ภัยคุกคามใหม่มาในรูปแบบแคมเปญ APT ในชื่อ TetrisPhantom ที่มีเป้าหมายโจมตีหน่วยงานภาครัฐในภูมิภาคเอเชียแปซิฟิค
จากรายงานภาพรวมภัยคุกคาม APT รายไตรมาสฉบับใหม่ของ Kaspersky นักวิจัย ได้ค้นพบแคมเปญที่ดำเนินการอยู่โดยการเข้ารุกล้ำไดรฟ์ USB ที่ปลอดภัยบางประเภท ซึ่งใช้ในการเข้ารหัสสำหรับการจัดเก็บข้อมูลที่ปลอดภัย ความพยายามในการจารกรรมนี้ได้รับการขนานนามว่า ‘เตอร์ติสแฟนท่อม’ ‘TetrisPhantom’ โดยมุ่งเป้าไปที่หน่วยงานรัฐบาลในภูมิภาคเอเชียแปซิฟิก (APAC) และไม่แสดงให้เห็นการทับซ้อนกับผู้ก่อภัยคุกคามรายอื่นๆ
ในช่วงต้นปี 2023 ทีมวิจัยและวิเคราะห์ระดับโลกของ Kaspersky (Global Research and Analysis team) ได้ค้นพบแคมเปญจารกรรมที่ดำเนินการมายาวนานโดยผู้ก่อภัยคุกคามหน้าใหม่ที่ไม่รู้จักมาก่อน ผู้โจมตีแอบสอดแนมและรวบรวมข้อมูลที่ละเอียดอ่อนจากหน่วยงานรัฐบาลในเอเชียแปซิฟิก โดยใช้ประโยชน์จากไดรฟ์ USB ที่ปลอดภัยบางประเภทซึ่งได้รับการป้องกันโดยการเข้ารหัสฮาร์ดแวร์ เพื่อให้แน่ใจว่าการจัดเก็บและถ่ายโอนข้อมูลระหว่างระบบคอมพิวเตอร์มีความปลอดภัย องค์กรภาครัฐทั่วโลกใช้ไดรฟ์ USB ที่ปลอดภัยเหล่านี้ ซึ่งหมายความว่ามีหน่วยงานจำนวนมากที่อาจตกเป็นเหยื่อของเทคนิคที่คล้ายกันนี้
แคมเปญ ‘TetrisPhantom’ นี้ประกอบด้วยโมดูลที่เป็นอันตรายต่างๆ ซึ่งผู่ก่อภัยคุกคามสามารถควบคุมอุปกรณ์ของเหยื่อได้อย่างกว้างขวาง สามารถรันคำสั่ง รวบรวมไฟล์และข้อมูลจากเครื่องที่ถูกบุกรุก และถ่ายโอนไปยังเครื่องอื่นโดยใช้ไดรฟ์ USB ที่ปลอดภัยแบบเดียวกันหรือต่างกัน นอกจากนี้ APT ยังมีความเชี่ยวชาญในการรันไฟล์ที่เป็นอันตรายอื่นๆ บนระบบที่ติดมัลแวร์
นักวิจัยของ Kaspersky รายงานว่าจำนวนเหยื่อมีปริมาณไม่มาก แสดงถึงลักษณะการโจมตีที่กำหนดเป้าหมายโปรไฟล์สูง
นางสาวนูชิน ชาบับ นักวิจัยด้านความปลอดภัยอาวุโสของทีมวิจัยและวิเคราะห์ระดับโลกของ Kaspersky (GReAT) ให้ความเห็นว่า “การตรวจสอบของเราเผยให้เห็นถึงความช่ำชองในระดับสูง รวมถึงการสร้างสับสนให้ซอฟต์แวร์ที่ใช้เวอร์ชวลไลเซชัน การสื่อสารระดับต่ำกับไดรฟ์ USB โดยใช้คำสั่ง SCSI โดยตรง และการจำลองตัวเองผ่าน USB ที่ปลอดภัยที่เชื่อมต่ออยู่ วิธีการเหล่านี้ดำเนินการโดยผู้ก่อภัยคุกคามที่มีทักษะสูงและมีความรู้ความสามารถ โดยเน้นความสนใจที่การจารกรรมภายในเครือข่ายรัฐบาลที่มีความละเอียดอ่อนและได้รับการปกป้อง”
นักวิจัยของ Kaspersky ไม่พบการทับซ้อนกับผู้ก่อภัยคุกคามรายอื่นที่ปรากฏอยู่ แต่ด้วยแคมเปญการโจมตีนี้ที่ยังคงดำเนินอยู่ ผู้เชี่ยวชาญยังคงติดตามความคืบหน้า และคาดว่าจะเห็นการโจมตีที่ซับซ้อนมากขึ้นในอนาคต
รายงานภาพรวมภัยคุกคาม APT ในไตรมาสที่ 3 ปี 2023 สามารถอ่านฉบับเต็มได้ ที่นี่
นักวิจัยของ Kaspersky แนะนำให้ใช้มาตรการ เพื่อหลีกเลี่ยงการตกเป็นเหยื่อการโจมตีแบบกำหนดเป้าหมาย ดังนี้
- อัปเดตระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์ป้องกันไวรัสเป็นประจำเพื่อแก้ไขช่องโหว่
- ระมัดระวังอีเมล ข้อความ หรือการโทรเพื่อขอข้อมูลที่ละเอียดอ่อน ตรวจสอบตัวตนของผู้ส่งก่อนแจ้งรายละเอียดส่วนบุคคล หรือคลิกลิงก์ที่น่าสงสัย
- ให้ทีม SOC สามารถเข้าถึงข้อมูลภัยคุกคามเชิงรุก The Kaspersky Threat Intelligence Portal เป็นจุดเดียวในการเข้าถึงข้อมูลภัยคุกคามของบริษัท ซึ่งให้บริการข้อมูลการโจมตีทางไซเบอร์และข้อมูลเชิงลึกที่แคสเปอร์สกี้รวบรวมมาเป็นเวลากว่า 20 ปี
- ยกระดับทักษะทีมรักษาความปลอดภัยทางไซเบอร์เพื่อรับมือกับภัยคุกคามแบบกำหนดเป้าหมายล่าสุดด้วยการฝึกอบรมออนไลน์ Kaspersky online training ที่พัฒนาโดยผู้เชี่ยวชาญ GReAT
- สำหรับการตรวจจับระดับเอ็นด์พ้อยต์ การตรวจสอบ และการแก้ไขเหตุการณ์อย่างทันท่วงที ให้ใช้โซลูชัน EDR เช่น Kaspersky Endpoint Detection and Response
สำหรับผู้อ่านที่ติดตาม ข่าวสาร และ บทความทางด้านความปลอดภัยไซเบอร์ สามารถอ่านเพิ่มเติมได้ ที่นี่
