แคสเปอร์สกี้ (Kaspersky) เปิดรายงานล่าสุดเรื่องรูปแบบแนวโน้มของ APT (Advanced Persistent Threats) ประจำไตรมาส 2 ปี 2023 ชี้จากการวิเคราะห์การพัฒนาแคมเปญใหม่และแคมเปญที่มีอยู่เดิม พบกิจกรรม APT ทั้งการอัปเดตชุดเครื่องมือ การสร้างมัลแวร์สายพันธุ์ใหม่ และการใช้เทคนิคใหม่ของอาชญากรไซเบอร์
นายเดวิด เอมม์ หัวหน้านักวิจัยความปลอดภัยของทีมวิจัยและวิเคราะห์ระดับโลก (GReAT) แคสเปอร์สกี้ กล่าวว่า ผู้ก่อภัยคุกคามบางรายยึดติดกับกลยุทธ์เดิมๆ ที่คุ้นเคย เช่น วิศวกรรมสังคม แต่ผู้ก่อภัยคุกคามรายอื่นๆ ก็พัฒนาปรับปรุงชุดเครื่องมือและกิจกรรมการโจมตี ยิ่งไปกว่านั้น ผู้คุกคามขั้นสูงใหม่ๆ อย่างเช่นเจ้าของแคมเปญ 'Operation Triangulation' ก็ปรากฏตัวออกมาอย่างต่อเนื่อง
"แคมเปญนี้ใช้แพลตฟอร์มมัลแวร์ iOS ซึ่งกระจายผ่านช่องโหว่ iMessage แบบซีโร่คลิก แคสเปอร์สกี้ขอแนะนำว่า การเฝ้าระวังโดยใช้ข้อมูลภัยคุกคามอัจฉริยะและเครื่องมือป้องกันที่เหมาะสมเป็นสิ่งสำคัญสำหรับบริษัทระดับโลก เพื่อป้องกันตนเองจากภัยคุกคามทั้งที่มีอยู่แล้วและที่เกิดขึ้นใหม่ได้ การตรวจสอบรายไตรมาสของเราเน้นข้อมูลการพัฒนาที่สำคัญที่สุดในกลุ่ม APT เพื่อช่วยป้องกันและลดความเสี่ยงที่อาจเกิดขึ้น”
ในรายงานของ Kaspersky มีการเปิดเผยเรื่องสำคัญคือแคมเปญ “Operation Triangulation” ที่ดำเนินการใช้แพลตฟอร์มมัลแวร์ iOS มายาวนานโดยไม่มีใครรู้จักมาก่อน นอกจากนี้ ยังพบว่าเอเชียแปซิฟิกเป็นพื้นที่ถูกคุกคามตัวใหม่ “Mysterious Elephant”
แคสเปอร์สกี้อธิบายว่า ได้ค้นพบตัวการคุกคามตัวใหม่จากตระกูล Elephants ซึ่งปฏิบัติการในภูมิภาคเอเชียแปซิฟิก ด้วยชื่อว่า “Mysterious Elephant” ในแคมเปญล่าสุดนี้ ผู้ก่อภัยคุกคามใช้ตระกูลแบ็กดอร์ใหม่ ซึ่งสามารถเรียกใช้ไฟล์และคำสั่งบนคอมพิวเตอร์ของเหยื่อ และรับไฟล์หรือคำสั่งจากเซิร์ฟเวอร์ที่เป็นอันตรายเพื่อดำเนินการกับระบบที่ติดมัลแวร์
ในขณะที่นักวิจัยของแคสเปอร์สกี้สังเกตเห็นการโจมตีที่ทับซ้อนกับ Confucius และ SideWinder แต่ Mysterious Elephant มีชุด TTP ที่โดดเด่นและไม่เหมือนใคร แตกต่างจากกลุ่มอื่นด้วย
การศึกษายังพบว่าผู้คุกคามอัปเกรดชุดเครื่องมือใหม่ โดยกลุ่ม Lazarus ได้พัฒนามัลแวร์สายพันธุ์ใหม่ BlueNoroff โจมตี macOS และอื่นๆ ขณะเดียกวัน ผู้คุกคามกำลังปรับปรุงเทคนิคอย่างต่อเนื่อง โดยกลุ่ม Lazarus ได้อัปเกรดเฟรมเวิร์ก MATA และใช้ MATAv5 ที่เป็นตระกูลมัลแวร์ MATA ที่ซับซ้อนสายพันธุ์ใหม่
ขณะที่กลุ่ม BlueNoroff ซึ่งเป็นกลุ่มย่อยที่เน้นการโจมตีทางการเงินของ Lazarus ได้ใช้วิธีการส่งและภาษาการเขียนโปรแกรมใหม่ รวมถึงการใช้โปรแกรมอ่าน PDF แบบโทรจันในแคมเปญล่าสุด การใช้มัลแวร์ macOS และภาษาโปรแกรม Rust
นอกจากนี้ กลุ่ม ScarCruft APT ยังได้พัฒนาวิธีการติดมัลแวร์แบบใหม่ โดยหลีกเลี่ยงกลไกการรักษาความปลอดภัย Mark-of-the-Web (MOTW) กลยุทธ์ที่พัฒนาตลอดเวลาของผู้คุกคามเหล่านี้สร้างความท้าทายใหม่ให้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์
รายงานพบว่าอิทธิพลของภูมิรัฐศาสตร์ยังคงเป็นตัวขับเคลื่อนหลักของกิจกรรม APT โดยแคมเปญ APT ยังคงกระจายไปตามพื้นที่ทางภูมิศาสตร์ โดยผู้ก่อภัยคุกคามได้มุ่งโจมตีในภูมิภาคต่างๆ เช่น ยุโรป ละตินอเมริกา ตะวันออกกลาง และส่วนต่างๆ ของเอเชีย การจารกรรมทางไซเบอร์ซึ่งเน้นภูมิรัฐศาสตร์ที่มั่นคงยังคงเป็นอิทธิพลสำคัญสำหรับความพยายามโจมตีทางไซเบอร์
เพื่อหลีกเลี่ยงการตกเป็นเหยื่อการโจมตีแบบระบุเป้าหมาย นักวิจัยของแคสเปอร์สกี้แนะนำให้ตรวจสอบความปลอดภัยของระบบ อัปเดตระบบปฏิบัติการและซอฟต์แวร์ของบริษัทตัวเองและเธิร์ดปาร์ตี้ให้เป็นเวอร์ชันล่าสุดโดยทันที การรักษาตารางการอัปเดตอย่างสม่ำเสมอเป็นสิ่งสำคัญ เพื่อให้ได้รับการปกป้องจากช่องโหว่ และความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น
