444/67 (IT) ประจำวันอังคารที่ 17 ธันวาคม 2567
เจ้าหน้าที่รัฐบาลไทยตกเป็นเป้าหมายของการโจมตีทางไซเบอร์ครั้งใหม่ โดยใช้เทคนิคที่เรียกว่า DLL Side-Loading เพื่อเผยแพร่มัลแวร์ Backdoor ชื่อว่า Yokai ซึ่งมีความสามารถในการเข้าควบคุมระบบและรับคำสั่งจากผู้โจมตีผ่านเซิร์ฟเวอร์ควบคุม โดยแคมเปญเริ่มต้นด้วยไฟล์ RAR ที่แนบมากับอีเมล ซึ่งภายในมี Windows shortcut สองไฟล์ ชื่อในภาษาไทยว่า “กระทรวงยุติธรรมสหรัฐ.pdf” และ “รัฐบาลสหรัฐขอความร่วมมือระหว่างประเทศในเรื่องทางอาญา.docx” เมื่อเปิดไฟล์ดังกล่าว ระบบจะเปิดเอกสาร PDF หรือ Word เพื่อเบี่ยงเบนความสนใจ ขณะเดียวกัน มัลแวร์จะถูกติดตั้งในพื้นหลังอย่างลับ ๆ ซึ่งมัลแวร์นี้ออกแบบมาเพื่อปล่อยไฟล์เพิ่มเติมอีกสามไฟล์ ซึ่งรวมถึงไฟล์ที่ดูเหมือนถูกต้องจากโปรแกรมกู้คืนข้อมูล iTop Data Recovery โดยไฟล์นี้จะถูกใช้เพื่อโหลด DLL อันตรายเข้าสู่ระบบ Yokai Backdoor จะตั้งค่าการทำงานซ้ำบนเครื่องเป้าหมาย พร้อมทั้งเชื่อมต่อไปยังเซิร์ฟเวอร์ควบคุม (C2 Server) เพื่อรับคำสั่ง เช่น การเปิดหน้าต่างคำสั่ง (cmd.exe) และรันคำสั่ง Shell เพื่อเข้าควบคุมระบบ
นักวิเคราะห์คาดการณ์ว่า การโจมตีนี้น่าจะใช้วิธี Spear-Phishing ผ่านอีเมลหลอกลวง โดยใช้ไฟล์ RAR เป็นเครื่องมือแพร่กระจายมัลแวร์ เบื้องต้นยังไม่มีหลักฐานแน่ชัดว่าแคมเปญดังกล่าวถูกใช้งานสำเร็จมากน้อยเพียงใด แต่แคมเปญนี้แสดงให้เห็นถึงการพัฒนาของมัลแวร์ในปัจจุบัน ซึ่งรวมถึงความสามารถในการเลี่ยงการตรวจจับของซอฟต์แวร์สำหรับรักษาความปลอดภัยทางไซเบอร์ และความซับซ้อนของการโจมตีที่มุ่งเป้าไปยังเจ้าหน้าที่ของรัฐบาล ดังนั้น ผู้ใช้งานระบบจึงควรระมัดระวังเป็นพิเศษ และดำเนินการอัปเดตระบบปฏิบัติการและโปรแกรมที่ใช้งานให้เป็นเวอร์ชันล่าสุด เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้น สำหรับการป้องกันภัยคุกคามผู้เชี่ยวชาญแนะนำให้หลีกเลี่ยงการเปิดไฟล์แนบหรือคลิกลิงก์จากอีเมลที่ไม่น่าเชื่อถือ และติดตั้งซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพ พร้อมทั้งตรวจสอบระบบอย่างสม่ำเสมอเพื่อป้องกันการโจมตีจากมัลแวร์ชนิดใหม่ ๆ
แหล่งข่าว https://thehackernews.com/2024/12/thai-officials-targeted-in-yokai.html
