Breaking News
Home / บทความน่ารู้ / แจ้งเตือนและข้อแนะนำ / ภัยคุกคามขั้นสูง Cloud Atlas พัฒนาเครื่องมือการโจมตีเป็นมัลแวร์แบบ polymorphic

ภัยคุกคามขั้นสูง Cloud Atlas พัฒนาเครื่องมือการโจมตีเป็นมัลแวร์แบบ polymorphic

ภัยคุกคามขั้นสูง Cloud Atlas พัฒนาเครื่องมือการโจมตีเป็นมัลแวร์แบบ polymorphic

 Cloud Atlas เป็นภัยคุกคามถาวรขั้นสูง หรือที่รู้จักกันในนาม Inception ได้อัปเดตการโจมตีใหม่ด้วยเครื่องมือใหม่ที่สามารถหลีกเลี่ยงการตรวจจับจากมาตรฐาน Indicators of Compromise ซึ่งการอัปเดตใหม่นี้ได้ตรวจพบในองค์กรต่าง ๆ ในยุโรปตะวันออก เอเชียกลาง และรัสเซีย

ภัยคุกคาม Cloud Atlas นี้มีประวัติมาอย่างยาวนานในด้านการปฏิบัติการคุกคามใน อุตสาหกรรม องค์กรรัฐบาล และองค์กรอื่น ๆ ได้เกิดขึ้นเมื่อปี 2557 และยังปฏิบัติงานมาจนถึงปัจจุบัน ตอนนี้นักวิจัยของ Kaspersky เห็นว่า Cloud Atlas กำลังพุ่งเป้าการโจมตีไปที่เศรษฐกิจระหว่างประเทศ และอุตสาหกรรมการบิน รวมทั้งรัฐบาล และองค์กรศาสนา ในโปรตุเกส โรมาเนีย ตุรกี ยูเครน รัสเซีย เติร์กเมนิสถาน อัฟกานิสถาน และคีร์กีซสถาน และประเทศอื่น ๆ และเมื่อ Cloud Atlas ได้ทำการเข้าแทรกซึมได้สำเร็จ มันจะดำเนินการดังนี้

  • เก็บข้อมูลเกี่ยวกับระบบที่ได้เข้าไป
  • รหัสผ่านเข้าสู่ระบบ
  • รวบรวมไฟล์พวก .txt .pdf. xls .doc เพื่อส่งไปยังเซิร์ฟเวอร์ควบคุม

แม้ว่า Cloud Atlas ยังไม่ได้เปลี่ยนกลยุทธ์มาตั้งแต่ปี 2561 แต่เมื่อเร็ว ๆ นี้ การวิจัยคลื่นการโจมตีได้ค้นพบการเปลี่ยนแปลงในรูปแบบใหม่ในการจู่โจมผู้ที่ตกเป็นเหยื่อ และดำเนินการเคลื่อนไหวผ่านเครือข่ายของพวกเขา

Fig.1: ห่วงโซ่การโจมตีของ Cloud Atlas ที่ใช้ในช่วงก่อน เมษายน 2562

ก่อนหน้านี้ Cloud Atlasจะส่งอีเมลฟิชชิ่งที่เป็นอันตรายไปยังเป้าหมาย เมื่อเข้าแสวงหาผลประโยชน์ได้สำเร็จ PowerSHower มัลแวร์ไฟล์แนบที่ใช้สำหรับการสำรวจครั้งแรกและดาวน์โหลดโมดูลที่เป็นอันตรายเพิ่มเติม ทีทำให้ผู้โจมตีเข้าปฎิบัติการต่อได้

