไล่ล่ามัลแวร์ หากสนใจข้อมูลเพิ่มเติม ท่านสามารถติดต่อได้ที่ [email protected]