การรณรงค์โจมตีแบบเจาะจงเพิ่มขึ้นอย่างรวดเร็ว

การโจมตีแบบเจาะจงเป้าหมาย - APT บนระบบสารสนเทศสำคัญที่มีข้อมูลจำนวนมากและมีอิทธิพลสูง เป็นหนึ่งในแนวโน้มการโจมตีที่กลุ่มแฮ็กเกอร์หลายกลุ่มเลือกใช้ แนวโน้มนี้กำลังเพิ่มขึ้นเรื่อยๆ ในบริบทที่องค์กรและธุรกิจหลายแห่งกำลังเปลี่ยนการดำเนินงานไปสู่สภาพแวดล้อมดิจิทัล ซึ่งมีสินทรัพย์ข้อมูลขนาดใหญ่ขึ้นเรื่อยๆ

ในความเป็นจริง สถานการณ์ด้านความปลอดภัยทางไซเบอร์ในโลก และเวียดนามในช่วงเดือนแรกของปีนี้ แสดงให้เห็นอย่างชัดเจนถึงแนวโน้มที่เพิ่มขึ้นของการโจมตีแบบกำหนดเป้าหมายบนระบบของหน่วยงานที่ปฏิบัติงานในภาคส่วนสำคัญ เช่น พลังงาน โทรคมนาคม เป็นต้น โดยเฉพาะอย่างยิ่งในเวียดนาม ในช่วงครึ่งแรกของปี 2567 การโจมตีแบบกำหนดเป้าหมายโดยใช้แรนซัมแวร์บนระบบของ VNDIRECT, PVOIL เป็นต้น ทำให้เกิดการหยุดชะงักในการดำเนินงาน และความเสียหายต่อวัตถุและภาพลักษณ์ของธุรกิจเหล่านี้ รวมถึงการดำเนินกิจกรรมต่างๆ เพื่อให้แน่ใจว่ามีความปลอดภัยทางไซเบอร์ของชาติ

W-su-co-tan-cong-ransomware-vndirect-1-1-1.jpg
การโจมตีโดยเจตนาโดยใช้มัลแวร์เพื่อเข้ารหัสข้อมูลบนระบบของ VNDIRECT เมื่อต้นปีนี้ถือเป็นบทเรียนสำคัญสำหรับหน่วยงานในเวียดนามเกี่ยวกับการรับรองความปลอดภัยของข้อมูล ภาพ: DV

จากข้อมูลที่เพิ่งเปิดเผย ศูนย์เฝ้าระวังความปลอดภัยทางไซเบอร์แห่งชาติ (NCSC) ภายใต้กรมความมั่นคงปลอดภัยสารสนเทศ ระบุว่า เมื่อเร็วๆ นี้ หน่วยงานได้บันทึกข้อมูลที่เกี่ยวข้องกับแคมเปญโจมตีทางไซเบอร์ที่ใช้มัลแวร์ที่ซับซ้อนและเทคนิคการโจมตีที่ซับซ้อนโดยเจตนาเพื่อเจาะระบบข้อมูลสำคัญขององค์กรและธุรกิจต่างๆ โดยมีเป้าหมายหลักเพื่อโจมตีทางไซเบอร์ การโจรกรรมข้อมูล และการทำลายระบบ

ในคำเตือนเมื่อวันที่ 11 กันยายน ที่ส่งถึงหน่วยงานด้านไอทีและความปลอดภัยข้อมูลของกระทรวง สาขา และท้องถิ่น บริษัทของรัฐ บริษัททั่วไป ผู้ให้บริการโทรคมนาคม อินเทอร์เน็ตและแพลตฟอร์มดิจิทัล และองค์กรทางการเงินและธนาคาร กรมความปลอดภัยข้อมูลได้ให้ข้อมูลโดยละเอียดเกี่ยวกับแคมเปญโจมตี APT โดยกลุ่มโจมตีสามกลุ่ม ได้แก่ Mallox Ransomware, Lazarus และ Stately Taurus (หรือที่รู้จักกันในชื่อ Mustang Panda)

