TH

สินค้าและบริการ

Firewall Endpoint Detection (AV)& EDR Data Loss Prevention (DLP) Monitoring Log Management E-mail Gateway Cloudflare Total Solutions - Sangfor Onetrust Social Monitoring Service Back up Audio & Visual System Conference Room Wallix & Stromshill UPS CCTV Access Point Server Software Office Blancco Multi-Factor Authentication(MFA)

News Update

News Update

Kaspersky ตรวจพบ แคมเปญจารกรรมทางไซเบอร์ PassiveNeuron ที่มุ่งเป้าโจมตีเครื่อง Windows Server

ทีมวิจัยและวิเคราะห์ระดับโลก (GReAT) ของ Kaspersky ได้ค้นพบ แคมเปญจารกรรมทางไซเบอร์ PassiveNeuron ที่กำลังดำเนินอยู่ ซึ่งมุ่งเป้าไปที่ระบบ Windows Server ในองค์กรภาครัฐ องค์กรทางการเงิน และองค์กรอุตสาหกรรมทั่วทั้ง เอเชีย แอฟริกา และละตินอเมริกา กิจกรรมนี้ถูกสังเกตพบตั้งแต่เดือนธันวาคม 2024 และต่อเนื่องมาจนถึงเดือนสิงหาคม 2025

หลังจากหยุดกิจกรรมไปหกเดือน PassiveNeuron ได้กลับมาดำเนินการอีกครั้ง โดยใช้เครื่องมือหลักสามอย่าง ซึ่งสองอย่างในจำนวนนี้ไม่เคยถูกเปิดเผยมาก่อน เพื่อเข้าถึงและรักษาการเข้าถึงเครือข่ายเป้าหมาย เครื่องมือเหล่านี้ได้แก่:
    •    Neursite ซึ่งเป็น แบ็คดอร์แบบโมดูลาร์ (modular backdoor)
    •    NeuralExecutor ซึ่งเป็น อิมแพลนท์ (implant) ที่ใช้เทคโนโลยี .NET
    •    Cobalt Strike ซึ่งเป็นเฟรมเวิร์กทดสอบการเจาะระบบ (penetration testing framework) ที่ผู้คุกคามมักใช้

Backdoor Neursite สามารถรวบรวมข้อมูลระบบ จัดการกระบวนการที่กำลังทำงานอยู่ และส่งเส้นทางทราฟฟิกเครือข่ายผ่านโฮสต์ที่ถูกบุกรุก ทำให้สามารถเคลื่อนที่ภายในเครือข่ายได้ พบตัวอย่างที่สื่อสารกับทั้งเซิร์ฟเวอร์ควบคุมและสั่งการภายนอก (command-and-control servers) และระบบภายในที่ถูกบุกรุก

NeuralExecutor ถูกออกแบบมาเพื่อส่งเพย์โหลดเพิ่มเติม อิมแพลนท์นี้รองรับวิธีการสื่อสารที่หลากหลาย และสามารถโหลดและรันแอสเซมบลี .NET (assemblies) ที่ได้รับจากเซิร์ฟเวอร์ควบคุมและสั่งการได้

“PassiveNeuron โดดเด่นที่การมุ่งเน้นโจมตีเซิร์ฟเวอร์ ซึ่งมักจะเป็นกระดูกสันหลังของเครือข่ายองค์กร” Georgy Kucherin นักวิจัยด้านความปลอดภัยของ GReAT กล่าว “เซิร์ฟเวอร์ที่เชื่อมต่ออินเทอร์เน็ตโดยตรงเป็นเป้าหมายที่น่าดึงดูดเป็นพิเศษสำหรับกลุ่มภัยคุกคามขั้นสูงถาวร (APT) เนื่องจากโฮสต์ที่ถูกบุกรุกเพียงเครื่องเดียวสามารถให้สิทธิ์เข้าถึงระบบที่สำคัญได้ ดังนั้น การลดพื้นที่ผิวการโจมตีที่เกี่ยวข้องกับเซิร์ฟเวอร์ และการเฝ้าระวังแอปพลิเคชันเซิร์ฟเวอร์อย่างต่อเนื่องเพื่อตรวจจับและหยุดการติดเชื้อที่อาจเกิดขึ้นจึงเป็นสิ่งสำคัญ”

