“Operation Ghoul” ปฏิบัติการล้วงตับ ผู้ก่อการตัวร้ายไล่ล่าข้อมูล ส่งมัลแวร์รุ่นเดอะป่วนภาคส่วนอุตสาหกรรมและวิศวกรรม

ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (Global Research and Analysis Team – GReAT) ได้ค้นพบคลื่นลูกใหม่ของการโจมตีแบบตั้งเป้าหมาย (targeted attacks) ไปที่ภาคส่วนอุตสาหกรรมและวิศวกรรมในหลายๆ ประเทศทั่วโลก อาศัยอีเมลฟิชชิ่งและมัลแวร์เข้ามาก่อน โดยอิงตามสปายแวร์คิทเชิงพานิชย์ จากนั้นอาชญากรจะไล่ล่าหาข้อมูลทางธุรกิจที่อยู่บนระบบเครือข่ายของเหยื่อ นับรวมแล้วกว่า 130 องค์กรใน 30 ประเทศ อาทิ สเปน ปากีสถาน สหรัฐอาหรับเอมิเรตส์ อินเดีย อียิปต์ สหราชอาณาจักร เยอรมนี ซาอุดิอาระเบีย และอื่นๆ อีกมากมายก็ตกเป็นเป้าหมายของกลุ่มนี้

victimsเมื่อเดือนมิถุนายน พ.ศ. 2559 นักวิจัยของแคสเปอร์สกี้ แลป สังเกตพบคลื่นฟิชชิ่งอีเมลมีไฟล์แนบอันตรายมาด้วย ข้อความเหล่านี้ส่วนมากถูกส่งไปหาผู้บริหารระดับสูงและกลางในหลายๆ บริษัท โดยอีเมลที่ส่งมานั้นจะดูเหมือนว่าส่งมาจากธนาคารในสหรัฐอาหรับเอมิเรตส์ เป็นใบแจ้งการโอนเงินที่มีเอกสารแนบเกี่ยวกับธุรกรรมนั้น (SWIFT) มาด้วย แต่ในความเป็นจริงกลับเป็นไฟล์มัลแวร์

การสืบสวนเพิ่มเติมโดยนักวิจัยของแคสเปอร์สกี้ แลปชี้ว่าเคมเปญสเปียร์ฟิชชิ่งนี้บงการโดยกลุ่มอาชญากรไซเบอร์ ซึ่งทางทีมนักวิจัยของแคสเปอร์สกี้ แลปได้ติดตามพฤติกรรมมาตั้งแต่เดือนมีนาคม พ.ศ. 2558 การโจมตีเมื่อเดือนมิถุนายนจัดเป็นครั้งล่าสุดโดยฝีมือของกลุ่มนี้victims2

มัลแวร์ที่พบในไฟล์แนบนี้ใช้สปายแวร์ HawkEye ซึ่งจำหน่ายกันอย่างเปิดเผยบน Darkweb ซ้ำยังให้ทูลต่างๆ นาๆ ไว้ใช้ในการโจมตีอีกด้วย หลังการติดตั้ง ก็จะทำการเก็บรวบรวมข้อมูลที่น่าสนใจจากเครื่องคอมพิวเตอร์ของเหยื่อ ได้แก่:

  • การกดแป้นพิมพ์
  • ข้อมูลบนคลิปบอร์ด
  • ข้อมูลจำเพาะของ FTP เซิร์ฟเวอร์
  • ข้อมูลบัญชีผู้ใช้จากเบราเซอร์
  • ข้อมูลบัญชีผู้ใช้จากลูกข่ายที่สื่อสารข้อความกัน (เช่น Paltalk, Google talk, AIM)
  • ข้อมูลบัญชีผู้ใช้จากลูกข่ายที่ติดต่อทางอีเมล (เช่น Outlook, Windows Live mail)
  • ข้อมูลเกี่ยวกับแอพพลิเคชั่นที่ได้ติดตั้งไว้ (Microsoft Office)