โดยเฉพาะอย่างยิ่งควบคู่ไปกับการสังเคราะห์และวิเคราะห์พฤติกรรมการโจมตีของกลุ่มโจมตีในแคมเปญโจมตีแบบเจาะจง 3 แคมเปญที่มุ่งเป้าไปที่ระบบสารสนเทศที่สำคัญ ได้แก่ แคมเปญโจมตีที่เกี่ยวข้องกับแรนซัมแวร์ Mallox แคมเปญของกลุ่ม Lazarus ที่ใช้แอปพลิเคชัน Windows ปลอมตัวเป็นแพลตฟอร์มการประชุม ทางวิดีโอ เพื่อแพร่กระจายมัลแวร์หลายประเภท และแคมเปญของกลุ่ม Stately Taurus ที่ใช้ประโยชน์จาก VSCode เพื่อโจมตีองค์กรต่างๆ ในเอเชีย กรมความมั่นคงปลอดภัยสารสนเทศยังได้จัดทำตัวบ่งชี้การโจมตีทางไซเบอร์ - IoC เพื่อให้หน่วยงาน องค์กร และธุรกิจทั่วประเทศสามารถตรวจสอบและตรวจจับความเสี่ยงของการโจมตีทางไซเบอร์ได้ในระยะเริ่มต้น

ก่อนหน้านั้น ในเดือนสิงหาคม พ.ศ. 2567 กรมความปลอดภัยสารสนเทศยังคงออกคำเตือนเกี่ยวกับแคมเปญโจมตีแบบเจาะจงอันตรายอื่นๆ อย่างต่อเนื่อง เช่น แคมเปญที่ใช้เทคนิค 'AppDomainManager Injection' เพื่อแพร่กระจายมัลแวร์ ซึ่งระบุว่าเกี่ยวข้องกับกลุ่ม APT 41 และส่งผลกระทบต่อองค์กรในภูมิภาคเอเชีย แปซิฟิก รวมถึงเวียดนาม แคมเปญโจมตีทางไซเบอร์ที่ดำเนินการโดยกลุ่ม APT StormBamboo ซึ่งมุ่งเป้าไปที่ผู้ให้บริการอินเทอร์เน็ต โดยมีเป้าหมายเพื่อติดตั้งมัลแวร์บนระบบ macOS และ Windows ของผู้ใช้ เพื่อเข้าควบคุมและขโมยข้อมูลสำคัญ และแคมเปญโจมตีทางไซเบอร์ที่ดำเนินการโดยกลุ่มโจมตี APT MirrorFace ซึ่ง 'เป้าหมาย' คือสถาบันการเงิน สถาบันวิจัย และผู้ผลิต...

แบบจำลองขั้นตอนการโจมตี 1.jpg
แผนภาพขั้นตอนการโจมตีของกลุ่ม StormBamboo APT ที่มุ่งเป้าไปที่ผู้ให้บริการอินเทอร์เน็ต ซึ่งได้รับการเตือนจากฝ่ายรักษาความปลอดภัยข้อมูลเมื่อวันที่ 6 สิงหาคม 2567 ภาพ: NCSC

ข้อมูลเกี่ยวกับกลุ่มโจมตีแบบกำหนดเป้าหมายที่มุ่งเป้าไปที่องค์กรขนาดใหญ่และธุรกิจในเวียดนามยังเป็นเนื้อหาที่ Viettel Cyber Security มุ่งเน้นวิเคราะห์และแบ่งปันในรายงานสถานการณ์ด้านความปลอดภัยทางข้อมูลในเวียดนามในช่วงครึ่งปีแรกของปีนี้

โดยเฉพาะอย่างยิ่ง การวิเคราะห์โดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ Viettel แสดงให้เห็นว่าในช่วงครึ่งแรกของปี 2024 กลุ่มโจมตี APT ได้อัปเกรดเครื่องมือและมัลแวร์ที่ใช้ในการโจมตี ดังนั้น วิธีการโจมตีหลักของกลุ่ม APT คือการใช้เอกสารและซอฟต์แวร์ปลอมเพื่อหลอกล่อผู้ใช้ให้รันมัลแวร์ และเทคนิคยอดนิยมที่หลายกลุ่มใช้คือ DLL-Sideloading ซึ่งใช้ประโยชน์จากไฟล์ปฏิบัติการที่สะอาดเพื่อโหลด DLL ที่เป็นอันตราย หรือผ่านช่องโหว่ด้านความปลอดภัย CVE

