ทีมข้อมูลภัยคุกคามทางไซเบอร์ของแคสเปอร์สกี้ (Kaspersky Cyber Threat Intelligence Team) ได้เปิดเผยผลการศึกษาที่สำคัญเกี่ยวกับกลยุทธ์ เทคนิค และขั้นตอนปฏิบัติ (Tactics, Techniques, and Procedures หรือ TTP) ของกลุ่ม APT ในภูมิภาคเอเชีย โดยให้ข้อมูลที่ครอบคลุมมากที่สุดที่ค้นพบในระหว่างการสอบสวน เพื่อเพิ่มความเข้าใจเกี่ยวกับวิธีการดำเนินงานของกลุ่ม APT พร้อมด้วยกลไกการป้องกันที่มีประสิทธิภาพ
เริ่มตั้งแต่ปี 2022 ทีมข้อมูลภัยคุกคามทางไซเบอร์ของแคสเปอร์สกี้วิเคราะห์เหตุการณ์โจมตีประมาณหนึ่งร้อยเหตุการณ์ที่เกิดขึ้นในภูมิภาคต่างๆ
ทั่วโลก ทีมงานใช้วิธีการ Unified Kill Chain เพื่อทำการศึกษาการกระทำของผู้โจมตี โดยอิงตามการค้นพบจาก TTP ที่ถูกใช้โดยกลุ่ม APT โดยในรายงานนี้ ผู้เชี่ยวชาญได้ให้ข้อมูลเชิงลึกเกี่ยวกับเหตุการณ์เฉพาะ
5 เหตุการณ์ที่เกิดขึ้นในรัสเซียและเบลารุส อินโดนีเซีย
มาเลเซีย อาร์เจนตินา และปากีสถาน
ซึ่งแต่ละเหตุการณ์เป็นลักษณะการโจมตีที่กระจายตามภูมิศาสตร์
ในรายงานการวิเคราะห์ที่ยาว 370 หน้านี้ ระบุว่า TTP ที่ใช้โดยกลุ่ม APT ในแต่ละขั้นตอนของกระบวนการโจมตีได้รับการบันทึกไว้อย่างพิถีพิถัน นอกจากนี้ รายงานยังเสนอคำแนะนำในการต่อสู้กับการโจมตีดังกล่าว และรวมถึงกฎ Sigma ที่สามารถใช้เพื่อตรวจจับการโจมตีดังกล่าวอีกด้วย
การศึกษานี้ได้ใช้เครื่องมือ แนวปฏิบัติ
และวิธีการวิเคราะห์ภัยคุกคามที่มีชื่อเสียงระดับสากล เช่น MITER ATT&CK, F3EAD, Pyramid of Pain ของ David Bianco, Intelligence Driven Incident Response, และ Unified Cyber Kill Chain เพื่อให้มั่นใจว่า
จะเป็นการศึกษาที่สามารถเข้าถึงได้ทั่วโลก อีกทั้งนักวิจัยและผู้เชี่ยวชาญด้านความปลอดภัยจะสามารถเข้าใจได้ดี
การวิจัยพบว่าแม้จะมีการโจมตีหลายครั้ง
แต่เทคนิคต่างๆ ที่พบยังคงมีจำกัด
ทำให้นักวิจัยสามารถเจาะเข้าไปในการวิเคราะห์ได้ลึกซึ้งยิ่งขึ้น
ข้อค้นพบที่สำคัญบางส่วน มีดังต่อไปนี้
· กลุ่ม APT ในเอเชียเลือกเป้าหมายโดยปราศจากความอคติระดับภูมิภาค
โดยเหยื่อจะกระจายไปทั่วโลก เน้นสร้างความท้าทายในการให้นักวิจัยพยายามระบุว่าภูมิภาคใดตกเป็นเป้าหมายถี่ที่สุด
ผู้โจมตีใช้กลยุทธ์ที่สอดคล้องกันทั่วโลก
แสดงให้เห็นถึงความสามารถในการใช้คลังแสงที่เหมือนกันเพื่อโจมตีเหยื่อต่างๆ
· คุณลักษณะที่สำคัญของผู้โจมตีในเอเชีย
คือการใช้เทคนิคผสมผสานกันอย่างเชี่ยวชาญ โดยใช้กลยุทธ์ 'สร้างหรือแก้ไขกระบวนการของระบบ:
