องค์กรในหลายอุตสาหกรรมทั่วภูมิภาคเอเชียแปซิฟิก (APAC) กำลังเผชิญกับการโจมตีแบบฟิชชิงที่ออกแบบมาเพื่อแพร่กระจายมัลแวร์ที่ชื่อว่า FatalRAT ซึ่งแฮกเกอร์ใช้เทคนิคขั้นสูงและเครื่องมือที่เชื่อมโยงกับบริการคลาวด์ของจีนเพื่อทำให้การโจมตียากต่อการตรวจจับ

ใครคือเป้าหมายของการโจมตีครั้งนี้?

จากรายงานของ Kaspersky ICS CERT การโจมตีมุ่งเป้าไปที่หน่วยงานรัฐบาลและอุตสาหกรรมหลายประเภท เช่น การผลิต เทคโนโลยีสารสนเทศ โทรคมนาคม พลังงาน สาธารณสุข และโลจิสติกส์ โดยมีประเทศที่ได้รับผลกระทบ ได้แก่ ไต้หวัน มาเลเซีย จีน ญี่ปุ่น ไทย เกาหลีใต้ สิงคโปร์ ฟิลิปปินส์ เวียดนาม และฮ่องกง

วิธีการโจมตีที่ใช้

แฮกเกอร์เลือกใช้ อีเมลฟิชชิง เป็นเครื่องมือหลัก โดยอีเมลเหล่านี้จะมีไฟล์แนบเป็น ZIP ที่ดูเหมือนไฟล์ปกติ แต่เมื่อผู้ใช้เปิดไฟล์ ระบบจะเริ่มต้นโหลดมัลแวร์หลายชั้นที่ซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับ

• เริ่มต้นจากอีเมลฟิชชิง – ผู้ใช้ได้รับอีเมลพร้อมไฟล์แนบ ZIP ซึ่งมีชื่อไฟล์เป็นภาษาจีน เพื่อหลอกล่อให้เปิดไฟล์
• ติดตั้งมัลแวร์โดยไม่รู้ตัว – เมื่อเปิด ZIP ระบบจะเรียกใช้โค้ดเพื่อดาวน์โหลดมัลแวร์เพิ่มเติมจากบริการ Youdao Cloud Notes
• แสดงไฟล์หลอกลวง – ไฟล์ลวงตาถูกเปิดขึ้นมาเพื่อไม่ให้ผู้ใช้สงสัย ขณะเดียวกันมัลแวร์ FatalRAT จะถูกติดตั้งอยู่เบื้องหลัง
• หลีกเลี่ยงการตรวจจับ – มัลแวร์ใช้เทคนิคตรวจสอบว่าเครื่องของเหยื่อทำงานในสภาพแวดล้อมจริงหรืออยู่ในระบบเฝ้าระวัง หากพบว่าเป็นระบบจำลอง (Sandbox) มันจะหยุดทำงานเพื่อไม่ให้ถูกจับได้
• เจาะเข้าระบบของเหยื่อ – เมื่อมัลแวร์เข้าสู่เครื่องเป้าหมายได้สำเร็จ มันจะสามารถบันทึกการกดแป้นพิมพ์ ขโมยข้อมูลจากเว็บเบราว์เซอร์ ดาวน์โหลดซอฟต์แวร์ระยะไกล เช่น AnyDesk และ UltraViewer และแม้แต่ปิดกระบวนการบางอย่างในระบบ

อันตรายของ FatalRAT

FatalRAT เป็นมัลแวร์ประเภทโทรจันที่มีความสามารถหลากหลาย มันสามารถขโมยข้อมูล ควบคุมเครื่องของเหยื่อ หรือแม้แต่ปิดกั้นการเข้าถึงอุปกรณ์ ตัวอย่างของสิ่งที่มัลแวร์ตัวนี้ทำได้ ได้แก่

• ดักจับการพิมพ์ (Keylogging) เพื่อล้วงรหัสผ่านและข้อมูลสำคัญ
• ควบคุมหน้าจอเครื่องเป้าหมาย
• ขโมยข้อมูลจากเว็บเบราว์เซอร์ เช่น รหัสผ่านและคุกกี้
• ดาวน์โหลดและติดตั้งซอฟต์แวร์อันตรายเพิ่มเติม
• ปิดโปรแกรมที่เกี่ยวข้องกับความปลอดภัยเพื่อให้การโจมตีดำเนินไปอย่างราบรื่น

ใครอยู่เบื้องหลังการโจมตีนี้?

แม้จะยังไม่มีการระบุแน่ชัดว่ากลุ่มใดเป็นผู้ดำเนินการโจมตีนี้ แต่จากข้อมูลของ Kaspersky นักวิจัยเชื่อว่ากลุ่มแฮกเกอร์ที่พูดภาษาจีนอยู่เบื้องหลัง พวกเขาใช้โครงสร้างพื้นฐานของจีน เช่น myqcloud และ Youdao Cloud Notes เป็นส่วนหนึ่งของกลยุทธ์ในการกระจายมัลแวร์

จะป้องกันตัวเองได้อย่างไร?

• ระวังอีเมลที่ไม่รู้จัก – อย่าเปิดไฟล์แนบหรือคลิกลิงก์จากอีเมลที่มาจากแหล่งที่ไม่น่าเชื่อถือ
• ตรวจสอบ URL และแหล่งที่มา – หลีกเลี่ยงการดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่น่าไว้วางใจ
• ติดตั้งซอฟต์แวร์ความปลอดภัย – ใช้โปรแกรมแอนตี้ไวรัสและเปิดใช้งานการอัปเดตอัตโนมัติ
• อย่าดาวน์โหลดโปรแกรมจากแหล่งที่ไม่น่าเชื่อถือ – ตรวจสอบให้แน่ใจก่อนติดตั้งโปรแกรมใดๆ
• อัปเดตระบบปฏิบัติการเป็นเวอร์ชันล่าสุด – แพตช์ความปลอดภัยที่อัปเดตเป็นประจำช่วยลดความเสี่ยงจากมัลแวร์

การโจมตีด้วยมัลแวร์ FatalRAT แสดงให้เห็นว่ากลุ่มแฮกเกอร์ยังคงพัฒนาเทคนิคที่ซับซ้อนขึ้นเรื่อยๆ การใช้บริการคลาวด์ของจีนเป็นช่องทางกระจายมัลแวร์ทำให้การตรวจจับทำได้ยากขึ้น ดังนั้น ผู้ใช้และองค์กรจำเป็นต้องเพิ่มความระมัดระวัง และใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งขึ้นเพื่อป้องกันตัวเองจากภัยคุกคามทางไซเบอร์ที่กำลังทวีความรุนแรงมากขึ้น

ติดตามเรื่องราว IT ต่างๆได้ที่ Avery IT Tech เพราะเรื่อง IT อยู่รอบตัวคุณ...

#AveryITTech #IT #FatalRAT #มัลแวร์ #ภัยไซเบอร์เอเชียแปซิฟิก #การโจมตีไซเบอร์ในอุตสาหกรรม 

ขอบคุณแหล่งที่มา : https://thehackernews.com/2025/02/fatalrat-phishing-attacks-target-apac.html