เรื่อง : แจ้งเตือน ปฏิบัติการ GhostSecret ล้วงข้อมูลหน่วยงานโครงสร้างพื้นฐานสำคัญและหน่วยอื่น ๆ กว่า 17 ประเทศ พบส่วนใหญ่เป็นเครื่องในประเทศไทย

แจ้งเตือน ปฏิบัติการ GhostSecret ล้วงข้อมูลโครงสร้างพื้นฐานสำคัญและหน่วยงานอื่น ๆ กว่า 17 ประเทศ พบส่วนใหญ่เป็นเครื่องในประเทศไทย วันที่ประกาศ: 25 เมษายน 2561  ปรับปรุงล่าสุด:> 25 เมษายน 2561  เรื่อง:> แจ้งเตือน ปฏิบัติการ GhostSecret ล้วงข้อมูลหน่วยงานโครงสร้างพื้นฐานสำคัญและหน่วยอื่น ๆ กว่า 17 ประเทศ พบส่วนใหญ่เป็นเครื่องในประเทศไทย  ประเภทภัยคุกคาม:> Intrusion    ข้อมูลทั่วไป เมื่อวันที่ 24 เมษายน 2561 บริษัท McAfee ได้เผยแพร่การค้นพบปฏิบัติการโจมตีขโมยข้อมูลด้วยมัลแวร์ ซึ่งมุ่งเป้าไปยังหน่วยงานโครงสร้างพื้นฐานสำคัญ หน่วยงานภาคอุตสาหกรรมบันเทิง ภาคการเงิน ภาคสาธารณสุข ในประเทศต่าง ๆ กว่า 17 ประเทศ รวมถึงประเทศไทย โดยเริ่มพบตั้งแต่เดือนกุมภาพันธ์ 2561 ปฏิบัติการดังกล่าวถูกตั้งชื่อว่า GhostSecret ซึ่งดำเนินการโดยกลุ่มแฮกเกอร์ที่ชื่อ Hidden Cobra [1] ในรายงานของ McAfee ระบุพบการใช้เซิร์ฟเวอร์ในประเทศไทยในการโจมตี ซึ่งหมายเลขไอพีของระบบเป็นกลุ่มเดียวกับที่พบในการโจมตีบริษัท Sony Pictures [2] นอกจากนี้ยังพบว่าลักษณะมัลแวร์ที่ใช้โจมตีคล้ายกับมัลแวร์ที่ใช้โจมตีบริษัท Sony Pictures ด้วย ผลกระทบ มัลแวร์ดังกล่าวมีความสามารถหลายประการ และอาจทำให้เกิดผลกระทบอย่างรุนแรงต่อระบบคอมพิวเตอร์ที่มีข้อมูลสำคัญ ซึ่งผลกระทบในเชิงต่าง ๆ สามารถสรุปได้ดังนี้ สูญเสียข้อมูลสำคัญ/ข้อมูลความลับขององค์กร สูญเสียความพร้อมใช้งาน ทำให้ระบบคอมพิวเตอร์ไม่สามารถใช้งานได้ปกติ สูญเสียค่าใช้จ่ายที่เกิดขึ้นจากการกู้คืนระบบ ปฏิบัติการ GhostSecret ได้เริ่มจากโจมตีหน่วยงานภาคการเงินของประเทศตุรกีในเดือนกุมภาพันธ์ 2561 และในช่วงวันที่ 14 ถึง 18 มีนาคม 2561 ได้ขยายขอบเขตการโจมตีไปยังหน่วยงานต่าง ๆ กว่า 17 ประเทศ รวมถึงประเทศไทยที่พบ 45 ระบบติดมัลแวร์ดังกล่าว   รูปแสดง จำนวนระบบที่ติดมัลแวร์ แบ่งตามประเทศ ช่วงเดือนมีนาคม 2561 ลักษณะมัลแวร์และช่องทางการโจมตี McAfee คาดการณ์ว่าในช่วงแรกมีการแพร่กระจายจากการโจมตีด้วยรูปแบบ Spear Phishing ซึ่งเป็นการโจมตีแบบมีเป้าหมายเฉพาะเจาะจง มัลแวร์นี้ถูกจัดอยู่ในประเภท Backdoor ซึ่งมีความสามารถหลบซ่อนตัวเพื่อติดต่อกับผู้ประสงค์ร้ายเป็นหลัก และสามารถรับคำสั่งต่าง ๆ เช่น ขโมยข้อมูลที่เกี่ยวกับระบบ ดาวน์โหลดและอัปโหลดไฟล์ ฯลฯ โดยในช่วงเดือนกุมภาพันธ์ 2561 พบว่าผู้ประสงค์ร้ายได้ส่งอีเมลแนบไฟล์เอกสาร Microsoft Word ซึ่งมีโค้ดอันตรายฝังอยู่ ส่งไปยังหน่วยงานภาคการเงินในประเทศตุรกี โค้ดอันตรายดังกล่าวโจมตีอาศัยช่องโหว่ของ Adode Flash (หมายเลข CVE 2018-4878) เพื่อเผยแพร่มัลแวร์ที่ชื่อ Bankshot [3]   รูปแสดงตัวอย่างเอกสารที่ฝังโค้ดอันตราย ต่อมาในช่วงเดือนมีนาคม 2561 ผู้ประสงค์ร้ายได้โจมตีโดยหน่วยงานอื่น ๆ กว่า 17 ประเทศ โดยใช้มัลแวร์เพื่อขโมยข้อมูล รายงานไม่ได้ระบุช่องทางที่ใช้ในการเผยแพร่รวมถึงข้อมูลที่ถูกขโมย มัลแวร์บางตัวที่ใช้ในการโจมตี เช่น Bankshot2 มีลักษณะคล้ายกับ Bankshot ที่ใช้โจมตีเดือนกุมภาพันธ์ และบางตัวเหมือนกับมัลแวร์สายพันธุ์ Destover ที่ใช้ในการโจมตีบริษัท Sony Pictures โดยมัลแวร์ Bankshot2 มีความสามารถและพฤติกรรม ดังนี้ ขโมยข้อมูลในเครื่องและส่งไปยังเครื่องเซิร์ฟเวอร์โดยอัตโนมัติ ติดต่อเครื่องเซิร์ฟเวอร์ผ่าน พอร์ต 443 ติดต่อเครื่องเซิร์ฟเวอร์โดยใช้โปรโตคอลที่ผู้ประสงค์ร้ายสร้างเอง ลบไฟล์ต่าง ๆ ในเครื่อง ติดตั้ง Service อื่น ๆ ในเครื่อง เรียกดูรายการ Process ที่ทำงานในเครื่อง ข้อแนะนำในการตรวจสอบ จากข้อมูลบทวิเคราะห์ของ Mcafee พบว่า โดยส่วนใหญ่มัลแวร์ดังกล่าวจะติดต่อไปยังเครื่อง C&C ผ่านพอร์ต 443 และใช้งาน SSL ในการส่งข้อมูล ซึ่งอาจทำให้การตรวจจับเป็นไปได้ยาก อย่างไรก็ตามให้พิจารณาความผิดปกติของเครื่องคอมพิวเตอร์ที่มีการเชื่อมต่อกับไอพีดังต่อไปนี้ ซึ่งคาดว่าจะมีส่วนเกี่ยวกับการทำงานของมัลแวร์ อ้างอิงจากผลการวิเคราะห์มัลแวร์ของ Mcafee [1] IP addresses ของเครื่อง C&C 203.131.222.83 203.131.222.109 203.131.222.95 14.140.116.172 >Hashes fe887fcab66d7d7f79f05e0266c0649f0114ba7c 8f2918c721511536d8c72144eabaf685ddc21a35 33ffbc8d6850794fa3b7bccb7b1aa1289e6eaa45 650b7d25f4ed87490f8467eb48e0443fb244a8c4 65e7d2338735ec04fd9692d020298e5a7953fd8d 166e8c643a4db0df6ffd6e3ab536b3de9edc9fb7 a2e966edee45b30bb6bb5c978e55833eec169098 ข้อแนะนำในการรับมือและป้องกัน เบื้องต้นอาจพิจารณาบล็อกการเชื่อมต่อไปยังเซิร์ฟเวอร์ปลายทาง