แคมเปญโจมตีที่มุ่งเป้าไปที่สถาบันการเงินและสถาบันวิจัย

กรมความมั่นคงปลอดภัยสารสนเทศ กล่าวว่า ในระหว่างกระบวนการตรวจสอบความมั่นคงปลอดภัยสารสนเทศในโลกไซเบอร์ ศูนย์ตรวจสอบความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (NCSC) ได้ค้นพบและบันทึกข้อมูลที่เกี่ยวข้องกับการโจมตีทางไซเบอร์ที่ดำเนินการโดยกลุ่ม APT MiroFace

เป็นที่ทราบกันดีว่า APT MirrorFace มุ่งเป้าไปที่สถาบันการเงิน สถาบันวิจัย และผู้ผลิต ดังนั้น กลุ่มผู้โจมตีจึงใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยข้อมูลในผลิตภัณฑ์ซอฟต์แวร์ Array AG และ FortiGate เพื่อแพร่กระจายมัลแวร์ NOOPDOOR

ผู้เชี่ยวชาญระบุว่ามัลแวร์ NOOPDOOR ถูกติดตั้งในแอปพลิเคชันที่ถูกกฎหมายบนระบบ โดยมีรูปแบบไฟล์สองแบบ คือไฟล์ ".XML" และ ".DLL" ทั้งสองรูปแบบนี้เปิดโอกาสให้ผู้โจมตีสร้างการเชื่อมต่อผ่านพอร์ต 443 และ 47000 เพื่อดาวน์โหลดไฟล์และรันคำสั่ง

หลังจากที่มัลแวร์ถูกปล่อยออกมา ผู้โจมตีได้ดำเนินการที่ผิดกฎหมาย เช่น การเข้าถึงที่เก็บข้อมูลการตรวจสอบสิทธิ์ของระบบเครือข่าย การแพร่กระจายมัลแวร์ไปยังอุปกรณ์อื่นในเครือข่ายท้องถิ่น การตรวจสอบและดึงข้อมูลผู้ใช้

นอกจากนี้ ผู้โจมตียังใช้มาตรการเพื่อหลีกเลี่ยงการตรวจจับ เช่น การแก้ไขค่าเวลา เพิ่มกฎเกณฑ์ให้กับไฟร์วอลล์ของระบบเพื่อให้มัลแวร์สามารถเชื่อมต่อกับพอร์ตบางพอร์ตได้ ซ่อนบริการที่เปิดใช้งาน...

จากนั้น กรมความมั่นคงปลอดภัยสารสนเทศขอแนะนำให้องค์กรและธุรกิจทั่วประเทศดำเนินการตรวจสอบและทบทวนระบบสารสนเทศที่ตนใช้งานอยู่ ซึ่งอาจได้รับผลกระทบจากการโจมตีที่กลุ่ม APT MirrorFace ริเริ่มขึ้น ขณะเดียวกัน ควรเฝ้าระวังข้อมูลที่เกี่ยวข้องกับการโจมตีนี้อย่างจริงจัง เพื่อป้องกันและหลีกเลี่ยงความเสี่ยงที่จะถูกโจมตี

ในเวลาเดียวกัน องค์กรต่างๆ ยังได้รับคำแนะนำให้เพิ่มการติดตามและเตรียมแผนการตอบสนองเมื่อตรวจพบสัญญาณการแสวงหาประโยชน์และการโจมตีทางไซเบอร์

นอกจากนี้ หน่วยงานต่างๆ ยังต้องตรวจสอบข้อมูลเพื่อตรวจจับความเสี่ยงจากการโจมตีทางไซเบอร์ได้อย่างทันท่วงที หากต้องการความช่วยเหลือ สามารถติดต่อศูนย์เฝ้าระวังความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (National Cyber Security Monitoring Center) ได้ที่หมายเลข 02432091616 หรืออีเมล [email protected]