แคสเปอร์สกี้เผยกลุ่ม APT เบนเข็มจ้องโจมตีเอเชีย-โมบายหนักขึ้น

โลกไซเบอร์ตะวันตกกลับเงียบงัน แคสเปอร์สกี้เผยกลุ่ม APT เบนเข็มจ้องโจมตีเอเชีย-โมบายหนักขึ้น จากรายงานภัยคุกคามล่าสุดของแคสเปอร์สกี้ พบว่าในไตรมาสแรกของปี 2020 ภัยคุกคามไซเบอร์ขั้นสูง หรือ APT มีการติดเชื้อและแพร่กระจายมัลแวร์ผ่านแพลตฟอร์มโมบายเพิ่มสูงขึ้นมาก รวมถึงมีกิจกรรมการโจมตีทางไซเบอร์ในทวีปเอเชียเพิ่มมากขึ้น โดยมีผู้ก่อภัยคุกคามหน้าใหม่ๆ ส่วนผู้ก่อภัยคุกคามหน้าเดิมก็เพิ่มปฏิบัติการที่ซับซ้อนและระมัดระวังมากขึ้น

รายงานนี้ยังระบุเจาะจงว่ากิจกรรมร้ายไซเบอร์เพิ่มจำนวนสูงขึ้นมากในภูมิภาคเอเชีย ตะวันออกเฉียงใต้ เกาหลี และญี่ปุ่น พบกลุ่มผู้ก่อภัยคุกคามรายใหม่ๆ
ที่มีความคิดสร้างสรรค์ทางร้าย บางกลุ่มก็มีงบประมาณจำกัด แต่ก็สามารถปฏิบัติการตีคู่กันไปกับกลุ่ม APT ชื่อดังๆ อย่าง CactusPete และ Lazarus ได้

นอกจากนี้ พบการใช้แพลตฟอร์มโมบายเป็นช่องทางการโจมตีและแพร่กระจายมัลแวร์เพิ่มสูงขึ้น เร็วๆ นี้ แคสเปอร์สกี้ได้เปิดเผยรายงานจำนวนแคมเปญที่มุ่งเน้นการโจมตีโมบาย ซึ่งรวมถึง แคมเปญไลท์สปาย (LightSpy) ที่โจมตีผู้ใช้โมบายระบบ Android และ iOS ที่ฮ่องกง และ แคมเปญแฟนท่อมแลนซ์ (PhantomLance) ที่โจมตีเป้าหมายในภูมิภาคเอเชียตะวันออกเฉียงใต้ ซึ่งแคมเปญทั้งสองรายการนี้ประสบความสำเร็จในการใช้แพลตฟอร์มออนไลน์หลาก
หลายรูปแบบในการแพร่กระจายมัลแวร์ ทั้งฟอรั่มในอินเทอร์เน็ต โซเชียลมีเดีย และกูเกิ้ลแอปสโตร์ 

ไม่เพียงแต่กลุ่ม APT ที่มีเป้าหมายเป็นเอเชียเท่านั้นที่พัฒนามัลแวร์โมบาย ตัวอย่างเช่น กลุ่ม TransparentTribe ที่ทำแคมเปญโมดูลใหม่ที่ชื่อ “USBWorm”
สำหรับแพร่กระจายมัลแวร์ผ่านโมบาย ก็มีเป้าหมายโจมตีอาฟกานิสถานและอินเดีย มัลแวร์นี้เป็นเวอร์ชั่นแก้ไขจาก “AhMyth” ที่ใช้ใน RAT ของแอนดรอยด์
ซึ่งเป็นโอเพ่นซอร์สใน GitHub นอกจากนี้ โรคระบาด Covid-19 ก็ถูกใช้เป็นเครื่องมือโดยกลุ่ม APT ต่างๆ เช่น กลุ่ม Kimsuky, Hades และ DarkHotel ตั้งแต่ช่วงกลางเดือนมีนาคมเพื่อหลอกล่อเหยื่อ

นายวิเซนเต้ ดิแอซ หัวหน้านักวิจัยด้านความปลอดภัย ทีมวิเคราะห์และวิจัยระดับของแคสเปอร์สกี้ กล่าวว่า “กิจกรรมโจมตีของกลุ่ม APT ไม่ได้หยุดพักในช่วงโรคระบาดเลย หากแต่แท้จริงแล้วผู้ก่อภัยไซเบอร์กำลังดำเนินการในวิธีที่แตกต่างออกไป เช่น  การสร้างชื่อเสียงโดยการประกาศว่า จะงดเว้นการโจมตีสถาบันการแพทย์ในช่วงนี้ แต่นักวิจัยของเราค้นพบว่า ผลประโยชน์ทางการเงินและภูมิศาสตร์การเมืองยังคงเป็นปัจจัยหลักในการขับเคลื่อนกิจกรรมร้ายของกลุ่ม แคมเปญใหม่ๆ จะใช้โมบายเป็นเป้าหมายมากขึ้นด้วยผู้ก่อการโจมตีไซเบอร์หน้าใหม่มาพร้อมโซลูชั่นใหม่ อีกทั้งปฏิบัติการต่างๆ ก็เกือบจะล่องหน ผมอยากจะขอย้ำว่า การป้องกันจากภัยคุกคามทั้งที่รู้จักและยังไม่รู้จักนั้นเป็นสิ่งจำเป็นสำหรับทุกคน”

เพื่อป้องกันการตกเป็นเหยื่อในการโจมตีจากภัยคุกคาที่รู้จักและไม่รู้จัก แคสเปอร์สกี้ขอแนะนำให้ปฏิบัติตามมาตรการดังนี้

•ให้ทีม SOC สามารถเข้าถึง Threat Intelligence ล่าสุดเพื่อให้ทันต่อเหตุการณ์ด้วยเครื่องมือเทคนิคและยุทธวิธีใหม่ ๆ ขอผู้ก่อภัยคุกคามและอาชญากรไซเบอร์

•สำหรับการตรวจจับระดับเอ็นด์พ้อยต์ การสืบสวนและการแก้ไขเหตุการณ์อย่างทันท่วงที แนะนำให้ใช้โซลูชั่น EDR โดยเฉพาะ เช่น Kaspersky Endpoint Detection and Response

•ตรวจสอบให้แน่ใจว่าโซลูชั่นความปลอดภัยเอ็นด์พ้อยต์สามารถปกป้องอุปกรณ์มือถือได้ ควรเปิดใช้งานการป้องกันจากภัยคุกคามทางเว็บและมัลแวร์ที่กำหนดเป้าหมายแพลต ฟอร์มมือถือ รวมถึงการควบคุมแอปพลิเคชันและอุปกรณ์ต่างๆ

•นอกจากจะใช้การป้องกันเอ็นด์พ้อยต์ที่จำเป็นแล้ว ให้ใช้โซลูชั่นความปลอดภัยระดับองค์กรที่ตรวจจับภัยคุกคามขั้นสูงในระดับเครือข่ายตั้งแต่ระยะแรก เช่น Kaspersky Anti Targeted Attack Platform

•การโจมตีเป้าหมายจำนวนมากเริ่มต้นด้วยฟิชชิงหรือเทคนิคทางวิศวกรรมทางสังคม อื่น ๆ แนะนำให้จัดการฝึกอบรมการรับรู้ด้านความปลอดภัยและสอนทักษะการปฏิบัติ เช่น ผ่าน Kaspersky Automated Security Awareness Platform