ห่วงโซ่การโจมตีที่อัปเดตใหม่นี้ จะเลื่อนการดำเนินการของ PowerShower ไปยังอีกขั้นตอนต่อไป แทนที่จะเป็นหลังจากการเข้าไปได้แล้ว แอป HTML ที่เป็นอันตรายจะเริ่มดาวน์โหลด และดำเนินการบนเครื่องเป้าหมาย แอปพลิเคชั่นนี้จะรวบรวมข้อมูลของคอมพิวเตอร์ที่ตกเป็นเหยื่อ และดาวน์โหลดจากนั้นดำเนินการ VBShower ซึ่งเป็นอีกหนึ่งโมดูลอันตราย โดย VBShower จะลบหลักฐานการปรากฎตัวของมัลแวร์ในระบบ จากนั้นปรึกษากับผู้เชี่ยวชาญผ่านเซิร์ฟเวอร์คำสั่งและการควบคุม เพื่อที่จะตัดสินใจในการปฏิบัติการขั้นต่อไป เมื่อระบบคำสั่งได้รับแล้ว มัลแวร์นี้จะดาวน์โหลดและใช้งาน PowerShower หรือแบ็คดอร์ขั้นที่สองของ Cloud Atlas

Fig 2. ห่วงโซ่การโจมตที่อัปเดตแล้วของ Cloud Atlas

ในขณะที่ห่วงโซ่การโจมตีใหม่นั้นมีความซับซ้อนมากขึ้น ความแตกต่างที่สำคัญคือ แอปพลิเคชั่น  HTML และโมดูลที่เป็นอันตราย VBShower มีลักษณะเป็น polymorphic ซึ่งหมายความว่า รหัสของทั้งสองโมดูลจะใหม่และมีลักษณะเฉพาะในแต่ละเคส โดยนักวิจัย Kaspersky ได้ระบุว่า เวอร์ชั่นอัปเดตนี้จะทำให้ไม่มัลแวร์ไม่ปรากฎตัวในการตรวจจับของโซลูชั่นความปลอดภัย แต่ตรวจจับได้ผ่าน Indicator of Compromise

“ สิ่งนี้กลายเป็นแนวการปฏิบัติในวงการด้านความปลอดภัยที่แบ่งปันในการตรวจจับมัลแวร์ผ่าน Indicator of Compromise (IoC) ของการดำเนินการที่เป็นอันตรายต่าง ๆ ผ่านการวิจัย ซึ่งแนวทางการปฏิบัตินี้ทำให้เราได้ตอบสนองต่อการปฏิบัติการการจารกรรมทางไซเบอร์ระหว่างประเทศได้อย่างรวดเร็ว ป้องกันความเสียหายที่จะเกิดขึ้นต่อองค์กรได้ อย่างไรก็ตามเราเคยคาดการณ์ไว้ว่าตอนต้นปี 2559 IoC จะกลายเป็นเครื่องมือที่เชื่อถือได้ในการตรวจจับการโจมตีเป้าหมายในเครือข่ายของคุณ ซึ่งได้เกิดขึ้นครั้งแรกกับ ProjectSauron ซึ่งจะสร้างชุด IoC ที่ไม่เหมือนใครให้กับเหยื่อแต่ละรายและยังคงมีแนวโน้มของการใช้เครื่องมือทั่วไปต่าง ๆ ในการจารกรรมแทนที่จะเป็นเฉพาะเจาะจง ซึ่งตอนนี้ยังคงดำเนินการต่อเนื่องด้วยมัลแวร์แบบ polymorphic แต่ก็ไม่ได้หมายความว่าเราไม่สามารถหรือเป็นการยากในการจับผู้โจมตีเหล่านี้ แต่ทักษะในการรักษาความปลอดภัยจะต้องพัฒนาควบคู่ไปกับเครื่องมือที่ใช้ ให้ตามทันเครื่องมือที่พวกโจมตีต่าง ๆ ใช้นั่นเอง ” เฟลิกส์ เอมเม่ นักวิจัยด้านความปลอดภัยของ Kaspersky Global Research and Analysis Team กล่าว

Kaspersky แนะนำให้องค์กรต่าง ๆ ใช้โซลูชั่นรักษาความปลอดภัยที่มี IoA ที่ให้ความสำคัญกับกลยุทธ์ เทคนิค หรือการปฏิบัติการในการเตรียมการและการโจมตีต่าง ๆ IoAs สามารถติดตามทุกเครื่องมือและเทคนิคที่ใช้ไม่ว่าจะมีเครื่องมือใดเป็นพิเศษก็ตาม ซึ่งเวอร์ชั่นใหม่ล่าสุดของ Kaspersky Endpoint Detection and Response และ Kaspersky Anti Targeted Attack เป็นส่วนหนึ่งของฐานข้อมูลใหม่ใน IoAs ที่ดูแลและอัปเดตโดยผู้เชี่ยวชาญด้านการต่อสู่กับภัยคุกคามของ Kaspersky