ในตัวอย่างที่ GReAT สังเกตพบ ชื่อฟังก์ชันถูกแทนที่ด้วยสตริงที่มีอักขระ Cyrillic ซึ่งเห็นได้ชัดว่าผู้โจมตีใส่เข้ามาโดยตั้งใจ อาร์ติแฟกต์ดังกล่าวต้องได้รับการประเมินอย่างรอบคอบระหว่างการระบุแหล่งที่มา เนื่องจากอาจทำหน้าที่เป็นธงเท็จ (false flags) ที่ออกแบบมาเพื่อทำให้การวิเคราะห์เข้าใจผิด จากกลยุทธ์ เทคนิค และขั้นตอนที่สังเกตได้ Kaspersky ประเมินด้วยความเชื่อมั่นต่ำว่าแคมเปญนี้ น่าจะมีความเกี่ยวข้องกับผู้คุกคามที่ใช้ภาษาจีน ก่อนหน้านี้ในปี 2024 นักวิจัยของ Kaspersky ได้ตรวจพบกิจกรรมจาก PassiveNeuron แล้ว และได้อธิบายว่าแคมเปญนี้แสดงให้เห็นถึงความซับซ้อนในระดับสูง

สามารถดูข้อมูลเพิ่มเติมได้ในรายงานบน Securelist.com

ข้อแนะนำในการป้องกันภัยคุกคามแบบกำหนดเป้าหมาย

เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีแบบกำหนดเป้าหมายจากผู้คุกคามที่รู้จักหรือไม่รู้จัก นักวิจัยของ Kaspersky แนะนำให้ดำเนินการตามมาตรการต่อไปนี้:
    •    จัดหาการเข้าถึงข้อมูลภัยคุกคามล่าสุด (TI) ให้กับทีม SOC ของคุณ Kaspersky Threat Intelligence Portal เป็นจุดเข้าถึงเดียวสำหรับข้อมูล TI ของบริษัท โดยให้ข้อมูลเชิงลึกและข้อมูลการโจมตีทางไซเบอร์ที่รวบรวมโดย Kaspersky ตลอดระยะเวลากว่า 20 ปี
    •    ยกระดับทักษะทีมความปลอดภัยทางไซเบอร์ เพื่อรับมือกับภัยคุกคามแบบกำหนดเป้าหมายล่าสุดด้วย Kaspersky online training ที่พัฒนาโดยผู้เชี่ยวชาญ GReAT
    •    สำหรับการตรวจจับ การสอบสวน และการแก้ไขเหตุการณ์ในระดับเอนด์พอยต์อย่างทันท่วงที ให้ใช้โซลูชัน EDR เช่น Kaspersky Endpoint Detection and Response
    •    นอกเหนือจากการใช้การป้องกันเอนด์พอยต์ที่จำเป็นแล้ว ให้ใช้โซลูชันความปลอดภัยระดับองค์กรที่ตรวจจับภัยคุกคามขั้นสูงในระดับเครือข่ายตั้งแต่เนิ่นๆ เช่น Kaspersky Anti Targeted Attack Platform
    •    เนื่องจากการโจมตีแบบกำหนดเป้าหมายจำนวนมากเริ่มต้นด้วย ฟิชชิง หรือเทคนิคทางวิศวกรรมสังคมอื่น ๆ ให้จัดให้มีการ ฝึกอบรมสร้างความตระหนักด้านความปลอดภัย และสอนทักษะเชิงปฏิบัติให้กับทีมของคุณ เช่น ผ่าน Kaspersky Automated Security Awareness Platform

เกี่ยวกับทีมวิจัยและวิเคราะห์ระดับโลก (Global Research & Analysis Team - GReAT)

ทีมวิจัยและวิเคราะห์ระดับโลก (GReAT) ก่อตั้งขึ้นในปี 2008 โดยปฏิบัติงานที่เป็นหัวใจหลักของ Kaspersky ในการค้นพบ APT, แคมเปญจารกรรมทางไซเบอร์, มัลแวร์สำคัญ, แรนซัมแวร์ และแนวโน้มอาชญากรรมไซเบอร์ใต้ดินทั่วโลก ปัจจุบัน GReAT ประกอบด้วยผู้เชี่ยวชาญกว่า 35 คนที่ทำงานทั่วโลก ทั้งในยุโรป รัสเซีย ละตินอเมริกา เอเชีย และตะวันออกกลาง ผู้เชี่ยวชาญด้านความปลอดภัยที่มีความสามารถเหล่านี้เป็นผู้นำของบริษัทในการวิจัยและนวัตกรรมต่อต้านมัลแวร์ นำความเชี่ยวชาญ ความมุ่งมั่น และความอยากรู้อยากเห็นที่เหนือชั้นมาสู่การค้นพบและการวิเคราะห์ภัยคุกคามทางไซเบอร์

Ref : Kaspersky

share :

This website Collects

To give you a better experience, by continuing to use our website, you are agreeing to the use of cookies and personal data as set out in our Privacy Policy | Terms and Conditions

Accept