นับตั้งแต่การรุกรานยูเครนของรัสเซียเริ่มต้นขึ้น รัสเซียได้ใช้กลวิธีทุกประเภท รวมถึงสงครามไซเบอร์ เพื่อประโยชน์ของตน ขณะนี้ ตามที่นักวิจัยด้านความปลอดภัยจาก Computer Emergency Response Team of Ukraine (CERT-UA) ระบุว่าแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐของรัสเซียจากกลุ่ม APT28 คือ กำหนดเป้าหมาย พนักงานของรัฐบาลยูเครนด้วยมัลแวร์ปลอมตัวเป็นการอัปเดต Windows เพื่อขโมยข้อมูลสำคัญ

การโจมตีเหล่านี้เกี่ยวข้องกับแฮ็กเกอร์ชาวรัสเซียที่ส่งอีเมลที่เป็นอันตรายซึ่งมีคำแนะนำเกี่ยวกับวิธีอัปเดต Windows เพื่อป้องกันการโจมตีทางไซเบอร์ อย่างไรก็ตาม แทนที่จะให้คำแนะนำที่ถูกต้อง อีเมลมีคำสั่ง PowerShell ที่ดาวน์โหลดสคริปต์ PowerShell สคริปต์นี้จะจำลองการอัปเดต Windows ปลอมในขณะที่ดาวน์โหลดเพย์โหลดที่สองในเบื้องหลัง ซึ่งเป็นเครื่องมือที่รวบรวมและส่งข้อมูลไปยัง Mocky service API ผ่านคำขอ HTTP ยิ่งไปกว่านั้น เพื่อทำให้อีเมลที่เป็นอันตรายเหล่านี้ดูน่าเชื่อถือมากขึ้น ผู้โจมตียังสร้างที่อยู่อีเมล @outlook.com ปลอมโดยใช้ชื่อจริงของผู้ดูแลระบบ

เพื่อป้องกันไม่ให้พนักงานตกเป็นเหยื่อของการโจมตีนี้ CERT-UA ได้แนะนำให้ผู้ดูแลระบบทุกคนจำกัดความสามารถในการเปิดใช้ PowerShell บนคอมพิวเตอร์ที่สำคัญและตรวจสอบการรับส่งข้อมูลเครือข่ายสำหรับการเชื่อมต่อกับบริการ Mocky API

ไม่ใช่การโจมตีทางไซเบอร์เพียงครั้งเดียวในยูเครน

สงครามระหว่างรัสเซียและยูเครนดำเนินมาเป็นเวลากว่าหนึ่งปีแล้ว และนี่ไม่ใช่ครั้งแรกที่กลุ่ม APT28 ที่ได้รับการสนับสนุนจากรัฐเชื่อมโยงกับการโจมตีทางไซเบอร์ในยูเครน ในความเป็นจริง กลุ่มวิเคราะห์ภัยคุกคามของ Google รายงานเมื่อเร็วๆ นี้ว่ากว่า 60% ของการโจมตีทางไซเบอร์และอีเมลฟิชชิ่งทั้งหมดที่กำหนดเป้าหมายไปที่ยูเครนมีต้นทางมาจากรัสเซีย โดยมี APT28 อยู่เบื้องหลังส่วนสำคัญ

ในขณะที่สงครามยังคงยืดเยื้อ และยูเครนสามารถยืนหยัดอยู่ได้ รัสเซียมีแนวโน้มที่จะเปิดการโจมตีรูปแบบใหม่เพื่อทำให้การป้องกันของยูเครนอ่อนแอลง ดังนั้น บริษัทและหน่วยงานรัฐบาลจึงต้องอบรมพนักงานของตนให้ระบุและรายงานอีเมลที่น่าสงสัย และอัปเดตซอฟต์แวร์ทั้งหมดให้ทันสมัยอยู่เสมอ

Categories: IT Info