แคมเปญโจรกรรม Credential อุตสาหกรรมสายการบิน ผู้โจมตีใช้อีเมลหลอกลวงเป้าหมายแต่จริงๆ แล้วแอบฝังมัลแวร์เพื่อขโมยข้อมูล การโจมตีขยายตัวอย่างรวดเร็วและยังไม่มีท่าทีจะหยุด

การโจมตีทางไซเบอร์คือรูปแบบการโจมตีใด ๆ ที่มุ่งเป้าไปที่ระบบข้อมูลคอมพิวเตอร์ ระบบเครือข่ายคอมพิวเตอร์ โครงสร้างพื้นฐาน หรืออุปกรณ์คอมพิวเตอร์ส่วนบุคคล ซึ่งผู้โจมตีมุ่งหวังไปที่บุคคลหรือกระบวนการที่พยายามเข้าถึงข้อมูล ฟังก์ชัน หรือพื้นที่จำกัดการเข้าถึงอื่น ๆ ของระบบโดยไม่ได้รับอนุญาต การโจมตีทางไซเบอร์บางครั้งอาจเป็นส่วนหนึ่งของสงครามไซเบอร์หรือการก่อการร้ายทางอินเทอร์เน็ต ทั้งนี้ขึ้นอยู่กับบริบท ของการโจมตีทางไซเบอร์ซึ่งมีทั้งที่รัฐเป็นผู้สนับสนุน หรือที่เรียกว่า Nation-state attacker หรือเป็นการกระทำของกลุ่ม Hacker หรือบางครั้งอาจจะเป็น Hacker ที่ทำงานคนเดียว

การโจมตีทางไซเบอร์ที่มีการเลือกเป้าหมายแบบจำเพาะเจาะจง หรือเฉพาะกลุ่มธุรกิจ เรียกว่าแคมเปญการโจมตี (Attack Campaign) ซึ่งแคมเปญเหล่านี้มีเป้าหมายหรือวัตถุประสงค์อย่างชัดเจนบางครั้งแคมเปญเหล่านี้ได้รับการจัดเตรียมโดยรัฐ หรือองค์กรอาชญากรรมเพื่อให้บรรลุวัตถุประสงค์ที่หลากหลาย ในช่วงเวลาที่กำหนด

แคมเปญโจรกรรม อุตสาหกรรมสายการบินได้เกิดขึ้นมาเกือบ 2 ปีแล้ว โดยวิธีการโจมตีแบบ AsyncRAT และวิธีการ Remote Access Trojans (RAT)

  • AsyncRAT คือ Remote Access Tool (RAT) ออกแบบมาเพื่อตรวจสอบและควบคุมคอมพิวเตอร์เครื่องอื่นจากระยะไกลผ่านการเชื่อมต่อที่เข้ารหัส
  • Remote Access Trojan (RAT) เป็นโปรแกรมที่ผิดกฎหมายที่ใช้สร้างตัว Trojan เพื่อเข้าไปควบคุมคอมพิวเตอร์ของคนอื่น

ในอดีตมีการโจรกรรมข้อมูลของสายการบินที่เรียกว่า “Operation layover” ซึ่งคาดว่าเป็นผลงานของแฮคเกอร์ในประเทศไนจีเรีย ซึ่งการโจมตีครั้งนั้นไม่ได้ใช้เทคนิคที่ซับซ้อนมาก โจมตีโดยใช้มัลแวร์ปกติทั่วไปที่หาได้จากอินเทอร์เน็ต และแฮคเกอร์ยังได้ซื้อ Crypter เพื่อมาเป็นเครื่องมือในการทำงานครั้งนั้นอีกด้วย

  • Crypter เป็นโปรแกรมที่ใช้ในการ Encrypt ไฟล์ต่าง ๆ เช่น Virus, Trojans, Keylogger ฯลฯ จุดประสงค์หลักคือเพื่อทำให้โปรแกรม Anti-virus สแกนไม่พบหรือที่เรียกว่า FUD (Fully Undetectable)
เหตุการณ์ที่เกิดขึ้น

