กลุ่มแฮ็กเกอร์ APT28 ที่เชื่อมโยงกับรัสเซีย กำหนดเป้าหมายองค์กรในอเมริกา เอเชีย และยุโรป ด้วยการโจมตีแบบฟิชชิ่งอย่างกว้างขวาง
ในภูมิทัศน์ของภัยคุกคามความปลอดภัยทางไซเบอร์ที่เปลี่ยนแปลงตลอดเวลา มีชื่อหนึ่งที่ปรากฏว่าเป็นข้อกังวลที่สำคัญอย่างต่อเนื่อง: APT28 ซึ่งเป็นผู้แสดงภัยคุกคามที่มีความสัมพันธ์กับรัสเซีย ได้รับความสนใจอีกครั้งเนื่องจากการมีส่วนร่วมในแคมเปญฟิชชิ่งที่กำลังดำเนินอยู่หลายครั้ง การค้นพบที่เปิดเผยเมื่อเร็วๆ นี้โดย IBM X-Force ให้ความกระจ่างเกี่ยวกับขอบเขตและความซับซ้อนของการดำเนินการเหล่านี้ โดยเน้นถึงขอบเขตการเข้าถึงของ APT28 และกลยุทธ์ที่หลากหลายที่ใช้ในการแทรกซึมเป้าหมายทั่วโลก
วิธีการดำเนินการของ APT28 เกี่ยวข้องกับการปรับใช้แคมเปญฟิชชิ่งโดยใช้เอกสารล่อลวงที่เลียนแบบทั้งองค์กรภาครัฐและเอกชน (NGO) แคมเปญเหล่านี้ครอบคลุมทั่วทวีป โดยกำหนดเป้าหมายไปยังภูมิภาคต่างๆ ในยุโรป คอเคซัสใต้ เอเชียกลาง ตลอดจนอเมริกาเหนือและใต้ การใช้สิ่งล่อใจที่หลากหลายดังกล่าว รวมถึงเอกสารที่เกี่ยวข้องกับการเงิน โครงสร้างพื้นฐานที่สำคัญ การมีส่วนร่วมของผู้บริหาร ความปลอดภัยทางไซเบอร์ ความมั่นคงทางทะเล การดูแลสุขภาพ ธุรกิจ และการผลิตทางอุตสาหกรรมด้านการป้องกัน ตอกย้ำถึงความสามารถในการปรับตัวและการมุ่งเน้นเชิงกลยุทธ์ของ APT28
รายงานของ IBM X-Force เน้นย้ำถึงความซับซ้อนในการดำเนินงานของ APT28 โดยเผยให้เห็นถึงการใช้กลยุทธ์และเครื่องมือที่หลากหลาย ตั้งแต่การปลูกถ่ายตามสั่งและผู้ขโมยข้อมูล เช่น MASEPIE, OCEANMAP และ STEELHOOK ไปจนถึงการใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในแพลตฟอร์มที่ใช้กันอย่างแพร่หลาย เช่น Microsoft Outlook APT28 แสดงให้เห็นถึงความเข้าใจที่ครอบคลุมเกี่ยวกับภูมิทัศน์ความปลอดภัยทางไซเบอร์
สารบัญ
การปรับตัวให้เข้ากับภัยคุกคามที่กำลังพัฒนา
การค้นพบล่าสุดยังแสดงให้เห็นความคล่องตัวของ APT28 ในการปรับตัวให้เข้ากับสถานการณ์ที่เปลี่ยนแปลงไป และการใช้ประโยชน์จากโอกาสที่เกิดขึ้นใหม่ ตัวอย่างเช่น การใช้ตัวจัดการโปรโตคอล URI "search-ms:" ใน Microsoft Windows แสดงให้เห็นถึงความสามารถของ APT28 ในการใช้ประโยชน์จากฟีเจอร์ที่ดูเหมือนไม่มีอันตรายเพื่อวัตถุประสงค์ที่เป็นอันตราย นอกจากนี้ หลักฐานยังชี้ให้เห็นว่า APT28 อาจ ใช้เราเตอร์ Ubiquiti ที่ถูกบุกรุก เพื่อโฮสต์โครงสร้างพื้นฐานที่สำคัญ โดยเน้นถึงความซับซ้อนของกลุ่มในการใช้เวกเตอร์การโจมตีที่หลากหลาย
การแอบอ้างบุคคลอื่นและการหลอกลวง
การโจมตีแบบฟิชชิ่ง ของ APT28 ไม่เพียงแต่มีความหลากหลายทางภูมิศาสตร์เท่านั้น แต่ยังมีความซับซ้อนในกลยุทธ์การหลอกลวงอีกด้วย ด้วยการแอบอ้างเป็นหน่วยงานจากหลากหลายประเทศ รวมถึงอาร์เจนตินา ยูเครน จอร์เจีย เบลารุส คาซัคสถาน โปแลนด์ อาร์เมเนีย อาเซอร์ไบจาน และสหรัฐอเมริกา APT28 ได้สร้างแผ่นไม้อัดแห่งความชอบธรรมที่ช่วยเพิ่มประสิทธิภาพของการรณรงค์ การผสมผสานระหว่างความถูกต้องและการหลอกลวงนี้ตอกย้ำความซับซ้อนของภาพรวมภัยคุกคามที่องค์กรต่างๆ ทั่วโลกต้องเผชิญ
มองไปข้างหน้า
เนื่องจาก APT28 ยังคงพัฒนากลยุทธ์และขีดความสามารถอย่างต่อเนื่อง องค์กรต่างๆ จึงต้องระมัดระวังและกระตือรือร้นในการป้องกันภัยคุกคามดังกล่าว ข้อมูลเชิงลึกที่ได้รับจาก IBM X-Force ทำหน้าที่เป็นเครื่องเตือนใจถึงลักษณะที่ต่อเนื่องและปรับเปลี่ยนได้ของภัยคุกคามทางไซเบอร์ ซึ่งจำเป็นต้องมีแนวทางที่แข็งแกร่งและหลากหลายในด้านความปลอดภัยทางไซเบอร์
การเปิดเผยกิจกรรมของ APT28 โดย IBM X-Force ตอกย้ำความท้าทายอย่างต่อเนื่องที่เกิดจากผู้คุกคามที่มีความซับซ้อนในภูมิทัศน์ความปลอดภัยทางไซเบอร์ ด้วยการให้ความกระจ่างเกี่ยวกับกลยุทธ์ เครื่องมือ และเป้าหมายของ APT28 องค์กรต่างๆ จึงสามารถเข้าใจและลดความเสี่ยงที่เกิดจากศัตรูที่น่าเกรงขามนี้ได้ดีขึ้น อย่างไรก็ตาม การเฝ้าระวังและการทำงานร่วมกันยังคงเป็นสิ่งสำคัญยิ่งในขณะที่เราสำรวจภูมิทัศน์ภัยคุกคามที่พัฒนาอยู่ตลอดเวลาด้วยกัน