บริการเทคนิค Windows T1543.003' ซึ่งช่วยให้ผู้โจมตีสามารถขยายสิทธิ์ได้
และยังใช้ 'Hijack Execution Flow: DLL Side-Loading T1574.002'
ซึ่งเป็นกลยุทธ์ที่ใช้กันทั่วไปในการหลบเลี่ยงการตรวจจับ
การรวมกันเชิงกลยุทธ์นี้ดูเหมือนจะเป็นจุดเด่นที่โดดเด่นของกลุ่มไซเบอร์ในเอเชีย
· จุดสนใจหลักของกลุ่ม APT เอเชียคือการจารกรรมทางไซเบอร์
ซึ่งเห็นได้จากความพยายามในการรวบรวมข้อมูลที่ละเอียดอ่อน และส่งต่อไปยังบริการคลาวด์ที่ถูกต้องตามกฎหมายหรือช่องทางภายนอก
แม้ว่าจะไม่ใช่เรื่องปกติ แต่ก็มีบางกรณีที่กลุ่ม APT ปฎิบัติการแตกต่างจากรูปแบบนี้
ดังที่เห็นในเหตุการณ์ที่ตรวจสอบแล้วว่าเกี่ยวข้องกับการใช้แรนซัมแวร์ในการโจมตี
· อุตสาหกรรมที่เป็นเป้าหมายมากที่สุด
ได้แก่ ภาครัฐ อุตสาหกรรม สุขภาพสาธารณสุข ไอที เกษตรกรรม และพลังงาน
การจัดระบบ TTP
รูปแบบต่างๆ ที่ผู้โจมตีใช้ ทำให้เกิดการพัฒนาชุดกฎ SIGMA ที่สร้างขึ้นอย่างพิถีพิถันโดยเฉพาะ ช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยตรวจจับการโจมตีที่อาจเกิดขึ้นภายในโครงสร้างพื้นฐานของตนได้
นิกิตา นาซารอฟ หัวหน้าฝ่าย Threat Exploration ของแคสเปอร์สกี้ กล่าวว่า “ในโลกความปลอดภัยทางไซเบอร์
ความรู้คือกุญแจสำคัญในการยืดหยุ่นและฟื้นตัวจากการโจมตี เรามุ่งหวังว่า รายงานฉบับนี้ที่จะเสริมศักยภาพให้กับผู้เชี่ยวชาญด้านความปลอดภัยด้วยข้อมูลเชิงลึกที่จำเป็น
เพื่อก้าวนำหน้าเกมของผู้ประสงค์ร้ายและป้องกันภัยคุกคามที่อาจเกิดขึ้น เราขอสนับสนุนให้ชุมชนความปลอดภัยทางไซเบอร์ทั้งหมดเข้าร่วมภารกิจแบ่งปันความรู้
เพื่อภูมิทัศน์ทางดิจิทัลที่แข็งแกร่งและปลอดภัยยิ่งขึ้น”
นักวิจัยของแคสเปอร์สกี้ค้นพบเครื่องมือ เทคนิค
และแคมเปญใหม่ๆ ในการโจมตีทางไซเบอร์ทั่วโลกของกลุ่ม APT อย่างต่อเนื่อง ผู้เชี่ยวชาญได้ติดตามกลุ่มและปฏิบัติการต่างๆ
มากกว่า 900 รายการ โดย 90% นั้นเกี่ยวข้องกับการจารกรรมทางไซเบอร์ และได้แบ่งปันสิ่งที่ค้นพบล่าสุด
รวมถึงข้อมูลเชิงลึกพิเศษผ่านทาง
Kaspersky Threat Intelligence Portal (TIP)
ซึ่งเป็นจุดหลักเพื่อเข้าถึงคลังข้อมูลภัยคุกคามของแคสเปอร์สกี้ โดยมีข้อมูลการโจมตีทางไซเบอร์และข้อมูลเชิงลึกที่
รวบรวมมายาวนานกว่า 20 ปี
ผู้สนใจสามารถรายงานฉบับเต็มเรื่อง Modern Asian APT groups: Tactics,
Techniques and Procedures ได้ที่เว็บ Securelist.com
ไม่มีความคิดเห็น:
แสดงความคิดเห็น