Friday, November 22, 2024
ArticlesCybersecurity

Kaspersky คาดการณ์ภาพรวมภัย APT ปี 2024 คุกคามล้ำหน้าไปอีกก้าว

APT

อ่านสรุปรายงาน Kaspersky Security Bulletin ที่ คาดการณ์ภาพรวมสถานการณ์ภัยคุกคามทางไซเบอร์ในปี 2024 โดยเน้นวิวัฒนาการของภัยคุกคามขั้นสูง หรือ APT

ผู้เชี่ยวชาญจากทีมวิจัยและวิเคราะห์ระดับโลกของแคสเปอร์กี้ (Kaspersky Global Research and Analysis Team หรือ GReAT) เผยรายงาน Kaspersky Security Bulletin ที่ คาดการณ์ภาพรวมสถานการณ์ภัยคุกคามทางไซเบอร์ในปี 2024 โดยเน้นวิวัฒนาการของภัยคุกคามขั้นสูง หรือ APT (Advanced Persistent Threats)

นักวิจัยจากแคสเปอร์สกี้คาดการณ์ว่า APT จะโจมตีช่องโหว่ใหม่ๆ ผ่านอุปกรณ์อัจฉริยะ เช่น โทรศัพท์มือถือ อุปกรณ์สวมใส่อัจฉริยะ จากนั้นเปลี่ยนอุปกรณ์เหล่านั้นให้เป็นเครือข่ายบ็อตเน็ตของตน รองรับแนวทางการโจมตีแบบซัพพลายเชน และอาศัย AI เพื่อใช้ทำสเปียร์ฟิชชิง (spear-phishing) ที่มีประสิทธิภาพ พัฒนาการเหล่านี้จะเพิ่มความรุนแรงให้กับการโจมตี และการก่ออาชญากรรมไซเบอร์ที่มีแรงจูงใจจากประเด็นทางการเมืองมากยิ่งขึ้น

การปลอมแปลงตัวตนโดยใช้AI โจมตีบนอุปกรณ์มือถือและบ็อตเน็ตรูปแบบใหม่

เครื่องมือ AI ที่ผุดขึ้นมาราวดอกเห็ด ซึ่งได้รับการปรับปรุงประสิทธิภาพให้สามารถผลิตข้อความสเปียร์ฟิชชิง ที่สามารถเลียนแบบปลอมเป็นบุคคลใดบุคคลหนึ่งได้ ผู้โจมตีอาจคิดค้นวิธีการอัตโนมัติโดยการรวบรวมข้อมูลออนไลน์และป้อนให้กับ ระบบ AI ซึ่งสามารถสร้างรูปแบบสนทนา (Large Language Models: LLM) เพื่อสร้างจดหมายที่มีสำนวนการเขียนของบุคคลที่เหยื่อกำลังติดต่อด้วย

ปฏิบัติการสามเหลี่ยม (Operation Triangulation) คือ ปัจจัยที่มาจุดประกายการค้นพบช่องโหว่ใหม่บนอุปกรณ์มือถือ และมีแนวโน้มที่จะหนุนการค้นคว้าเพื่อการโจมตีอุปกรณ์มือถือและอุปกรณ์อัจฉริยะต่างๆ โดยใช้ APT มากขึ้น

เราจะได้เห็นอาชญากรไซเบอร์ขยายพื้นออกโจมตีและเล็งเป้าไปยังอุปกรณ์ต่างๆ ของเหยื่อผ่านช่องโหว่และมองหาจังหวะฉวยโอกาสอย่างเงียบเชียบมากขึ้น รวมถึงใช้การโจมตีแบบ zero-click ผ่านการส่งข้อความ หรือการโจมตีแบบ one-click โดย SMS และแอปพลิเคชันส่งข้อความสนทนา รวมไปถึงการก่อกวนการจราจรของข้อมูลบนเครือข่าย การดำเนินการป้องกันอุปกรณ์ทั้งขององค์กรและของตนเองจึงมีความสำคัญอย่างยิ่ง

นอกจากนี้ การใช้ประโยชน์จากช่องโหว่บนซอฟต์แวร์และแอปพลิเคชันสามัญประจำบ้านที่ใช้กันแพร่หลาย ก็เป็นอีกจุดที่ต้องระมัดระวังเป็นอย่างดี การค้นพบช่องโหว่ที่มีความรุนแรง และก่อให้เกิดความเสียหายอย่างสูงนั้น หลายต่อหลายครั้งก็มีระยะเวลาและข้อมูลจำกัดในการค้นคว้า

ทำให้การแก้ไขปัญหาเป็นเรื่องที่ล่าช้าตามมาทีหลังความเสียหาย จนกลายเป็นการเปิดช่องทางให้บ็อตเน็ตใหม่ๆ จำนวนมหาศาล หลบหนีการตรวจจับ และแอบเข้าซุ่มโจมตีในแบบระบุเป้าหมายสามารถเล็ดลอดเข้ามาในระบบได้

ความตึงเครียดจากปัญหาภูมิศาสตร์การเมือง ก่อให้เกิดภัยร้ายไซเบอร์

จำนวนการโจมตีทางไซเบอร์ที่ภาครัฐหนุนหลังมีแนวโน้มเพิ่มสูงขึ้นในปีหน้า ท่ามกลางความตึงเครียดจากปัญหาภูมิศาสตร์การเมือง การโจมตีมักเป็นการจารกรรมข้อมูลเพื่อเรียกค่าไถ่ การทำลายโครงสร้างพื้นฐานด้านไอที การจารกรรมระยะยาว และการก่อการร้ายทางไซเบอร์

อีกหนึ่งแนวโน้มที่ต้องระมัดระวังคือ การโจมตีทางไซเบอร์เพื่อหวังผลทางการเมือง หรือ hacktivism ซึ่งปัจจุบันกลายเป็นส่วนหนึ่งของข้อขัดแย้งทางภูมิรัฐศาสตร์ ซึ่งความตึงเครียดในประเด็นดังกล่าวได้บ่งชี้ถึงแนวโน้มที่การโจมตีทางไซเบอร์เพื่อหวังผลทางการเมืองนี้จะมีจำนวนสูงขึ้น

ทั้งเพื่อกระจายข่าวเท็จและสร้างความเสียหายอย่างรุนแรง ซึ่งจะนำไปสู่กระบวนการสอบสวนที่ไม่จำเป็น เป็นการตัดกำลังของทีมงานนักวิเคราะห์ SOC และนักวิจัยด้านการรักษาความปลอดภัยทางไซเบอร์

การคาดการณ์สถานการณ์อื่น ๆ ในปี 2024

บริการโจมตีซัพพลายเชนแบบสั่งได้ การเข้าถึงข้อมูลการสั่งซื้อล็อตใหญ่ของผู้ประกอบการ

การโจมตีซัพพลายเชนที่เล็งเป้าไปยังธุรกิจขนาดเล็กเพื่อใช้เป็นทางผ่านเข้าสู่เป้าหมายที่ใหญ่กว่า เช่น กรณีการจารกรรมข้อมูล Okta ในปี 20222023 ได้เน้นให้เห็นถึงระดับความรุนแรงของภัยคุกคามประเภทนี้

โดยแรงจูงใจในการโจมตีนั้นสามารถขยายจากเรื่องเงินไปจนถึงการก่อวินาศกรรม ปี 2024 เราอาจได้เห็นการพัฒนารูปแบบใหม่ในดาร์กเว็บที่เข้าถึงตลาดที่เชื่อมโยงกับการโจมตีซัพพลายเชน และก่อให้เกิดการโจมตีครั้งใหญ่ที่มีความรุนแรงและมีประสิทธิภาพสูงกว่าเดิม

กลุ่มแฮกเกอร์รับจ้างให้บริการผุดขึ้นเป็นดอกเห็ด

บริการแฮกเกอร์รับจ้างกำลังอยู่ในช่วงขาขึ้น โดยแฮกเกอร์เหล่านี้จะให้บริการด้านการจารกรรมข้อมูลหลากหลายระดับ ตั้งแต่การตรวจสอบข้อมูลส่วนบุคคลไปจนถึงการล้วงข้อมูลคู่แข่งทางธุรกิจ โดยแนวโน้มธุรกิจดังกล่าวคาดการณ์ว่าจะมีการเติบโตขึ้นในปีหน้า

Kernel rootkits กลับมาฮอตฮิตอีกครั้ง

แม้จะมีระบบรักษาความปลอดภัยที่ทันสมัยอย่าง Kernel Model Code Signing, PatchGuard, HVCI (Hypervisor-Protected Code Integrity) แต่การคุ้มกันที่ทำงานในระดับ kernel code ก็ยังถูกกลุ่ม APT และกลุ่มอาชญากรไซเบอร์เจาะผ่านเข้ามาได้

การโจมตีที่ kernel ของ Windows ด้วยวิธีการเจาะแบบ WHCP กับตลาดใต้ดินที่ทำธุรกิจด้านใบรับรอง EV และการลงทะเบียนโค้ดที่ถูกขโมยนั้นก็มีอัตราการเติบโตอยู่ในช่วงขาขึ้นเช่นเดียวกัน โดยผู้ก่อภัยคุกคามเหล่านี้ก็กำลังยกระดับแนวทาง BYOVD (Bring Your Own Vulnerable Driver) ให้เป็นยุทธวิธีการจารกรรมของตน

ระบบ Manage File Transfer (MFT) จะถูกใช้เป็นเครื่องมือในการโจมตีขั้นสูง

ระบบ Manage File Transfer (MFT) ต้องเผชิญกับภัยคุกคามทางไซเบอร์ที่กำลังพัฒนา ตัวอย่างที่เห็นได้ชัดคือ ในปี 2023 กรณีข้อมูลรั่วไหลของ MOVEit และ GoAnywhere เทรนด์นี้พัฒนาต่อยอดโดยอาชญากรไซเบอร์ที่หมายตาผลกำไรทางการเงินและก่อกวนการดำเนินงาน

โดยติดตั้ง MFT ที่ซับซ้อนบนเน็ตเวิร์กที่กว้างขึ้น เพื่อซุ่มรวบรวมข้อมูลจุดอ่อนของระบบรักษาความปลอดภัย ทำให้องค์กรธุรกิจต้องนำมาตรการด้านการรักษาความปลอดภัยทางไซเบอร์ที่เข้มข้นเข้ามาใช้ ได้แก่ การป้องกันข้อมูลสูญหาย (Data Loss Prevention) การเข้ารหัสข้อมูล (Encryption) รวมถึงการส่งเสริมความตระหนักเรื่องการรักษาความปลอดภัยทางไซเบอร์ เพื่อให้ระบบ MFT มีความมั่นคงเข้มข้นในการรับมือกับภัยคุกคามที่วิวัฒนาการตัวเองต่อเนื่องเช่นกัน