จากนั้นจะส่งข้อมูลต่อไปยังเซิร์ฟเวอร์บังคับการของตัวแอคเตอร์ก่อการ จากข้อมูลที่ตกมาได้จากช่องโหว่บนเซิร์ฟเวอร์บังคับการบางตัว ชี้ไปในทิศทางว่าเหยื่อส่วนมากอยู่ในภาคส่วนอุตสาหกรรมและวิศวกรรม ในส่วนอื่นๆ ก็มี ได้แก่ การดำเนินงานขนส่งสินค้า เภสัชกรรม การผลิต ธุรกิจซื้อขายสินค้า องค์กรด้านการศึกษา และอื่นๆ

บริษัทเหล่านี้ล้วนมีข้อมูลที่มีค่า สามารถนำมาขายทำเงินได้ในตลาดมืด – ผลกำไรทางการเงินเป็นแรงจูงใจหลักของผู้กระทำผิดที่อยู่เบื้องหลังปฏิบัติการล้วงตับนี้ นั่นคือ Operation Ghoul

ปฏิบัติการล้วงตับ ที่ทางทีมวิจัยของแคสเปอร์สกี้แลปทำซ้อนขึ้น เป็นหนึ่งเดียวในหลากหลายเคมเปญที่คะเนว่าควบคุมโดยกลุ่มเดียวกัน และกลุ่มนี้ยังปฏิบัติงานอยู่

mohammed-amin-hasbini

โมฮัมหมัด อะมิน ฮาสบีนี ผู้เชี่ยวชาญด้านความปลอดภัย แคสเปอร์สกี้ แลป ให้ข้อมูลเกี่ยวกับที่มาของปฏิบัติการนี้ว่า เรื่องเล่าเมื่อครั้งโบราณ ผีปอบ (Ghoul) เป็นวิญญาณร้ายที่คอยกินเนื้อมนุษย์หรือเด็กๆ เป็นปีศาจที่มีที่มาแต่เดิมจากยุคเมโสโปเตเมีย วันนี้ คำๆ นี้ ในบางครั้งใช้เพื่ออธิบายลักษณะของบุคคลที่มีความละโมบหรือวัตถุนิยมสุดโต่ง ตรงเหลือเกินกับลักษณะของกลุ่มเบื้องหลัง ปฏิบัติการล้วงตับ (Operation Ghoul) ซึ่งมีแรงจูงใจเป็นเงินที่จะได้จากการขายข้อมูลทรัพย์สินทางปัญญาหรือข้อมูลจำเพาะทางธุรกิจที่ขโมยมาได้ หรือจากการเจาะบัญชีธนาคารของเหยื่อ ต่างไปจากผู้ก่อการที่มีเบื้องหลังเป็นระดับประเทศ พวกนี้จะระมัดระวังในการเลือกเป้าหมาย กลุ่มนี้และกลุ่มที่คล้ายกันอาจจะโจมตีบริษัทองค์กรใดก็ได้ ถึงแม้ว่า ทูลที่ใช้โจมตีจะค่อนข้างธรรมดา แต่ก็ให้ผลอย่างดี ดังนั้น บริษัทองค์กรที่มิได้เตรียมตัวที่รับมือ ก็จำต้องทนทุกข์จากผลที่ตามมาอย่างน่าเศร้า

นักวิจัยจากแคสเปอร์สกี้ แลป ให้คำแนะนำในการป้องกันองค์กรให้พ้นเงื้อมมือ ปฏิบัติการล้วงตับ ให้ดำเนินมาตรการต่างๆ ดังนี้:

  • อบรมให้ความรู้แก่พนักงาน เพื่อแยกแยะได้ถูกเวลาที่ได้รับฟิชชิ่งอีเมล หรือฟิชชิ่งลิ้งค์
  • ใช้โซลูชั่นเพื่อความปลอดภัยสำหรับคอร์ปอเรทที่เป็นที่ยอมรับ ควบคู่กับโซลูชั่นป้องกันการโจมตีแบบตั้งเป้า สามารถระบุการโจมตีได้จากการวิเคราะห์ความผิดปกติของระบบเครือข่าย
  • เตรียมความพร้อมให้แก่เจ้าหน้าที่ด้านระบบความปลอดภัยสามารถเข้าถึงข้อมูลจำเพาะของภัยคุกคามล่าสุดได้ เสมือนให้อาวุธในการป้องกันตัวและตรวจพบการจู่โจมแบบตั้งเป้าได้ เช่น ตัวระบุชี้จุดเสี่ยง และ ข้อกำหนด YARA เป็นต้น

