ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (Global Research and Analysis Team – GReAT) ได้ค้นพบคลื่นลูกใหม่ของการโจมตีแบบตั้งเป้าหมาย (targeted attacks) ไปที่ภาคส่วนอุตสาหกรรมและวิศวกรรมในหลายๆ ประเทศทั่วโลก อาศัยอีเมลฟิชชิ่งและมัลแวร์เข้ามาก่อน โดยอิงตามสปายแวร์คิทเชิงพานิชย์ จากนั้นอาชญากรจะไล่ล่าหาข้อมูลทางธุรกิจที่อยู่บนระบบเครือข่ายของเหยื่อ นับรวมแล้วกว่า 130 องค์กรใน 30 ประเทศ อาทิ สเปน ปากีสถาน สหรัฐอาหรับเอมิเรตส์ อินเดีย อียิปต์ สหราชอาณาจักร เยอรมนี ซาอุดิอาระเบีย และอื่นๆ อีกมากมายก็ตกเป็นเป้าหมายของกลุ่มนี้

victimsเมื่อเดือนมิถุนายน พ.ศ. 2559 นักวิจัยของแคสเปอร์สกี้ แลป สังเกตพบคลื่นฟิชชิ่งอีเมลมีไฟล์แนบอันตรายมาด้วย ข้อความเหล่านี้ส่วนมากถูกส่งไปหาผู้บริหารระดับสูงและกลางในหลายๆ บริษัท โดยอีเมลที่ส่งมานั้นจะดูเหมือนว่าส่งมาจากธนาคารในสหรัฐอาหรับเอมิเรตส์ เป็นใบแจ้งการโอนเงินที่มีเอกสารแนบเกี่ยวกับธุรกรรมนั้น (SWIFT) มาด้วย แต่ในความเป็นจริงกลับเป็นไฟล์มัลแวร์

การสืบสวนเพิ่มเติมโดยนักวิจัยของแคสเปอร์สกี้ แลปชี้ว่าเคมเปญสเปียร์ฟิชชิ่งนี้บงการโดยกลุ่มอาชญากรไซเบอร์ ซึ่งทางทีมนักวิจัยของแคสเปอร์สกี้ แลปได้ติดตามพฤติกรรมมาตั้งแต่เดือนมีนาคม พ.ศ. 2558 การโจมตีเมื่อเดือนมิถุนายนจัดเป็นครั้งล่าสุดโดยฝีมือของกลุ่มนี้victims2

มัลแวร์ที่พบในไฟล์แนบนี้ใช้สปายแวร์ HawkEye ซึ่งจำหน่ายกันอย่างเปิดเผยบน Darkweb ซ้ำยังให้ทูลต่างๆ นาๆ ไว้ใช้ในการโจมตีอีกด้วย หลังการติดตั้ง ก็จะทำการเก็บรวบรวมข้อมูลที่น่าสนใจจากเครื่องคอมพิวเตอร์ของเหยื่อ ได้แก่:

  • การกดแป้นพิมพ์
  • ข้อมูลบนคลิปบอร์ด
  • ข้อมูลจำเพาะของ FTP เซิร์ฟเวอร์
  • ข้อมูลบัญชีผู้ใช้จากเบราเซอร์
  • ข้อมูลบัญชีผู้ใช้จากลูกข่ายที่สื่อสารข้อความกัน (เช่น Paltalk, Google talk, AIM)
  • ข้อมูลบัญชีผู้ใช้จากลูกข่ายที่ติดต่อทางอีเมล (เช่น Outlook, Windows Live mail)
  • ข้อมูลเกี่ยวกับแอพพลิเคชั่นที่ได้ติดตั้งไว้ (Microsoft Office)

จากนั้นจะส่งข้อมูลต่อไปยังเซิร์ฟเวอร์บังคับการของตัวแอคเตอร์ก่อการ จากข้อมูลที่ตกมาได้จากช่องโหว่บนเซิร์ฟเวอร์บังคับการบางตัว ชี้ไปในทิศทางว่าเหยื่อส่วนมากอยู่ในภาคส่วนอุตสาหกรรมและวิศวกรรม ในส่วนอื่นๆ ก็มี ได้แก่ การดำเนินงานขนส่งสินค้า เภสัชกรรม การผลิต ธุรกิจซื้อขายสินค้า องค์กรด้านการศึกษา และอื่นๆ

