เจาะลึกกลยุทธ์โจมตีไซเบอร์หลายขั้นตอน: จากอีเมลลวงสู่ Ursnif และ Dridex
โลกไซเบอร์ทุกวันนี้เต็มไปด้วยภัยคุกคามที่ซับซ้อนขึ้นเรื่อย ๆ การโจมตีแบบหลายขั้นตอน (multi-stage attack) เป็นหนึ่งในกลวิธีที่อันตรายที่สุด อาชญากรไซเบอร์ไม่ได้พึ่งพาแค่มัลแวร์ตัวเดียวอีกต่อไป แต่ใช้ชุดเครื่องมือและเทคนิคที่เชื่อมโยงกัน เพื่อแทรกซึม ขโมยข้อมูล และสร้างความเสียหายร้ายแรง บทความนี้จะพาไปเจาะลึกกรณีศึกษาที่น่าสนใจของกลยุทธ์การโจมตี ที่ใช้มัลแวร์สองตระกูลดังอย่าง Ursnif และ Dridex เพื่อทำความเข้าใจภัยคุกคามและวิธีรับมือ
จุดเริ่มต้นของภัยร้าย: อีเมลล่อลวง
การโจมตีมักเริ่มต้นจากจุดที่คาดไม่ถึง นั่นคือ อีเมลฟิชชิ่ง (phishing email) ที่ดูเหมือนจะมาจากแหล่งที่น่าเชื่อถือ
อีเมลเหล่านี้มักแนบเอกสารอันตรายมาด้วย เช่น ไฟล์ Word ที่มีนามสกุล .docm ซึ่งหมายถึงเอกสารที่มี มาโคร (macro) ฝังอยู่
เมื่อเหยื่อหลงเชื่อ เปิดเอกสาร และกดปุ่ม “เปิดใช้งานเนื้อหา” (Enable Content) เพื่อให้มาโครทำงาน นั่นคือจุดที่ประตูสู่หายนะได้เปิดออก
มาโครที่ถูกเรียกใช้งาน จะทำการรันคำสั่ง PowerShell โดยอัตโนมัติ คำสั่งนี้จะดาวน์โหลดและเรียกใช้โปรแกรม msiexec.exe จากอินเทอร์เน็ต เพื่อติดตั้งแพ็คเกจ MSI ที่เป็นมัลแวร์ต่อไป
Ursnif: ตัวเปิดทางสู่การโจมตี
เมื่อแพ็คเกจ MSI ถูกดาวน์โหลดและติดตั้งสำเร็จ Ursnif ซึ่งเป็นโทรจันประเภท โทรจันธนาคาร (banking Trojan) ก็จะเข้ามาประจำการในระบบ
Ursnif มีความสามารถหลากหลาย ทั้งการ ขโมยข้อมูลส่วนบุคคล ข้อมูลบัญชีธนาคาร การ บันทึกการกดแป้นพิมพ์ (keylogging) และการ จับภาพหน้าจอ เพื่อรวบรวมข้อมูลสำคัญจากเหยื่อ
มัลแวร์ตัวนี้ยังฉลาดพอที่จะสร้าง Scheduled Tasks และแก้ไข Registry เพื่อให้แน่ใจว่ามันจะทำงานได้ต่อไปทุกครั้งที่ระบบเริ่มทำงาน เพื่อให้การโจมตีมีความ คงอยู่ถาวร (persistence)
สิ่งที่น่ากลัวคือ Ursnif มักทำหน้าที่เป็น ตัวโหลด (loader) ให้กับมัลแวร์ตัวอื่น ๆ ซึ่งในกรณีนี้ มันได้นำไปสู่การติดตั้ง Dridex
Dridex: มัลแวร์ขโมยเงินตัวฉกาจ
หลังจาก Ursnif เปิดทางและติดตั้ง Dridex แล้ว เป้าหมายหลักของการโจมตีก็ชัดเจนขึ้น
Dridex เป็นมัลแวร์ธนาคารที่โด่งดัง มีความเชี่ยวชาญในการ แทรกโค้ด เข้าไปในเว็บเบราว์เซอร์ของเหยื่อ เพื่อดักจับข้อมูลการเข้าสู่ระบบธนาคารออนไลน์ และดำเนินการ ฉ้อโกงทางการเงิน โดยตรง
Dridex สามารถปรับเปลี่ยนหน้าเว็บไซต์ธนาคารที่เหยื่อกำลังเข้าชม เพื่อหลอกให้เหยื่อกรอกข้อมูลส่วนตัว หรือยืนยันธุรกรรมที่ไม่ได้รับอนุญาต
ทั้ง Ursnif และ Dridex ต่างก็สื่อสารกับ เซิร์ฟเวอร์ควบคุมและสั่งการ (Command and Control – C2) ของตัวเอง เพื่อส่งข้อมูลที่ขโมยมาและรับคำสั่งใหม่ ๆ ในการปฏิบัติการต่อไป
สัญญาณอันตรายที่ต้องจับตา: Indicators of Compromise (IOCs)
การตรวจจับการโจมตีเหล่านี้ต้องอาศัยการสังเกต Indicators of Compromise (IOCs) หรือสัญญาณการถูกบุกรุก
มองหาการเชื่อมต่อเครือข่ายที่ผิดปกติ เช่น การดาวน์โหลดไฟล์ .docm หรือ msiexec.exe จากแหล่งที่ไม่รู้จัก
การสื่อสารกับ โดเมนหรือ IP Address ที่ไม่คุ้นเคย โดยเฉพาะอย่างยิ่งในพอร์ต HTTPS (443) ที่ไม่ได้เป็นของบริการที่ใช้งานปกติ ถือเป็นสัญญาณสำคัญของ C2 Communication
นอกจากนี้ การตรวจสอบบันทึก DNS Query ก็ช่วยให้เห็นว่าระบบมีการพยายามติดต่อกับโดเมนอันตรายเหล่านี้หรือไม่
การเฝ้าระวังพฤติกรรมของโปรเซสที่น่าสงสัยในเครื่อง รวมถึงการเปลี่ยนแปลงไฟล์หรือ Registry ที่ผิดปกติ ก็เป็นส่วนสำคัญของการตรวจจับ
สร้างเกราะป้องกันที่แข็งแกร่ง
การป้องกันการโจมตีแบบหลายขั้นตอนต้องอาศัยกลยุทธ์ที่รอบด้านและเป็นชั้น ๆ
เริ่มต้นด้วยการ เสริมความปลอดภัยอีเมล ด้วยระบบคัดกรองสแปมและมัลแวร์ที่มีประสิทธิภาพ
การ ฝึกอบรมผู้ใช้งาน ให้ตระหนักถึงภัยฟิชชิ่งและการไม่เปิดใช้งานมาโครในเอกสารที่ไม่น่าเชื่อถือ เป็นสิ่งสำคัญอย่างยิ่ง
องค์กรควรมี นโยบายการใช้มาโครที่เข้มงวด หรือปิดการใช้งานมาโครโดยค่าเริ่มต้น
การ เฝ้าระวังเครือข่ายอย่างต่อเนื่อง ด้วยเครื่องมือวิเคราะห์ทราฟฟิกจะช่วยตรวจจับ C2 Communication และการดาวน์โหลดที่น่าสงสัย
การใช้งานระบบ Endpoint Detection and Response (EDR) และ Security Information and Event Management (SIEM) ก็จะช่วยให้สามารถตรวจจับและตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วและมีประสิทธิภาพมากขึ้น
การอัปเดตระบบปฏิบัติการ ซอฟต์แวร์ และแอนติไวรัสอยู่เสมอ ก็เป็นพื้นฐานสำคัญที่ไม่อาจละเลยได้ เพื่อปกป้องตัวเองและองค์กรจากภัยคุกคามไซเบอร์ที่พัฒนาไปอย่างไม่หยุดยั้ง