จับตาการโจมตีแบบใหม่ ‘Spear Phishing’
การปกป้องและต่อต้าน Spear Phishing เราจำเป็นที่จะต้องให้พนักงานหรือเจ้าหน้าที่ในองค์กรทุกคนตระหนักถึงเรื่อง Cybersecurity Awareness
“Spear-Phishing” คือ การโจมตีที่มีเป้าหมายชัดเจน เหล่าบรรดาแฮกเกอร์จะค้นหาข้อมูลของเหยื่อที่เป็นเป้าหมายในหลายหลายช่องทางเพื่อสร้างอีเมล Phishing และแนบมากับอีเมล โดยเนื้อหาในอีเมลจะตรงกับลักษณะกิจกรรมที่เหยื่อกำลังสนใจอยู่
กลุ่มแฮกเกอร์เกาหลีเหนือได้ใช้โปรแกรม PuTTY SSH ซึ่งเป็นโปรแกรมลูกข่ายที่ใช้เชื่อมต่อไปยังเครื่องผู้ให้บริการและฝังโทรจันเพื่อติดตั้งแบ็คดอร์บนอุปกรณ์ของเหยื่อ
โดย Mandiant บริษัทข่าวกรองด้านภัยคุกคามได้ตรวจสอบการคุกคามครั้งนี้และได้ระบุว่า แคมเปญใหม่นี้มาจากคลัสเตอร์ภัยคุกคามที่กำลังเกิดขึ้นซึ่งติดตามภายใต้ชื่อ UNC4034 หรือ เรียกอีกอย่างว่า Temp.Hermit หรือ Labyrinth Chollima ในขณะนี้
วิธีการทำงานของ UNC4034 กำลังพัฒนาอยู่เรื่อยๆ โดยกระบวนทำงานคือแฮกเกอร์จะพยายามหลอกล่อให้เหยื่อคลิกไฟล์แบบประเมินงานของ Amazon ซึ่งเป็นไฟล์ปลอมที่สร้างขึ้นจาก Operation Dream Job ที่มีอยู่แล้ว
UNC4034 เลือกใช้วิธีการสื่อสารกับเหยื่อผ่าน WhatsApp และล่อให้เหยื่อดาวน์โหลดแพ็คเกจ ISO ที่เป็นอันตรายเพื่อเสนองานปลอมซึ่งจะนำไปสู่การปรับใช้แบ็คดอร์ AIRDRY.V2 ผ่านโทรจันไปยัง PuTTY ของเหยื่อ ปัจจุบันการใช้ไฟล์ ISO ในการส่งมอบทั้งสินค้าต่างๆ และมัลแวร์กลายเป็นเรื่องปกติมากขึ้น อย่างกลุ่มจารกรรมรัสเซียที่มีชื่อเสียงในนามของ APT29 ก็มีการนำการใช้ไฟล์ ISO เพื่อส่งมัลแวร์ ด้วยเช่นกัน
หลักการทำงานคือ ไฟล์ปฏิบัติการที่ฝังอยู่ในไฟล์ ISO แต่ละไฟล์โดย UNC4034 นั้น เป็นแอปพลิเคชั่น PuTTY ที่ทำงานได้อย่างสมบูรณ์และยังมีโค้ดที่เป็นอันตรายที่เขียนเพย์โหลด (payload) ที่ฝังไว้บนดิสก์และเปิดใช้งานอยู่
หลังจากเปิดโปรแกรมแล้ว โปรแกรมจะพยายามสร้างข่าวใหม่ๆ ตามกำหนดการในเวลาเดียวกันของทุกๆ วัน ซึ่งนี่น่าจะเป็นหนึ่งในเทคนิคการส่งมัลแวร์หลายวิธีที่แฮกเกอร์ในเกาหลีเหนือใช้หลังจากเป้าหมายตอบสนองต่อการล่อลวง และขณะนี้ยังพบว่ามีการใช้แพลตฟอร์มโซเชียลมีเดียอื่นๆ
เพื่ออ้างว่าเป็นบริษัทที่ถูกกฎหมายและโพสต์โฆษณางานปลอมมากมายและเหยื่อที่เป็นกลุ่มเป้าหมายคือนักพัฒนาสกุลเงินดิจิทัล (cryptocurrency developers) และเมื่อเร็วๆนี้ มีการเผยแพร่ข่าวหลังจากที่ทางการสหรัฐฯ ยึดเงินจำนวน 30 ล้านดอลลาร์ในสกุลเงินดิจิทัลที่ถูกขโมยมาจากเกาหลีเหนือได้สำเร็จ
ดังนั้น การปกป้องและต่อต้าน Spear Phishing เราจำเป็นที่จะต้องให้พนักงานหรือเจ้าหน้าที่ในองค์กรทุกคนตระหนักถึงเรื่อง Cybersecurity Awareness โดยองค์กรอาจจะต้องมีการจัดให้มี Cybersecurity Awareness Training หรือแม้กระทั้งส่งเสริมให้พนักงานมีความรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ อย่างน้อยควรจะมีการจัดเทรนนิ่งปีละ 2-3 ครั้ง
รวมถึงมีการทดสอบ phishing simulation ตลอดจนคอร์สเทรนนิ่งต่างๆ เพื่อให้พนักงานได้ตระหนักถึงความสำคัญและเป็นการอัพเดทข้อมูลภัยต่างๆ บนอินเทอร์เน็ตครับ