จากข้อมูลในส่วนข้อแนะนำในการตรวจสอบ ในกรณีที่พบว่าเครื่องคอมพิวเตอร์ติดมัลแวร์ ควรตัดการเชื่อมต่อจากเครือข่ายทันที เช่น การดึงสายแลนด์ออก ใช้เทคนิค Application whitelist เพื่อป้องกันมัลแวร์และโปรแกรมที่ไม่ได้รับการอนุญาตสามารถทำงานบนเครื่องคอมพิวเตอร์ได้ โดยจัดการให้มีเพียงโปรแกรมที่ระบุและตรวจสอบแล้วทำงานบนเครื่องคอมพิวเตอร์ ส่วนโปรแกรมอื่นๆ ซึ่งรวมถึงมัลแวร์จะไม่สามารถทำงานได้ อัปเดตระบบปฏิบัติการและซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ โดยช่องโหว่ของโปรแกรมและระบบปฏิบัติการนั้นจะเป็นเป้าหมายในการการโจมตีอยู่บ่อยครั้ง การติดตั้งแเพตช์ในเวอร์ชันล่าสุดจะถือได้ว่าเป็นการลดความเสี่ยงจากการถูกโจมตีได้เป็นอย่างดี หมั่นอัปเดตโปรแกรมป้องกันไวรัส และดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ทางทางการหรือแหล่งที่น่าเชื่อถือ จำกัดสิทธิของผู้ใช้งาน (Permissions) ในการติดตั้งและรันโปรแกรมต่างๆ โดยยึดหลัก "least privilege" สำหรับทุกระบบและทุกบริการ การจำกัดสิทธิ์ดังกล่าวจะเป็นการป้องกันมัลแวร์ในการรัน และการแพร่กระจายในระบบเครือข่ายคอมพิวเตอร์ หลีกเลี่ยงในเปิด Macro จากไฟล์เอกสารแนบที่มากับอีเมล เนื่องจากอาจมีการเรียกทำงานโค้ดที่ซ่อนตัวอยู่ในไฟล์ดังกล่าว ส่งผลให้ติดมัลแวร์บนเครื่องคอมพิวเตอร์ และก่อให้เกิดความเสียหายได้ กรณีหน่วยงานและองค์กรขนาดใหญ่ ควรบล็อกอีเมลที่มีไฟล์แนบจากแหล่งไม่น่าเชื่อถือ หากพบเหตุต้องสงสัยหรือต้องการคำแนะนำเพิ่มเติมในกรณีนี้ สามารถประสานกับไทยเซิร์ตได้ทางอีเมล report@thaicert.or.th หรือโทรศัพท์ 0-2123-1212 ปัจจุบันไทยเซิร์ตอยู่ในระหว่างการประสานไปยังหน่วยงานที่เกี่ยวข้องเพื่อเข้าถึงข้อมูลในเซิร์ฟเวอร์ที่ใช้ในการโจมตี เพื่อวิเคราะห์ร่วมกับ McAfee และหน่วยงานอื่นที่เกี่ยวข้อง และรวบรวมรายการผู้ตกเป็นเหยื่อในประเทศไทยเพื่อดำเนินการประสานแจ้งเหตุและให้ความช่วยเหลือต่อไป อ้างอิง https://securingtomorrow.mcafee.com/mcafee-labs/analyzing-operation-ghostsecret-attack-seeks-to-steal-data-worldwide https://www.thaicert.or.th/newsbite/2014-12-09-03.html https://securingtomorrow.mcafee.com/mcafee-labs/hidden-cobra-targets-turkish-financial-sector-new-bankshot-implant/

 

มีผู้อ่านแล้ว 488 ราย