บริษัทเหล่านี้ล้วนมีข้อมูลที่มีค่า สามารถนำมาขายทำเงินได้ในตลาดมืด – ผลกำไรทางการเงินเป็นแรงจูงใจหลักของผู้กระทำผิดที่อยู่เบื้องหลังปฏิบัติการล้วงตับนี้ นั่นคือ Operation Ghoul

ปฏิบัติการล้วงตับ ที่ทางทีมวิจัยของแคสเปอร์สกี้แลปทำซ้อนขึ้น เป็นหนึ่งเดียวในหลากหลายเคมเปญที่คะเนว่าควบคุมโดยกลุ่มเดียวกัน และกลุ่มนี้ยังปฏิบัติงานอยู่

mohammed-amin-hasbini

โมฮัมหมัด อะมิน ฮาสบีนี ผู้เชี่ยวชาญด้านความปลอดภัย แคสเปอร์สกี้ แลป ให้ข้อมูลเกี่ยวกับที่มาของปฏิบัติการนี้ว่า เรื่องเล่าเมื่อครั้งโบราณ ผีปอบ (Ghoul) เป็นวิญญาณร้ายที่คอยกินเนื้อมนุษย์หรือเด็กๆ เป็นปีศาจที่มีที่มาแต่เดิมจากยุคเมโสโปเตเมีย วันนี้ คำๆ นี้ ในบางครั้งใช้เพื่ออธิบายลักษณะของบุคคลที่มีความละโมบหรือวัตถุนิยมสุดโต่ง ตรงเหลือเกินกับลักษณะของกลุ่มเบื้องหลัง ปฏิบัติการล้วงตับ (Operation Ghoul) ซึ่งมีแรงจูงใจเป็นเงินที่จะได้จากการขายข้อมูลทรัพย์สินทางปัญญาหรือข้อมูลจำเพาะทางธุรกิจที่ขโมยมาได้ หรือจากการเจาะบัญชีธนาคารของเหยื่อ ต่างไปจากผู้ก่อการที่มีเบื้องหลังเป็นระดับประเทศ พวกนี้จะระมัดระวังในการเลือกเป้าหมาย กลุ่มนี้และกลุ่มที่คล้ายกันอาจจะโจมตีบริษัทองค์กรใดก็ได้ ถึงแม้ว่า ทูลที่ใช้โจมตีจะค่อนข้างธรรมดา แต่ก็ให้ผลอย่างดี ดังนั้น บริษัทองค์กรที่มิได้เตรียมตัวที่รับมือ ก็จำต้องทนทุกข์จากผลที่ตามมาอย่างน่าเศร้า

นักวิจัยจากแคสเปอร์สกี้ แลป ให้คำแนะนำในการป้องกันองค์กรให้พ้นเงื้อมมือ ปฏิบัติการล้วงตับ ให้ดำเนินมาตรการต่างๆ ดังนี้:

  • อบรมให้ความรู้แก่พนักงาน เพื่อแยกแยะได้ถูกเวลาที่ได้รับฟิชชิ่งอีเมล หรือฟิชชิ่งลิ้งค์
  • ใช้โซลูชั่นเพื่อความปลอดภัยสำหรับคอร์ปอเรทที่เป็นที่ยอมรับ ควบคู่กับโซลูชั่นป้องกันการโจมตีแบบตั้งเป้า สามารถระบุการโจมตีได้จากการวิเคราะห์ความผิดปกติของระบบเครือข่าย
  • เตรียมความพร้อมให้แก่เจ้าหน้าที่ด้านระบบความปลอดภัยสามารถเข้าถึงข้อมูลจำเพาะของภัยคุกคามล่าสุดได้ เสมือนให้อาวุธในการป้องกันตัวและตรวจพบการจู่โจมแบบตั้งเป้าได้ เช่น ตัวระบุชี้จุดเสี่ยง และ ข้อกำหนด YARA เป็นต้น

 

โปรดักส์ของแคสเปอร์สกี้ แลป ตรวจจับมัลแวร์ที่กลุ่มปฏิบัติการล้วงตับนี้ใช้งาน ได้ดังนี้:

  • MSIL.ShopBot.ww
  • Win32.Fsysna.dfah
  • Win32.Generic

อ่านเพิ่มเติมเกี่ยวกับปฏิบัติการล้วงตับ ได้ที่บล็อกโพสต์ของเรา ที่ Securelist.com

LEAVE A REPLY

Please enter your comment!
Please enter your name here