Kaspersky มีคำแนะนำเพิ่มเติมสำหรับองค์กร ดังต่อไปนี้

  • ให้ความรู้แก่พนักงานของคุณ เกี่ยวกับสุขอนามัยดิจิทัลและอธิบายพวกเขาให้สามารถจดจำ และหลีกเลี่ยงอีเมลหรือลิงก์ที่อาจเป็นอันตราย เลือกการฝึกอบรมที่สร้างความตระหนักรู้ให้กับพนักงานโดยเฉพาะ
  • ใช้โซลูชั่นที่สามารถ anti-spam และ anti-phishing ได้ รวมทั้งแอปพลิเคชั่นที่ทำหน้าที่ปฏิเสธ และบล็อกการทำงานของแอปที่ไม่มีลิขสิทธิ์ อย่างเช่น Kaspersky Endpoint Security for Business
  • สำหรับกสนป้องกันในระดับปลายทาง ด้วยการค้นหาและการแก้ไขเหตุการณ์อย่างทันท่วงที ควรใช้โซลูชั่น EDR อย่างเช่น Kaspersky Endpoint Detection and Response ที่สามารถตรวจจับมัลแวร์เกี่ยวกับการเงินได้
  • ใช้โซลูชั่นความปลอดภัยระดับองค์กรที่ตรวจจับภัยคุกคามขั้นสูงบนเครือข่ายในระยะเริ่มเต้น อย่างเช่น

Kaspersky Anti Targeted Attack Platform

  • รวมข่าวกรองด้านภัยคุกคามเข้ากับการบริการข้อมูลความปลอดภัยและการจัดการเหตุการณ์ (SIEM) และควบคุมความปลอดภัย เพื่อที่จะเข้าถึงข้อมูลภัยคุกคามที่เกี่ยวข้องและทันสมัยที่สุด

ติดตามรายงานฉบับเต็มได้ที่ Securelist.com

เกี่ยวกับ Kaspersky

Kaspersky เป็นบริษัทด้านความปลอดภัยบนอินเทอร์เน็ตระดับโลก ที่ก่อตั้งในปี 1997 ด้วยความเชี่ยวชาญด้านความปลอดภัยที่ได้พัฒนามาอย่างต่อเนื่อง จนปัจจุบันเปลี่ยนเป็นโซลูชั่นความปลอดภัยยุคใหม่ ที่ให้บริการในการป้องกันสำหรับธุรกิจ โครงสร้างพื้นฐาน รัฐบาลและลูกค้าทั่วโลก การให้บริการของบริษัทประกอบด้วย การป้องกันปลายทาง โซลูชั่นการป้องกันความปลอดภัยแบบพิเศษจำนวนมาก และบริการเพื่อป้องกันภัยคุกคามดิจิทัล ซึ่ง Kaspersky ได้ป้องกันความปลอดภัยให้แก่ผู้ใช้กว่า 400 ล้านคน และอีกกว่า 270,000 องค์กร ที่ป้องกันความปลอดภัยให้กับทุกส่วนที่สำคัญสำหรับลูกค้า ศึกษาข้อมูลเพี่มเติมได้ที่ www.kaspersky.com

 

No tags for this post.

Related posts

About ข่าวไอที 24 ชั่วโมง

ข่าวไอที 24 ชั่วโมง ข่าวไอที ข่าว IT ข่าวเทคโนโลยี สินค้าไอทีมาใหม่ รีวิวสินค้าไอที

Check Also

ช่วงไตรมาส 2 มีการระบาดของจดหมายหลอกลวงการขอคืนภาษี

ช่วงไตรมาส 2 มี …

%d bloggers like this: