ทีมข้อมูลภัยคุกคามทางไซเบอร์ของแคสเปอร์สกี้ (Kaspersky Cyber Threat Intelligence Team) ได้เปิดเผยผลการศึกษาที่สำคัญเกี่ยวกับกลยุทธ์ เทคนิค และขั้นตอนปฏิบัติ (Tactics, Techniques, and Procedures หรือ TTP) ของกลุ่ม APT ในภูมิภาคเอเชีย โดยให้ข้อมูลที่ครอบคลุมมากที่สุดที่ค้นพบในระหว่างการสอบสวน เพื่อเพิ่มความเข้าใจเกี่ยวกับวิธีการดำเนินงานของกลุ่ม APT พร้อมด้วยกลไกการป้องกันที่มีประสิทธิภาพ
เริ่มตั้งแต่ปี 2022 ทีมข้อมูลภัยคุกคามทางไซเบอร์ของแคสเปอร์สกี้วิเคราะห์เหตุการณ์โจมตีประมาณหนึ่งร้อยเหตุการณ์ที่เกิดขึ้นในภูมิภาคต่างๆ ทั่วโลก ทีมงานใช้วิธีการ Unified Kill Chain เพื่อทำการศึกษาการกระทำของผู้โจมตี โดยอิงตามการค้นพบจาก TTP ที่ถูกใช้โดยกลุ่ม APT โดยในรายงานนี้ ผู้เชี่ยวชาญได้ให้ข้อมูลเชิงลึกเกี่ยวกับเหตุการณ์เฉพาะ 5 เหตุการณ์ที่เกิดขึ้นในรัสเซียและเบลารุส อินโดนีเซีย มาเลเซีย อาร์เจนตินา และปากีสถาน ซึ่งแต่ละเหตุการณ์เป็นลักษณะการโจมตีที่กระจายตามภูมิศาสตร์
ในรายงานการวิเคราะห์ที่ยาว 370 หน้านี้ ระบุว่า TTP ที่ใช้โดยกลุ่ม APT ในแต่ละขั้นตอนของกระบวนการโจมตีได้รับการบันทึกไว้อย่างพิถีพิถัน นอกจากนี้ รายงานยังเสนอคำแนะนำในการต่อสู้กับการโจมตีดังกล่าว และรวมถึงกฎ Sigma ที่สามารถใช้เพื่อตรวจจับการโจมตีดังกล่าวอีกด้วย
การศึกษานี้ได้ใช้เครื่องมือ แนวปฏิบัติ และวิธีการวิเคราะห์ภัยคุกคามที่มีชื่อเสียงระดับสากล เช่น MITER ATT&CK, F3EAD, Pyramid of Pain ของ David Bianco, Intelligence Driven Incident Response, และ Unified Cyber Kill Chain เพื่อให้มั่นใจว่า จะเป็นการศึกษาที่สามารถเข้าถึงได้ทั่วโลก อีกทั้งนักวิจัยและผู้เชี่ยวชาญด้านความปลอดภัยจะสามารถเข้าใจได้ดี
การวิจัยพบว่าแม้จะมีการโจมตีหลายครั้ง แต่เทคนิคต่างๆ ที่พบยังคงมีจำกัด ทำให้นักวิจัยสามารถเจาะเข้าไปในการวิเคราะห์ได้ลึกซึ้งยิ่งขึ้น ข้อค้นพบที่สำคัญบางส่วน มีดังต่อไปนี้
- กลุ่ม APT ในเอเชียเลือกเป้าหมายโดยปราศจากความอคติระดับภูมิภาค โดยเหยื่อจะกระจายไปทั่วโลก เน้นสร้างความท้าทายในการให้นักวิจัยพยายามระบุว่าภูมิภาคใดตกเป็นเป้าหมายถี่ที่สุด ผู้โจมตีใช้กลยุทธ์ที่สอดคล้องกันทั่วโลก แสดงให้เห็นถึงความสามารถในการใช้คลังแสงที่เหมือนกันเพื่อโจมตีเหยื่อต่างๆ
