จากรายงานภัยคุกคามล่าสุดของแคสเปอร์สกี้ พบว่าในไตรมาสแรกของปี 2020 ภัยคุกคามไซเบอร์ขั้นสูง หรือ APT มีการติดเชื้อและแพร่กระจายมัลแวร์ผ่านแพลตฟอร์มโมบายเพิ่มสูงขึ้นมาก รวมถึงมีกิจกรรมการโจมตีทางไซเบอร์ในทวีปเอเชียเพิ่มมากขึ้น โดยมีผู้ก่อภัยคุกคามหน้าใหม่ๆ ส่วนผู้ก่อภัยคุกคามหน้าเดิมก็เพิ่มปฏิบัติการที่ซับซ้อนและระมัดระวังมากขึ้น
รายงานนี้ยังระบุเจาะจงว่ากิจกรรมร้ายไซเบอร์เพิ่มจำนวนสูงขึ้นมากในภูมิภาคเอเชียตะวันออกเฉียงใต้ เกาหลี และญี่ปุ่น พบกลุ่มผู้ก่อภัยคุกคามรายใหม่ๆ ที่มีความคิดสร้างสรรค์ทางร้าย บางกลุ่มก็มีงบประมาณจำกัด แต่ก็สามารถปฏิบัติการตีคู่กันไปกับกลุ่ม APT ชื่อดังๆ อย่าง CactusPete และ Lazarus ได้
นอกจากนี้ พบการใช้แพลตฟอร์มโมบายเป็นช่องทางการโจมตีและแพร่กระจายมัลแวร์เพิ่มสูงขึ้น เร็วๆ นี้ แคสเปอร์สกี้ได้เปิดเผยรายงานจำนวนแคมเปญที่มุ่งเน้นการโจมตีโมบาย ซึ่งรวมถึงแคมเปญไลท์สปาย (LightSpy) ที่โจมตีผู้ใช้โมบายระบบ Android และ iOS ที่ฮ่องกง และแคมเปญแฟนท่อมแลนซ์ (PhantomLance) ที่โจมตีเป้าหมายในภูมิภาคเอเชียตะวันออกเฉียงใต้ ซึ่งแคมเปญทั้งสองรายการนี้ประสบความสำเร็จในการใช้แพลตฟอร์มออนไลน์หลากหลายรูปแบบในการแพร่กระจายมัลแวร์ ทั้งฟอรั่มในอินเทอร์เน็ต โซเชียลมีเดีย และกูเกิ้ลแอปสโตร์
ไม่เพียงแต่กลุ่ม APT ที่มีเป้าหมายเป็นเอเชียเท่านั้นที่พัฒนามัลแวร์โมบาย ตัวอย่างเช่น กลุ่ม TransparentTribe ที่ทำแคมเปญโมดูลใหม่ที่ชื่อ “USBWorm” สำหรับแพร่กระจายมัลแวร์ผ่านโมบาย ก็มีเป้าหมายโจมตีอาฟกานิสถานและอินเดีย มัลแวร์นี้เป็นเวอร์ชั่นแก้ไขจาก “AhMyth” ที่ใช้ใน RAT ของแอนดรอยด์ ซึ่งเป็นโอเพ่นซอร์สใน GitHub
นอกจากนี้ โรคระบาด Covid-19 ก็ถูกใช้เป็นเครื่องมือโดยกลุ่ม APT ต่างๆ เช่น กลุ่ม Kimsuky, Hades และ DarkHotel ตั้งแต่ช่วงกลางเดือนมีนาคมเพื่อหลอกล่อเหยื่อ
นายวิเซนเต้ ดิแอซ หัวหน้านักวิจัยด้านความปลอดภัย ทีมวิเคราะห์และวิจัยระดับของแคสเปอร์สกี้ กล่าวว่า “กิจกรรมโจมตีของกลุ่ม APT ไม่ได้หยุดพักในช่วงโรคระบาดเลย หากแต่แท้จริงแล้วผู้ก่อภัยไซเบอร์กำลังดำเนินการในวิธีที่แตกต่างออกไป เช่น การสร้างชื่อเสียงโดยการประกาศว่า จะงดเว้นการโจมตีสถาบันการแพทย์ในช่วงนี้ แต่นักวิจัยของเราค้นพบว่า ผลประโยชน์ทางการเงินและภูมิศาสตร์การเมืองยังคงเป็นปัจจัยหลักในการขับเคลื่อนกิจกรรมร้ายของกลุ่ม แคมเปญใหม่ๆ จะใช้โมบายเป็นเป้าหมายมากขึ้นด้วยผู้ก่อการโจมตีไซเบอร์หน้าใหม่มาพร้อมโซลูชั่นใหม่ อีกทั้งปฏิบัติการต่างๆ ก็เกือบจะล่องหน ผมอยากจะขอย้ำว่า การป้องกันจากภัยคุกคามทั้งที่รู้จักและยังไม่รู้จักนั้นเป็นสิ่งจำเป็นสำหรับทุกคน”
เพื่อป้องกันการตกเป็นเหยื่อในการโจมตีจากภัยคุกคาที่รู้จักและไม่รู้จัก แคสเปอร์สกี้ขอแนะนำให้ปฏิบัติตามมาตรการดังนี้
•ให้ทีม SOC สามารถเข้าถึง Threat Intelligence ล่าสุดเพื่อให้ทันต่อเหตุการณ์ด้วยเครื่องมือเทคนิคและยุทธวิธีใหม่ ๆ ขอผู้ก่อภัยคุกคามและอาชญากรไซเบอร์
•สำหรับการตรวจจับระดับเอ็นด์พ้อยต์ การสืบสวนและการแก้ไขเหตุการณ์อย่างทันท่วงที แนะนำให้ใช้โซลูชั่น EDR โดยเฉพาะ เช่น Kaspersky Endpoint Detection and Response
•ตรวจสอบให้แน่ใจว่าโซลูชั่นความปลอดภัยเอ็นด์พ้อยต์สามารถปกป้องอุปกรณ์มือถือได้ ควรเปิดใช้งานการป้องกันจากภัยคุกคามทางเว็บและมัลแวร์ที่กำหนดเป้าหมายแพลตฟอร์มมือถือ รวมถึงการควบคุมแอปพลิเคชันและอุปกรณ์ต่างๆ
•นอกจากจะใช้การป้องกันเอ็นด์พ้อยต์ที่จำเป็นแล้ว ให้ใช้โซลูชั่นความปลอดภัยระดับองค์กรที่ตรวจจับภัยคุกคามขั้นสูงในระดับเครือข่ายตั้งแต่ระยะแรก เช่น Kaspersky Anti Targeted Attack Platform
•การโจมตีเป้าหมายจำนวนมากเริ่มต้นด้วยฟิชชิงหรือเทคนิคทางวิศวกรรมทางสังคมอื่น ๆ แนะนำให้จัดการฝึกอบรมการรับรู้ด้านความปลอดภัยและสอนทักษะการปฏิบัติ เช่น ผ่าน Kaspersky Automated Security Awareness Platform
ท่านสามารถอ่านรายงานฉบับเต็มได้ที่ https://securelist.com/apt-trends-report-q1-2020/96826/