แจ้งเตือนกรณีกลุ่ม Dark Pink APT แพร่กระจายมัลแวร์ตัวใหม่ ที่มุ่งเป้าโจมตีไปยังหน่วยงานรัฐบาลในประเทศเอเชียตะวันออกเฉียงใต้

NCSA_THAICERT

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ พบว่า กลุ่ม Dark Pink APT มีการโจมตีโดยการแนบไฟล์ ZIP ไปกับอีเมล เพื่อแพร่กระจายมัลแวร์ ซึ่งมุ่งเป้าโจมตีไปยังหน่วยงานรัฐบาลในประเทศเอเชียตะวันออกเฉียงใต้
กลุ่ม APT ที่ใช้ชื่อ Dark Pink หรือที่เรียกว่า Saaiwc Group เป็นผู้ก่อภัยคุกคามแบบ APT ซึ่งมีการใช้ มัลแวร์ที่สร้างขึ้นมาเอง เช่น TelePowerBot และ KamiKakaBot เพื่อโจมตีและควบคุมเป้าหมายจากระยะไกล รวมไปถึงการขโมยข้อมูลสำคัญออกไป โดยมีเป้าหมายการโจมตีหน่วยงานในเอเชียและยุโรป
กลุ่ม Dark Pink ดังกล่าว ได้สร้างไฟล์มัลแวร์ใหม่ ที่ได้รับการตรวจสอบเป็นไฟล์อันตรายจากเว็บไซต์ที่ให้ตรวจสอบมัลแวร์ โดยผู้โจมตีใช้วิธีการแพร่กระจายไฟล์ผ่านทางอีเมล เมื่อผู้รับอีเมลทำการเปิดไฟล์แนบดังกล่าว ทำให้มัลแวร์จะถูกฝังในเครื่องเป้าหมาย สามารถเข้าควบคุมเครื่องจากระยะไกลและขโมยข้อมูลสำคัญออกไปได้ พบว่ามีการโจมตีไปยังหน่วยงานรัฐบาลต่างๆ ในประเทศเอเชียตะวันออกเฉียงใต้
สำหรับแนวทางการหลีกเลี่ยงมัลแวร์ดังกล่าว ควรหลีกเลี่ยงการเปิดไฟล์แนบจากอีเมลที่ไม่น่าเชื่อถือ และดำเนินการอัปเดตระบบปฏิบัติการรวมถึงโปรแกรม Antivirus ให้เป็นปัจจุบัน

อ้างอิง

1. https://www.group-ib.com/blog/dark-pink-apt/
2. https://www.rewterz.com/rewterz-news/rewterz-threat-alert-dark-pink-apt-threat-actor-group-active-iocs-2/
3. https://twitter.com/jaydinbas/status/1749752395930755524
4. https://www.virustotal.com/gui/file/5c4f8b01691ee9fc247f3e307f60d5c2aa533946e98a445399bfcc5898ce3984

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand