MENU

ระวัง!!! อีเมลแอบอ้างเป็นสำนักงานตำรวจแห่งชาติ

DATE: 09-Sep-2020

ทีมนักวิจัยจากบริษัท Proofpoint ได้รายงานข้อมูลการโจมตีโดยผู้คุกคาม (threat actor) ที่ถูกเรียกว่า TA2719 โดยจากรายงานพบว่าตั้งแต่ช่วงเดือนมีนาคม 2563 เป็นต้นมา ผู้คุกคามดังกล่าวได้ลงมือปฏิบัติการโจมตีในหลายประเทศ รวมถึงประเทศไทยด้วย รูปแบบการโจมตีหลักๆ จะใช้วิธีส่งอีเมลแนบไฟล์มัลแวร์เพื่อเปิดช่องทางเข้ามาควบคุมเครื่องที่ตกเป็นเหยื่อในภายหลัง

 

 

 

 

กลุ่ม TA2719 นั้นมีรายงานการโจมตีมาก่อนหน้านี้แล้ว แต่ในช่วงเดือนมีนาคม - พฤษภาคม 2563 นั้นพบรายงานการโจมตีโดยกลุ่มดังกล่าวเพิ่มมากขึ้นอย่างมีนัยสำคัญ รวมถึงพบการใช้วิธีแอบอ้างหน่วยงานสำคัญระดับประเทศเพื่อส่งอีเมลหลอกลวงด้วย จากรายงานพบว่ากลุ่ม TA2719 ได้แอบอ้างสำนักงานตำรวจแห่งชาติของประเทศไทยเพื่อส่งอีเมลโจมตี อย่างไรก็ตาม เนื้อหาในอีเมลฉบับดังกล่าวนั้นยังพอดูออกได้ง่ายว่าไม่ได้ส่งมาจากหน่วยงานที่ถูกแอบอ้าง

 

แนวทางการโจมตีส่วนใหญ่จะเป็นการส่งอีเมลแนบไฟล์ .ISO หรือแนบลิงก์ให้ดาวน์โหลดไฟล์ .ISO ซึ่งสามารถถูกเปิดได้โดยใช้โปรแกรม extract ไฟล์ทั่วไป หากเหยื่อหลงเชื่อดาวน์โหลดไฟล์ดังกล่าวมาเปิด จะพบโปรแกรมมัลแวร์ประเภท Remote Access Trojan (RAT) เช่น NanoCore หรือ AsyncRAT หากเรียกใช้งานไฟล์ดังกล่าวจะเป็นการเปิดช่องทางให้ผู้คุกคามสามารถเชื่อมต่อเข้ามาควบคุมเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อได้ในภายหลัง

 

การติดตามสถานการณ์การโจมตีทางไซเบอร์ โดยเฉพาะอย่างยิ่งรูปแบบเทคนิคและวิธีการที่กลุ่มผู้โจมตีนำมาใช้งานนั้นสามารถช่วยให้หน่วยงานประเมินความเสี่ยงและวางแผนรับมือการโจมตีที่เป็นปัจจุบันได้ ผู้ที่เกี่ยวข้องควรติดตามและประเมินสถานการณ์อย่างสม่ำเสมอ รายละเอียดอื่น ๆ ที่เกี่ยวข้องกับการโจมตี เช่น ตัวอย่างข้อความในอีเมล ค่าแฮชของไฟล์มัลแวร์ และไอพีของเครื่องที่ใช้ควบคุมและสั่งการ สามารถดูเพิ่มเติมได้จากที่มา

 

ที่มา : Proofpoint