- คุณลักษณะที่สำคัญของผู้โจมตีในเอเชีย คือการใช้เทคนิคผสมผสานกันอย่างเชี่ยวชาญ โดยใช้กลยุทธ์ 'สร้างหรือแก้ไขกระบวนการของระบบ: บริการเทคนิค Windows T003' ซึ่งช่วยให้ผู้โจมตีสามารถขยายสิทธิ์ได้ และยังใช้ 'Hijack Execution Flow: DLL Side-Loading T1574.002' ซึ่งเป็นกลยุทธ์ที่ใช้กันทั่วไปในการหลบเลี่ยงการตรวจจับ การรวมกันเชิงกลยุทธ์นี้ดูเหมือนจะเป็นจุดเด่นที่โดดเด่นของกลุ่มไซเบอร์ในเอเชีย
- จุดสนใจหลักของกลุ่ม APT เอเชียคือการจารกรรมทางไซเบอร์ ซึ่งเห็นได้จากความพยายามในการรวบรวมข้อมูลที่ละเอียดอ่อน และส่งต่อไปยังบริการคลาวด์ที่ถูกต้องตามกฎหมายหรือช่องทางภายนอก แม้ว่าจะไม่ใช่เรื่องปกติ แต่ก็มีบางกรณีที่กลุ่ม APT ปฎิบัติการแตกต่างจากรูปแบบนี้ ดังที่เห็นในเหตุการณ์ที่ตรวจสอบแล้วว่าเกี่ยวข้องกับการใช้แรนซัมแวร์ในการโจมตี
- อุตสาหกรรมที่เป็นเป้าหมายมากที่สุด ได้แก่ ภาครัฐ อุตสาหกรรม สุขภาพสาธารณสุข ไอที เกษตรกรรม และพลังงาน
การจัดระบบ TTP รูปแบบต่างๆ ที่ผู้โจมตีใช้ ทำให้เกิดการพัฒนาชุดกฎ SIGMA ที่สร้างขึ้นอย่างพิถีพิถันโดยเฉพาะ ช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยตรวจจับการโจมตีที่อาจเกิดขึ้นภายในโครงสร้างพื้นฐานของตนได้
นิกิตา นาซารอฟ หัวหน้าฝ่าย Threat Exploration ของแคสเปอร์สกี้ กล่าวว่า "ในโลกความปลอดภัยทางไซเบอร์ ความรู้คือกุญแจสำคัญในการยืดหยุ่นและฟื้นตัวจากการโจมตี เรามุ่งหวังว่า รายงานฉบับนี้ที่จะเสริมศักยภาพให้กับผู้เชี่ยวชาญด้านความปลอดภัยด้วยข้อมูลเชิงลึกที่จำเป็น เพื่อก้าวนำหน้าเกมของผู้ประสงค์ร้ายและป้องกันภัยคุกคามที่อาจเกิดขึ้น เราขอสนับสนุนให้ชุมชนความปลอดภัยทางไซเบอร์ทั้งหมดเข้าร่วมภารกิจแบ่งปันความรู้ เพื่อภูมิทัศน์ทางดิจิทัลที่แข็งแกร่งและปลอดภัยยิ่งขึ้น"
นักวิจัยของแคสเปอร์สกี้ค้นพบเครื่องมือ เทคนิค และแคมเปญใหม่ๆ ในการโจมตีทางไซเบอร์ทั่วโลกของกลุ่ม APT อย่างต่อเนื่อง ผู้เชี่ยวชาญได้ติดตามกลุ่มและปฏิบัติการต่างๆ มากกว่า 900 รายการ โดย 90% นั้นเกี่ยวข้องกับการจารกรรมทางไซเบอร์ และได้แบ่งปันสิ่งที่ค้นพบล่าสุด รวมถึงข้อมูลเชิงลึกพิเศษผ่านทาง Kaspersky Threat Intelligence Portal (TIP) ซึ่งเป็นจุดหลักเพื่อเข้าถึงคลังข้อมูลภัยคุกคามของแคสเปอร์สกี้ โดยมีข้อมูลการโจมตีทางไซเบอร์และข้อมูลเชิงลึกที่ รวบรวมมายาวนานกว่า 20 ปี
ผู้สนใจสามารถรายงานฉบับเต็มเรื่อง Modern Asian APT groups: Tactics, Techniques and Procedures ได้ที่เว็บ Securelist.com
https://securelist.com/modern-asia-apt-groups-ttp/111009/