ในยุคดิจิทัลทุกวันนี้ การโจมตีทางไซเบอร์มีความซับซ้อนและอันตรายมากกว่าที่เคย เมื่อไม่นานนี้ ได้มีการตรวจพบการโจมตีทางไซเบอร์ที่ซับซ้อนโดยกำหนดเป้าหมายไปที่คอมพิวเตอร์ในยูเครน โดยมีเป้าหมายเพื่อติดตั้งมัลแวร์ Cobalt Strike และควบคุมเซิร์ฟเวอร์ที่ติดไวรัส การโจมตีนี้ไม่เพียงแต่ใช้เทคนิคขั้นสูงเพื่อเจาะระบบเท่านั้น แต่ยังใช้มาตรการหลบเลี่ยงหลายวิธีเพื่อหลีกเลี่ยงการตรวจจับโดยซอฟต์แวร์ความปลอดภัยอีกด้วย ในบทความนี้ เราจะดูรายละเอียดว่าการโจมตีทำงานอย่างไร เทคนิคที่แฮ็กเกอร์ใช้ และมาตรการง่ายๆ ที่คุณสามารถใช้เพื่อป้องกันตนเองจากภัยคุกคามที่คล้ายคลึงกัน

ส่วนที่ 1: เทคนิคการโจมตีของแฮ็กเกอร์ที่ซับซ้อน

ตอนนี้เราเข้าใจบริบทและความสำคัญของการเปิดเผยการโจมตีทางไซเบอร์ที่ซับซ้อนนี้แล้ว มาเจาะลึกกันเพื่อดูว่าแฮกเกอร์ดำเนินการโจมตีนี้ได้อย่างไร

การโจมตีจะเกิดขึ้นตามกระบวนการพื้นฐาน 8 ขั้นตอนดังต่อไปนี้:

ขั้นตอนที่ 1: ผู้ใช้เปิดไฟล์ Excel ที่เป็นอันตราย

แฮกเกอร์ส่งไฟล์ Excel ที่มีโค้ดที่เป็นอันตรายไปยังเหยื่อผ่านทางอีเมลหรือวิธีการอื่น เมื่อผู้ใช้เปิดไฟล์นี้ ระบบจะแจ้งให้เปิดใช้งานเนื้อหาเพื่อเปิดใช้งานแมโคร

ขั้นตอนที่ 2: เปิดใช้งาน VBA Macro เพื่อใช้งาน DLL Downloader

เมื่อผู้ใช้เปิดใช้งานแมโคร โค้ด VBA ที่ฝังอยู่ในไฟล์ Excel จะเริ่มทำงานและปรับใช้ DLL Downloader โดยใช้ยูทิลิตี้ระบบเซิร์ฟเวอร์ลงทะเบียน (regsvr32)

ขั้นตอนที่ 3: DLL Downloader ตรวจสอบซอฟต์แวร์ความปลอดภัย

DLL Downloader ตรวจสอบว่ามีซอฟต์แวร์ความปลอดภัย เช่น Avast Antivirus หรือ Process Hacker กำลังทำงานอยู่บนระบบหรือไม่

ขั้นตอนที่ 4: หากตรวจพบซอฟต์แวร์ป้องกันไวรัส มัลแวร์จะทำลายตัวเองเพื่อหลีกเลี่ยงการตรวจจับ

หากตรวจพบซอฟต์แวร์ความปลอดภัย มัลแวร์จะทำลายตัวเองเพื่อหลีกเลี่ยงการตรวจจับและการกักกัน

ขั้นตอนที่ 5: หากไม่ตรวจพบโปรแกรมป้องกันไวรัส ให้เชื่อมต่อกับเซิร์ฟเวอร์ของแฮ็กเกอร์และดาวน์โหลดโค้ดที่เป็นอันตราย

หากไม่พบซอฟต์แวร์ความปลอดภัย DLL Downloader จะเชื่อมต่อกับเซิร์ฟเวอร์คำสั่งและควบคุม (C2) ของแฮ็กเกอร์เพื่อดาวน์โหลดเพย์โหลดการเข้ารหัสขั้นถัดไป

ขั้นตอนที่ 6: ดาวน์โหลดเพย์โหลดที่เป็นอันตราย ซึ่งโดยปกติแล้วจะเป็น DLL

ขั้นตอนต่อไปคือการดาวน์โหลดเพย์โหลดการเข้ารหัสซึ่งโดยปกติแล้วจะเป็นไฟล์ DLL ไฟล์นี้รับผิดชอบในการเปิดตัวขั้นตอนถัดไปในห่วงโซ่การโจมตี

ขั้นตอนที่ 7: DLL ติดตั้ง Cobalt Strike Beacon เพื่อสร้างการสื่อสารกับเซิร์ฟเวอร์คำสั่งและการควบคุม (C2)

ไฟล์ DLL ที่ดาวน์โหลดจะปรับใช้ Cobalt Strike Beacon ซึ่งเป็นเพย์โหลดพิเศษที่ใช้ในการสร้างการสื่อสารกับเซิร์ฟเวอร์ C2 ของแฮ็กเกอร์

ขั้นตอนที่ 8: Cobalt Strike Beacon สร้างการเชื่อมต่อกับเซิร์ฟเวอร์แฮ็กเกอร์

Cobalt Strike Beacon สร้างการสื่อสารกับเซิร์ฟเวอร์ C2 ช่วยให้แฮกเกอร์สามารถควบคุมคอมพิวเตอร์ที่ติดไวรัสได้อย่างสมบูรณ์ และดำเนินกิจกรรมที่เป็นอันตราย เช่น การขโมยข้อมูล การควบคุมระยะไกล และการเฝ้าระวัง

ตอนที่ 2: เทคนิคการหลบเลี่ยงอันซับซ้อนของแฮกเกอร์

ตอนนี้เราเข้าใจวิธีการทำงานของการโจมตีแล้ว เราจึงต้องทราบเพิ่มเติมว่าแฮกเกอร์หลีกเลี่ยงการตรวจจับได้อย่างไรเพื่อให้ประสบความสำเร็จในการโจมตีครั้งนี้

แฮกเกอร์ใช้เทคนิคการหลีกเลี่ยงที่ซับซ้อนมากเพื่อให้แน่ใจว่าการโจมตีของพวกเขาจะประสบความสำเร็จโดยไม่ถูกตรวจพบ ความเข้าใจเกี่ยวกับเทคนิคเหล่านี้ช่วยให้เราตระหนักถึงอันตรายจากการโจมตีทางไซเบอร์ในปัจจุบันมากขึ้น และจากนั้นจึงใช้มาตรการป้องกันที่เหมาะสม

ส่วนที่ 3: มาตรการป้องกันที่ดีที่สุดสำหรับผู้ใช้

จากการเพิ่มขึ้นของการโจมตีทางไซเบอร์ที่ซับซ้อน การปกป้องระบบและข้อมูลจึงมีความสำคัญมากกว่าที่เคย ต่อไปนี้เป็นมาตรการสำคัญที่จะช่วยให้คุณปรับปรุงความปลอดภัยทางไซเบอร์ได้อย่างมีประสิทธิภาพ:

จากการเพิ่มขึ้นของการโจมตีทางไซเบอร์ที่ซับซ้อน การปกป้องระบบและข้อมูลส่วนบุคคลจึงมีความสำคัญอย่างยิ่ง การไม่เปิดใช้งาน แมโคร จากแหล่งที่ไม่น่าเชื่อถือ การอัปเดตซอฟต์แวร์เป็นประจำ การใช้โซลูชันความปลอดภัยที่แข็งแกร่ง และการตรวจสอบไฟล์ด้วยเครื่องมือเช่น VirusTotal ช่วยให้ผู้ใช้ลดความเสี่ยงในการติดมัลแวร์ได้ ควรเฝ้าระวังและปฏิบัติตามมาตรการรักษาความปลอดภัยอยู่เสมอเพื่อปกป้องตนเองจากภัยคุกคามทางไซเบอร์