สปายแวร์พยายามจะขโมยคุกกี้และการเข้าสู่ระบบโดยแฮคเกอร์ที่ได้รับการสนับสนุนจาก Initial Access Broker Boom ที่มีเป้าหมายคือการขโมยข้อมูลประจำตัวและคุกกี้ ผู้โจมตีอาจใช้อาชญากรทางไซเบอร์ที่เชี่ยวชาญด้านเทคนิคเข้ามาช่วยในการเข้าถึงระบบของเหยื่อก่อนที่จะมีการโจมตีขนาดใหญ่อย่าง เช่น Ransomware หรือ Business Email Compromise (BEC) ซึ่งในปัจจุบันมีบริการ Ransomware ในลักษณะที่เป็น Ransomware as a Services เพียงแค่ผู้โจมตีสามารถเข้าถึงระบบของเหยื่อได้ จากนั้นส่วนของการเข้ารหัสข้อมูลมีเป็นบริการให้ใช้งานแบบสำเร็จรูป ทำให้การกระทำในลักษณะนี้มีการขยายตัวอย่างรวดเร็ว

แผนการโจมตีสายการบิน

การโจมตีจะเริ่มต้นด้วย Social Engineering ส่งอีเมลไปยังเป้าหมายโดยหลอกลวงว่าเป็นองค์กรด้านการบินและอวกาศที่ถูกต้องตามกฎหมาย พร้อมแนบลิงก์ไปยังไฟล์ PDF  ที่มีชื่อที่เกี่ยวข้องกับการเดินทางทางอากาศ โดยอ้างอิงถึงสิ่งต่าง ๆ เช่น รายละเอียดแผนการเดินทาง และ ข้อมูลเกี่ยวกับเครื่องบินทิ้งระเบิด โดยในความเป็นจริงแล้วลิงก์ที่ส่งให้ผู้ใช้จะไปเรียกสคริปต์ .VBS ที่โฮสต์บน Google drive ซึ่งจะเข้ารหัส Final RAT payload และฝังไว้ในคอมพิวเตอร์ของเหยื่อ ชื่อสคริปต์คือ Snip3 Crypter ซึ่งปัจจุบันยังคงอยู่ภายใต้การพัฒนาและให้บริการเป็น Crypter-as-a-service

ในเดือนพฤษภาคมที่ผ่านมา Microsoft ได้ให้ข้อมูลรายละเอียดทางเทคนิคเพิ่มเติมบางประการเกี่ยวกับการแพร่ระบาด เช่น ผู้โจมตีใช้ Remote Access Trojans สำหรับการขโมยข้อมูล โดยทวีตว่า “Trojans เรียกใช้ Components ซ้ำ ๆ อย่างต่อเนื่องจนกว่าจะสามารถเข้าไปในกระบวนการต่าง ๆ เช่น RegAsm, InstallUtil หรือ RevSvcs พวกเขาสามารถขโมยข้อมูลประจำตัว ภาพหน้าจอ ข้อมูลเว็บแคม ข้อมูลเบราว์เซอร์และคลิปบอร์ด ระบบและเครือข่าย สามารถเข้าถึงและดึงข้อมูลออกผ่านพอร์ต SMTP 587”

ทีมวิจัยของ Cisco Talos ได้เปิดเผยโดเมนที่ทำหน้าที่เป็น Command-and-control (C2) เช่น akconsult.linkpc.net ซึ่งถูกใช้เพื่อโฮสต์ AsyncRAT payload ซึ่งเซิร์ฟเวอร์ดังกล่าวใช้ TLS เพื่อเข้ารหัสในการสื่อสารกับ C2 นักวิจัยจึงทำการค้นหาเซิร์ฟเวอร์อื่นโดยใช้ใบรับรอง (Certificate) เดียวกันพบว่ามีอีก 8 โดเมนที่ทำหน้าที่เป็น C2 เซิร์ฟเวอร์เหมือนกัน และพบมัลแวร์อีกมากว่า 50 ชนิดที่เตรียมไว้สำหรับโจมตีเครื่องเหยื่อ

การโจมตีสายการบินไม่มีท่าทีว่าจะหยุดลง

แม้ว่าผู้โจมตีทางไซเบอร์จะไม่มีทักษะในการโจมตีแบบเบ็ดเสร็จ แต่ด้วยปัจจุบันมีเทคโนโลยีที่เอื้ออำนวยต่อการโจมตีทางไซเบอร์หลายอย่าง เช่น Tooling หรือโปรแกรมที่ใช้ในการเจาะระบบ รวมถึง Tooling ที่ใช้ในการเข้าควบคุมเครื่องของเหยื่อ ซึ่งวิธีการใช้งานเครื่องมือต่าง ๆ เหล่านี้สามารถศึกษาได้ด้วยตนเองจากช่องทาง เช่น YouTube ตลอดจนปัจจุบันได้มีบริการ Ransomware ในแบบที่เป็น As a services ซึ่งมีการดำเนินการในรูปแบบองค์กร มีการแบ่งผลประโยชน์หรือส่วนแบ่งให้กับ Hacker ที่สามารถเจาะเข้าไปในระบบ หรือบุคคลที่เป็น Insider threat ดังนั้นเพื่อความไม่ประมาทการที่แต่ละองค์กรจะมีแผนในการรับมือภัยคุกคามทางไซเบอร์ หรือที่เรียกว่า Cyber Security Incident Response เป็นสิ่งที่มีความจำเป็น เพราะเมื่อเกิดเหตุการณ์จะได้สามารถรับมือหรือจัดการปัญหาได้อย่างถูกต้องและรวดเร็ว เพื่อลดผลกระทบหรือความสูญเสียอันจะส่งผลต่อการดำเนินธุรกิจขององค์กร

INETMS Managed Security Service Provider

บริการศูนย์เฝ้าระวังรักษาความมั่นคงปลอดภัยระบบเครือข่าย และเทคโนโลยีสารสนเทศ (Security Operation Center) ผู้เชี่ยวชาญพร้อมให้บริการคำปรึกษาและบริการด้าน Security ที่ครอบคลุมกฎหมาย พ.ร.บ. คอมพิวเตอร์ 2560พ.ร.บ. การรักษาความปลอดภัยมั่นคงไซเบอร์ 2562 และพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562

บริการศูนย์ SOC โดยผู้เชี่ยวชาญที่มีความรู้และประสบการณ์จาก INETMS ตลอด 24 ชั่วโมง ที่พร้อมดูแล เฝ้าระวัง แจ้งเตือน และให้คำแนะนำในกรณีตรวจพบพฤติกรรมที่เป็นภัยคุกคาม หรือเหตุการณ์ที่ผิดปกติ อีกทั้งยังมีระบบ AI ช่วยในการวิเคราะห์พฤติกรรมเพื่อสู้กับ Hacker ในยุคดิจิตอล พร้อมทั้งอัพเดท ช่องโหว่ใหม่ๆ จากทั่วโลกด้วย Threat intelligence ทำให้ระบบคอมพิวเตอร์ของคุณปลอดภัยอยู่เสมอ

INETMS VA เป็นบริการสแกน และตรวจสอบด้านความปลอดภัยของระบบไอที เพื่อค้นหาจุดอ่อนที่มีความเสี่ยง พร้อมประเมินระดับความปลอดภัยและให้คำแนะนำในการแก้ไขปัญหาที่พบ โดยทีมงานผู้เชี่ยวชาญที่มีประสบการณ์ด้านการรักษาความปลอดภัยคอมพิวเตอร์โดยเฉพาะ

INETMS Pentestเป็นบริการเจาะระบบตาม Methodology OSSTMM และ OWASP เพื่อช่วยในการประเมินความความเสี่ยงของระบบคอมพิวเตอร์ซึ่งเป็นทรัพย์สินที่สำคัญขององค์กร ทั้ง Web Application และ Mobile Application ทำให้ทราบถึงช่องโหว่และวิธีการเข้าถึง เพื่อให้สามารถป้องกันได้อย่างถูกต้อง และถูกวิธี

สอบถามข้อมูลโซลูชั่นส์และบริการติดต่อทีมงาน INETMS ได้ที่

Email : sales@inetms.co.th

โทร : 0-2257-7100

Facebook: https://www.facebook.com/INETManagedServices

Website: https://www.inetms.co.th/en/home/

เอกสารอ้างอิง