กลุ่ม APT ที่ได้รับการประเมินโดยระบบเทคนิคของ Viettel Cyber Security ว่ามีผลกระทบสำคัญต่อธุรกิจและองค์กรในเวียดนามในช่วงเดือนแรกของปี 2024 ได้แก่ Mustang Panda, Lazarus, Kimsuky, SharpPanda, APT32, APT 28 และ APT27

มาตรการป้องกันความเสี่ยงเบื้องต้นของระบบที่ถูกโจมตีโดย APT

ในคำเตือนเกี่ยวกับการโจมตีแบบ APT กรมความมั่นคงปลอดภัยสารสนเทศได้แนะนำให้หน่วยงาน องค์กร และธุรกิจต่างๆ ดำเนินการตรวจสอบและทบทวนระบบสารสนเทศที่ตนใช้งานอยู่ซึ่งอาจได้รับผลกระทบจากการโจมตีดังกล่าว ขณะเดียวกัน ควรเฝ้าระวังข้อมูลที่เกี่ยวข้องกับการโจมตีทางไซเบอร์อย่างจริงจัง เพื่อดำเนินการป้องกันความเสี่ยงจากการถูกโจมตีตั้งแต่เนิ่นๆ

W-ระบบสารสนเทศ-ความปลอดภัย-1-1.jpg
ขอแนะนำให้หน่วยงาน องค์กร และธุรกิจภายในประเทศเพิ่มการติดตามและเตรียมแผนรับมือเมื่อตรวจพบสัญญาณการแสวงหาประโยชน์และการโจมตีทางไซเบอร์ ภาพ: LA

พร้อมกันนี้ หน่วยงานต่างๆ ยังได้รับการแนะนำให้เสริมความแข็งแกร่งในการติดตามและเตรียมแผนตอบสนองเมื่อตรวจพบสัญญาณการแสวงหาประโยชน์และการโจมตีทางไซเบอร์ ตรวจสอบช่องทางการเตือนภัยจากหน่วยงานและองค์กรรักษาความปลอดภัยข้อมูลขนาดใหญ่เป็นประจำ เพื่อตรวจจับความเสี่ยงจากการโจมตีทางไซเบอร์ได้อย่างทันท่วงที

ในบริบทของการโจมตีทางไซเบอร์ รวมถึงการโจมตีแบบกำหนดเป้าหมาย ซึ่งเพิ่มขึ้นอย่างต่อเนื่องทั่วโลกและในเวียดนาม ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลยังได้แนะนำมาตรการต่างๆ ให้กับองค์กรและบริษัทในประเทศเพื่อมุ่งเน้นในการลดความเสี่ยงและรักษาการผลิตและกิจกรรมทางธุรกิจอย่างต่อเนื่อง

สิ่งเหล่านี้ได้แก่ การตรวจสอบกระบวนการและระบบสำหรับจัดการข้อมูลลูกค้าและข้อมูลภายใน การตรวจสอบสัญญาณการบุกรุกระบบเชิงรุก การตรวจจับและตอบสนองในระยะเริ่มต้นต่อกลุ่มโจมตีที่เป็นเป้าหมาย การตรวจสอบและอัปเกรดเวอร์ชันของซอฟต์แวร์และแอปพลิเคชันที่มีช่องโหว่ด้านความปลอดภัยซึ่งมีผลกระทบร้ายแรง...

เจ้าหน้าที่ฝ่ายเทคนิคจากประเทศต่างๆ ในภูมิภาคเอเชียแปซิฟิกฝึกซ้อมการรับมือกับการโจมตี APT การฝึกซ้อมนานาชาติ APCERT 2024 ภายใต้หัวข้อ "การรับมือกับการโจมตี APT: การค้นหาวิธีแก้ปัญหาที่ยากลำบาก" จัดขึ้นเมื่อวันที่ 29 สิงหาคม โดยมีเจ้าหน้าที่ฝ่ายเทคนิคจากเวียดนามและประเทศอื่นๆ ในภูมิภาคเอเชียแปซิฟิกเข้าร่วม