• Categories
    • Recent
    • Tags
    • Popular
      • ติดต่อสำนักงาน
    • Register
    • Login

    แจ้งเตือนติดตาม เฝ้าระวัง การโจมตีจากกลุ่ม Advanced Persistent Threat (APT)

    Cyber Security News
    1
    1
    26
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • NCSA_THAICERTN
      NCSA_THAICERT
      last edited by NCSA_THAICERT

      แจ้งเตือนติดตาม เฝ้าระวัง การโจมตีจากกลุ่ม Advanced Persistent Threat (APT)

      ตามที่ สกมช. ได้ติดตามข่าวสารภัยคุกคามทางไซเบอร์พบกลุ่ม Advanced Persistent Threat (APT) กลุ่มแฮกเกอร์ที่มีเป้าหมายเฉพาะเจาะจง ซึ่งเน้นการแฝงตัวในระบบ เพื่อจารกรรมข้อมูลข่าวกรอง
      และข้อมูลความลับที่เกี่ยวกับความมั่นคงของประเทศ กลุ่ม APT ยังแสวงหาผลประโยชน์จากเครือข่ายคอมพิวเตอร์โดยใช้มัลแวร์ PlugX และมัลแวร์ Shadowpad โจมตีโดยมุ่งเป้าหมายเป็นหน่วยงานในประเทศไทยเพื่อเป็นการป้องกันภัยคุกคามทางไซเบอร์ที่อาจจะเกิดขึ้นกับหน่วยงานในประเทศไทย
      ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ศปช.) จึงขอให้หน่วยงานติดตามข่าวสาร สถานการณ์ภัยคุกคามทางไซเบอร์ที่เกี่ยวข้อง และแนะนำให้หน่วยงานควรปฏิบัติเบื้องต้น ดังนี้

      1. จำกัดการเข้าถึงทรัพยากรโครงสร้างเครือข่ายและทรัพยากรที่สามารถใช้เพื่อทำให้เกิดเงื่อนไข Adversary-in-the-Middle (AiTM) หรือเงื่อนไขอื่น ๆ
      2. สร้างรายการ Address Resolution Protocol (ARP) ที่เป็นค่าคงที่สำหรับอุปกรณ์ที่เชื่อมต่อกับเครือข่าย การนำรายการ ARP ที่เป็นค่าคงที่อาจจะไม่เป็นไปได้สำหรับเครือข่ายที่ใหญ่
      3. จำกัดการสื่อสารกับบริการคอนเทนเนอร์ไปยังช่องทางที่ได้รับการจัดการและรักษาความปลอดภัย เช่น local UNIX sockets หรือการเข้าถึงระยะไกลผ่าน SSH
      4. การเข้าถึงพอร์ตที่ปลอดภัยเพื่อสื่อสารกับ Application Programming Interface (APIs) ผ่าน TLS โดยปิดใช้การเข้าถึงโดยไม่ต้องการการรับรองตัวตนสำหรับ Docker API และ Kubernetes API Server
      5. Kubernetes ที่ถูกติดตั้งบนคลาวด์ ให้ใช้คุณลักษณะของแพลตฟอร์มคลาวด์เพื่อจำกัดช่วง IP ที่ได้รับอนุญาตให้เข้าถึง API server
      6. ใช้ Remote Desktop Gateway เพื่อจัดการการเชื่อมต่อและการกำหนดค่าความปลอดภัยของ RDP ภายในเครือข่าย
      7. จำกัดการเข้าถึงบริการระยะไกลผ่านตัวรวมที่ได้รับการจัดการอย่างเช่น Virtual Private Networks (VPNs) และระบบการเข้าถึงระยะไกลที่ได้รับการจัดการอื่น ๆ
      8. กำหนดนโยบายควบคุมการเข้าถึงเครือข่าย เช่น การใช้ใบรับรองอุปกรณ์และมาตรฐาน 802.1x
      9. จำกัดการใช้ Dynamic Host Control Protocol (DHCP) ให้กับอุปกรณ์ที่ลงทะเบียนเท่านั้น เพื่อป้องกันอุปกรณ์ที่ไม่ได้ลงทะเบียนจากการสื่อสารกับระบบที่เชื่อถือได้
      10. จำกัดการใช้โปรโตคอลที่ไม่มีการเข้ารหัสหรือกลไกการรับรองตัวตน จำกัดการเข้าถึงส่วนต่อการดูแลระบบและจัดการจากที่มาของเครือข่ายที่ไม่ได้รับการเชื่อถือ
      11. พิจารณาปิดใช้งาน Windows administrative shares
      12. จำกัดการเข้าถึงเครือข่ายไปยังบริการที่มีความไว้วางใจ เช่น Instance Metadata API
      13. จำกัดการเข้าถึง Instance Metadata API โดยใช้ระบบไฟร์วอลล์บนโฮสต์ เช่น iptables

      Indicators of compromise (IOCs)
      • 122.254.110[.]246
      • 51.89.6[.]201
      • 154.56.131[.]12
      • 122.254.110[.]228
      • 51.210.220[.]131
      • 89.45.12.9245.32.8[.]97
      • 64.227.132[.]226
      • 156.236.114[.]202

      สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand 37f52398-56aa-4c4d-ae30-f80634cc11a2-image.png

      1 Reply Last reply Reply Quote 0
      • First post
        Last post