 

โปรดักส์ของแคสเปอร์สกี้ แลป ตรวจจับมัลแวร์ที่กลุ่มปฏิบัติการล้วงตับนี้ใช้งาน ได้ดังนี้:

  • MSIL.ShopBot.ww
  • Win32.Fsysna.dfah
  • Win32.Generic

อ่านเพิ่มเติมเกี่ยวกับปฏิบัติการล้วงตับ ได้ที่บล็อกโพสต์ของเรา ที่ Securelist.com

Latest

เอเซอร์เปิดตัว Acer Swift Go series ใหม่ล่าสุด เปิดประสบการณ์ Unlock AI on The Go

กับโปรเซสเซอร์รุ่นล่าสุดจาก Intel® Core™ Ultra พร้อมเทคโนโลยี AI ช่วยยกระดับประสิทธิภาพการใช้งานที่เหนือชั้น กรุงเทพฯ, 7 กุมภาพันธ์...

ใช้ Synology NAS เป็น uptime monitoring ด้วยแอพ uptime-kuma สั่ง alert ผ่าน Line ได้ด้วย

สำหรับแอดมินที่ต้องดูแลหลายๆ เว็บไซต์ สิ่งที่จำเป็นก็คือเครื่องมือที่เรียกว่า uptime monitoring ที่คอยเตือนเมื่อเกิดเหตุการณ์เว็บล่ม เพราะบางครั้งแค่เว็บล่มเพียงไม่กี่นาที ก็ทำให้เกิดความเสียหายหลายแสนทีเดียว บริการ uptime...

เตือนภัยถึงแอดมิน ระวังเฟซบุ๊กถูกแฮกไม่รู้ตัว

ช่วงนี้มิจฉาชีพระบาดหนัก ล่าสุดผมเองก็โดนกับตัวผ่านทาง facebook เลยอยากจะมาเตือนเพื่อนๆ ทุกคน โดยบล็อกนี้ผมจะแฉวิธีการและวิธีสังเกตการหลอกเอาข้อมูลของเรา รู้ไว้จะได้รู้เท่าทันพวกมิจฉาชีพเหล่านี้ครับ 2 ขั้นตอนหลัก ที่มิจฯ...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Newsletter

Don't miss

เอเซอร์เปิดตัว Acer Swift Go series ใหม่ล่าสุด เปิดประสบการณ์ Unlock AI on The Go

กับโปรเซสเซอร์รุ่นล่าสุดจาก Intel® Core™ Ultra พร้อมเทคโนโลยี AI ช่วยยกระดับประสิทธิภาพการใช้งานที่เหนือชั้น กรุงเทพฯ, 7 กุมภาพันธ์...

ใช้ Synology NAS เป็น uptime monitoring ด้วยแอพ uptime-kuma สั่ง alert ผ่าน Line ได้ด้วย

สำหรับแอดมินที่ต้องดูแลหลายๆ เว็บไซต์ สิ่งที่จำเป็นก็คือเครื่องมือที่เรียกว่า uptime monitoring ที่คอยเตือนเมื่อเกิดเหตุการณ์เว็บล่ม เพราะบางครั้งแค่เว็บล่มเพียงไม่กี่นาที ก็ทำให้เกิดความเสียหายหลายแสนทีเดียว บริการ uptime...

เตือนภัยถึงแอดมิน ระวังเฟซบุ๊กถูกแฮกไม่รู้ตัว

ช่วงนี้มิจฉาชีพระบาดหนัก ล่าสุดผมเองก็โดนกับตัวผ่านทาง facebook เลยอยากจะมาเตือนเพื่อนๆ ทุกคน โดยบล็อกนี้ผมจะแฉวิธีการและวิธีสังเกตการหลอกเอาข้อมูลของเรา รู้ไว้จะได้รู้เท่าทันพวกมิจฉาชีพเหล่านี้ครับ 2 ขั้นตอนหลัก ที่มิจฯ...

หยอดปุกรอ!! 4 รถแบรนด์ดัง พลังงานไฮโดรเจน น่าจับตาปี 2023

สำหรับปี 2023 เป็นต้นไปนี้ เราจะเห็นรถพลังงานไฮโดรเจนเปิดตัวมากขึ้น ดูเหมือนทุกค่ายจะซุ่มทำรถไฮโดรเจนของตัวเอง แล้วเหมือนจะนัดกันเปิดตัวในปีนี้พร้อมๆ กัน

Windows Search ห่วย ใช้ Listary ช่วยคุณได้

คิดว่าหลายคนที่ใช้วินโดวส์เป็นหลัก น่าจะรู้สึกเหมือนผม คือรำคาญระบบค้นหา หรือช่อง search ของวินโดวส์ เพราะช้า แถมหาอะไรก็ไม่ค่อยเจอ ...

เอเซอร์เปิดตัว Acer Swift Go series ใหม่ล่าสุด เปิดประสบการณ์ Unlock AI on The Go

กับโปรเซสเซอร์รุ่นล่าสุดจาก Intel® Core™ Ultra พร้อมเทคโนโลยี AI ช่วยยกระดับประสิทธิภาพการใช้งานที่เหนือชั้น กรุงเทพฯ, 7 กุมภาพันธ์ 2567 – บริษัท เอเซอร์ คอมพิวเตอร์ จำกัด ตอบโจทย์ยุค AI PC ยกระดับประสบการณ์ให้ทุกการใช้งาน เปิดตัวโน้ตบุ๊ก Acer Swift Series รุ่นล่าสุด...

ใช้ Synology NAS เป็น uptime monitoring ด้วยแอพ uptime-kuma สั่ง alert ผ่าน Line ได้ด้วย

สำหรับแอดมินที่ต้องดูแลหลายๆ เว็บไซต์ สิ่งที่จำเป็นก็คือเครื่องมือที่เรียกว่า uptime monitoring ที่คอยเตือนเมื่อเกิดเหตุการณ์เว็บล่ม เพราะบางครั้งแค่เว็บล่มเพียงไม่กี่นาที ก็ทำให้เกิดความเสียหายหลายแสนทีเดียว บริการ uptime monitoring สมัยนี้มีหลากหลายเจ้า ปกติจะเก็บค่าบริการกันแบบ subscription รายเดือน แต่ถ้าใครไม่อยากจ่ายตังค์ วันนี้ผมมีโซลูชั่น สำหรับใครที่มีการใช้งาน NAS อยู่แล้ว เราจะเอา NAS มาทำเป็น uptime monitoring...

เตือนภัยถึงแอดมิน ระวังเฟซบุ๊กถูกแฮกไม่รู้ตัว

ช่วงนี้มิจฉาชีพระบาดหนัก ล่าสุดผมเองก็โดนกับตัวผ่านทาง facebook เลยอยากจะมาเตือนเพื่อนๆ ทุกคน โดยบล็อกนี้ผมจะแฉวิธีการและวิธีสังเกตการหลอกเอาข้อมูลของเรา รู้ไว้จะได้รู้เท่าทันพวกมิจฉาชีพเหล่านี้ครับ 2 ขั้นตอนหลัก ที่มิจฯ ใช้มาหลอกเรา ส่งข้อความมาทาง inbox แจ้งว่าเพจทำผิดกฎ หรือ ละเมิดกฎเฟซบุ๊ก ให้กดลิงค์ เพื่อยืนยันตัวตน ไม่งั้นจะบล็อกเพจถาวร พอเรากดลิงค์เข้าไป จะเจอกับหน้าเพจ (คล้าย) เฟซบุ๊ก ซึ่งมีฟอร์มให้เราใส่ข้อมูลต่างๆ รวมถึง ชื่อเพจ อีเมล...

LEAVE A REPLY

Please enter your comment!
Please enter your name here