Share

ความสามารถ ‘มัลแวร์ตัวใหม่’ ร้ายแรงกว่าที่คิด

Last updated: 2 Apr 2025
18 Views

แม้ว่าเราจะก้าวเข้าสู่ปี 2025 แล้ว แต่ภัยคุกคามทางไซเบอร์ก็ไม่ได้หายจากเราไปไหน ยังคงพัฒนารูปแบบการโจมตีและสร้างผลกระทบที่รุนแรงเกือบจะทุกอุตสาหกรรมอย่างต่อเนื่องเลยก็ว่าได้

มีการวิเคราะห์เกี่ยวกับการโจมตีของมัลแวร์จากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พบว่า การโจมตีแบบใหม่จะมุ่งเป้าไปที่ระบบควบคุมอุตสาหกรรม (ICS) เพื่อทำลายกระบวนการทางวิศวกรรม

เช่น มีการกำหนดเป้าหมายไปที่เวิร์กสเตชันวิศวกรรมของ Mitsubishi และ Siemens และปรากฏชื่ออยู่ในพื้นที่เก็บข้อมูล VirusTotal ตั้งแต่เดือนสิงหาคมถึงพฤศจิกายน 2024 ที่ผ่านมาด้วย

ทำให้ผู้เชี่ยวชาญโฟกัสสิ่งที่ถูกอัพโหลดไปยัง VirusTotal เพื่อการสืบสวน ได้แก่ ซอฟต์แวร์ทางวิศวกรรมที่ตรวจพบการติดไวรัสผ่านเครื่องมือตรวจจับมัลแวร์ และไฟล์ที่อาจเป็นอันตรายซึ่งออกแบบมาเพื่อโต้ตอบกับซอฟต์แวร์ทางวิศวกรรม

Ramnit มุ่งเป้าไปที่เวิร์คสเตชั่นของ Mitsubishi

Ramnit เกิดขึ้นครั้งแรกในปี 2010 เป็นโทรจันธนาคารที่ออกแบบมาเพื่อขโมยข้อมูลประจำตัว ต่อมาได้รับการพัฒนาเป็นแพลตฟอร์มโมดูลาร์ที่สามารถดาวน์โหลดปลั๊กอินจากเซิร์ฟเวอร์ C2 ได้และสามารถแพร่กระจายผ่านอุปกรณ์ที่ติดไวรัส

เช่น USB ไดรฟ์ หรือผ่านเครือข่ายที่ถูกบุกรุกโดยระบบไอทีที่ไม่มีประสิทธิภาพ นอกจากนี้ มัลแวร์อาจเพิ่มโค้ดที่เป็นอันตรายลงในไฟล์ปฏิบัติการ Windows ที่ถูกต้องซึ่งสอดคล้องกับการติดไวรัส Ramnit อื่นๆ บนซอฟต์แวร์ OT ที่ตรวจพบมาก่อนหน้านี้แล้ว

Chaya_003 มุ่งเป้าไปที่เวิร์คสเตชั่นของ Siemens

มีการตรวจพบไบนารีชื่อ Isass.exe และ elsass.exe ที่ปลอมแปลงให้ถูกกฎหมายเพื่อหลอกลวงผู้ใช้หรือหลบเลี่ยงโซลูชันป้องกันไวรัส โดยใช้ประโยชน์จาก Discord webhooks และมีความสามารถในการสำรวจระบบและการทำให้หยุดชะงักของกระบวนการดำเนินงาน ซึ่งนับเป็นรูปแบบการพัฒนาที่ชัดเจนของมัลแวร์ที่แก้ไขและเตรียมพร้อมสำหรับการใช้งานในวงกว้าง

นอกจากนี้ Chaya_003 ยังทดสอบความสามารถในการหยุดกระบวนการทางวิศวกรรม โดยแฮกเกอร์ใช้บริการที่ถูกกฎหมายเพื่อสั่งการและควบคุมระบบ ทำให้การตรวจจับภัยคุกคามเป็นเรื่องที่ท้าทายอย่างมาก ซึ่งโดยทั่วไปแล้วเวิร์กสเตชันทางวิศวกรรมใช้ระบบปฏิบัติการแบบเดิม

เช่น Windows ควบคู่ไปกับซอฟต์แวร์ทางวิศวกรรมเฉพาะทางที่จัดทำโดยผู้ผลิตอุปกรณ์ ซึ่งซอฟต์แวร์นี้จำเป็นสำหรับการทดสอบการใช้งานและการเขียนโปรแกรมอุปกรณ์ปฏิบัติการ

เช่น อุปกรณ์ PLC ในสภาพแวดล้อม OT และ ICS อีกทั้งยังพบบัญชีผู้ใช้งานปลอมของเวิร์กสเตชันทางวิศวกรรมมากกว่า 20% ของเหตุการณ์การโจมตีระบบ OT/ICS อีกด้วย

ดังนั้นการสร้างความยืดหยุ่นในเวิร์กสเตชันทางวิศวกรรมจึงเป็นสิ่งสำคัญ โดยองค์กรต้องจัดการปรับปรุงเรื่องความปลอดภัยจากการโจมตีที่กำหนดเป้าหมายไปที่เวิร์กสเตชันทางวิศวกรรมได้แก่

  • ระบุเวิร์กสเตชันทั้งหมดที่เชื่อมต่อกับเครือข่าย OT และประเมินเวอร์ชันซอฟต์แวร์ พอร์ตที่เปิด ข้อมูลรับรอง และซอฟต์แวร์ป้องกันอุปกรณ์ปลายทาง
  • ตรวจสอบให้แน่ใจว่าซอฟต์แวร์ทั้งหมดได้รับการอัพเดทเป็นเวอร์ชันล่าสุด และตรวจสอบให้แน่ใจว่าโซลูชันการป้องกันปลายทางเปิดใช้งานเป็นปัจจุบัน
  • หลีกเลี่ยงการเปิดเผยเวิร์กสเตชันทางวิศวกรรมกับอินเทอร์เน็ตโดยตรง
  • แบ่งกลุ่มเครือข่ายอย่างเหมาะสมเพื่อแยกอุปกรณ์ IT, IoT และ OT
  • จำกัดการเชื่อมต่อเครือข่ายเฉพาะเวิร์กสเตชั่นการจัดการและวิศวกรรมที่ได้รับอนุญาตเท่านั้น
  • ปรับใช้โซลูชันการตรวจสอบที่สามารถตรวจจับตัวบ่งชี้ที่เป็นอันตรายอย่าง มัลแวร์

สามารถติดตามบทความจาก CEO ผ่านทางบทความ Think Secure โดย คุณนักรบ เนียมนามธรรม (นักรบ มือปราบไวรัส) เป็นประจำทุกสัปดาห์ ได้ทางหนังสือพิมพ์กรุงเทพธุรกิจ หรือช่องทาง Online ที่ https://www.bangkokbiznews.com/category/tech/gadget      

ที่มา: หนังสือพิมพ์กรุงเทพธุรกิจ (ฉบับวันที่ 7 มกราคม 2568)
https://www.bangkokbiznews.com/tech/gadget/1160844 


Related Content
This website uses cookies to enhance your experience and providing the best service from us. Please confirm the acceptance. You can learn more about our use of cookies from our Policy. Privacy Policy and Cookies Policy
Compare product
0/4
Remove all
Compare