Google รายงานว่ามีกลุ่มแฮกเกอร์ที่ไม่เคยมีการบันทึกมาก่อน ซึ่งอาจมีความเกี่ยวข้องกับหน่วยข่าวกรองรัสเซีย ได้ใช้มัลแวร์ชื่อ CANFAIL ในการโจมตีแบบฟิชชิ่งต่อองค์กรสำคัญของยูเครน กลุ่มนี้มีเป้าหมายที่หน่วยงานกลาโหม การทหาร รัฐบาล และพลังงาน ทั้งในระดับภูมิภาคและระดับชาติ รวมถึงเริ่มให้ความสนใจกับองค์กรด้านการบินและอวกาศ บริษัทผู้ผลิตที่มีความเชื่อมโยงกับกองทัพและโดรน องค์กรวิจัยนิวเคลียร์และเคมี ตลอดจนองค์กรระหว่างประเทศที่เกี่ยวข้องกับการติดตามความขัดแย้งและความช่วยเหลือด้านมนุษยธรรมในยูเครน แม้ว่ากลุ่มนี้จะมีทรัพยากรและความซับซ้อนน้อยกว่ากลุ่มภัยคุกคามรัสเซียอื่น ๆ แต่เพิ่งเริ่มนำ Large Language Models (LLMs) มาใช้เพื่อช่วยในการหาข่าวกรอง การสร้างเหยื่อล่อสำหรับ Social Engineering และการตั้งค่าโครงสร้างพื้นฐาน C2
Severity: สูง
System Impact:
- องค์กรด้านกลาโหมของยูเครน
- องค์กรทหารของยูเครน
- องค์กรรัฐบาลของยูเครน
- องค์กรพลังงานของยูเครน (ทั้งระดับภูมิภาคและระดับชาติ)
- องค์กรด้านการบินและอวกาศ
- บริษัทผู้ผลิตที่มีความเชื่อมโยงกับกองทัพและโดรน
- องค์กรวิจัยนิวเคลียร์และเคมี
- องค์กรระหว่างประเทศที่เกี่ยวข้องกับการติดตามความขัดแย้งและความช่วยเหลือด้านมนุษยธรรมในยูเครน
- บัญชีอีเมลขององค์กรและส่วนบุคคล
- ระบบปลายทาง (Endpoints) ที่ถูกติดตั้งมัลแวร์ CANFAIL
Technical Attack Steps:
- การสร้างเหยื่อล่อ: ผู้โจมตีใช้ LLMs ในการสร้างข้อความฟิชชิ่งที่น่าเชื่อถือและรายชื่ออีเมลเป้าหมายที่ตรงกับภูมิภาคและอุตสาหกรรม
- การกระจาย: ส่งอีเมลฟิชชิ่งโดยแอบอ้างเป็นองค์กรพลังงานของยูเครนหรือบริษัทพลังงานโรมาเนีย
- การใช้ลิงก์อันตราย: อีเมลฟิชชิ่งมีลิงก์ Google Drive ที่ชี้ไปยังไฟล์เก็บถาวร RAR
- การอำพรางมัลแวร์: ไฟล์ RAR มีมัลแวร์ CANFAIL ซึ่งปลอมแปลงเป็นเอกสาร PDF ด้วยการเพิ่มนามสกุลสองชั้น (เช่น *.pdf.js)
- การเรียกใช้งานมัลแวร์: เมื่อเหยื่อเปิดไฟล์ JavaScript ที่ถูกอำพราง มัลแวร์จะรันสคริปต์ PowerShell
- การดาวน์โหลด Dropper: สคริปต์ PowerShell จะดาวน์โหลดและรัน PowerShell Dropper ที่ทำงานในหน่วยความจำเท่านั้น
- การซ่อนกิจกรรม: ในระหว่างที่มัลแวร์ทำงาน จะแสดงข้อความ “ข้อผิดพลาด” ปลอมเพื่อให้เหยื่อเข้าใจผิด
Recommendations:
Short Term:
- แจ้งเตือนผู้ใช้งาน: ให้ความรู้แก่พนักงานเกี่ยวกับกลโกงฟิชชิ่งที่ใช้ LLMs และการตรวจสอบลิงก์และไฟล์แนบอย่างรอบคอบ
- บล็อกลิงก์และไฟล์แนบที่น่าสงสัย: ตั้งค่าระบบคัดกรองอีเมลและไฟร์วอลล์เพื่อบล็อกลิงก์ Google Drive และไฟล์แนบจากแหล่งที่ไม่น่าเชื่อถือ
- อัปเดตระบบป้องกัน: ตรวจสอบและอัปเดตซิกเนเจอร์ของโปรแกรม Antivirus/EDR เพื่อตรวจจับมัลแวร์ CANFAIL และกิจกรรม PowerShell ที่ผิดปกติ
- เฝ้าระวังเครือข่าย: ตรวจสอบกิจกรรม PowerShell ที่ไม่คุ้นเคยและการเชื่อมต่อ C2 บนเครือข่ายอย่างใกล้ชิด
Long Term:
- เพิ่มความปลอดภัยอีเมล: ใช้มาตรการรักษาความปลอดภัยอีเมลที่เข้มงวด เช่น DMARC, DKIM, SPF
- เสริมสร้าง EDR: ปรับปรุงความสามารถในการตรวจจับและตอบสนองภัยคุกคามบน Endpoints (EDR) เพื่อป้องกันมัลแวร์ขั้นสูง
- ฝึกอบรมความตระหนักรู้ด้านความปลอดภัย: จัดการฝึกอบรมและจำลองสถานการณ์ฟิชชิ่งอย่างสม่ำเสมอ
- การยืนยันตัวตนแบบหลายปัจจัย (MFA): บังคับใช้ MFA สำหรับบัญชีทั้งหมด โดยเฉพาะบัญชีอีเมล
- การประเมินช่องโหว่และการทดสอบเจาะระบบ: ดำเนินการประเมินช่องโหว่และทดสอบเจาะระบบเป็นประจำ
- การจัดการแพตช์: รักษาซอฟต์แวร์และระบบปฏิบัติการให้เป็นปัจจุบันอยู่เสมอด้วยแพตช์ความปลอดภัยล่าสุด
- การแบ่งปันข้อมูลภัยคุกคาม: สร้างความร่วมมือในการแบ่งปันข้อมูลภัยคุกคามกับองค์กรที่เกี่ยวข้อง
Source: https://thehackernews.com/2026/02/google-ties-suspected-russian-actor-to.html
Share this content: