กลุ่มแฮกเกอร์ Shuckworm ซึ่งมีความเชื่อมโยงกับหน่วยงานความมั่นคงของรัสเซีย (FSB) ได้กลับมาโจมตีอีกครั้ง โดยใช้มัลแวร์ GammaSteel เวอร์ชันใหม่ที่มีความซับซ้อนมากขึ้น เป้าหมายของการโจมตีครั้งนี้คือภารกิจทางทหารของประเทศตะวันตกในยูเครน ✅ ลักษณะการโจมตี: - การโจมตีเริ่มต้นด้วยไฟล์ลิงก์ (.lnk) ที่ถูกเปิดจากอุปกรณ์ภายนอก - ไฟล์ดังกล่าวเรียกใช้สคริปต์ที่ซับซ้อนและมัลแวร์ GammaSteel ผ่าน PowerShell ✅ ความสามารถของมัลแวร์ GammaSteel: - มัลแวร์สามารถขโมยไฟล์ที่มีนามสกุลเฉพาะ เช่น .doc, .xls, .pdf จากโฟลเดอร์ Desktop, Download และ Documents - ใช้ PowerShell web requests และ fallback ผ่าน Tor proxy เพื่อส่งข้อมูลออกไปยังเซิร์ฟเวอร์ควบคุม ✅ การปรับปรุงมัลแวร์: - GammaSteel เวอร์ชันใหม่มีการเพิ่มการเข้ารหัสและการใช้บริการเว็บที่ถูกต้องตามกฎหมายเพื่อลดความเสี่ยงในการถูกตรวจจับ ✅ เป้าหมายของการโจมตี: - เป้าหมายรวมถึงการขโมยข้อมูลสำคัญ เช่น แผนการปฏิบัติการทางทหารและรายงานการบาดเจ็บ ✅ การตอบสนองของผู้เชี่ยวชาญ: - นักวิจัยจาก Symantec พบว่าการโจมตีครั้งนี้มีความซับซ้อนมากขึ้น แม้ Shuckworm จะมีทักษะที่ด้อยกว่ากลุ่มแฮกเกอร์รัสเซียอื่น ๆ == ข้อเสนอแนะและคำเตือน == ⚠️ ความเสี่ยงจากอุปกรณ์ภายนอก: - องค์กรควรเพิ่มมาตรการป้องกันการโจมตีผ่านอุปกรณ์ภายนอก เช่น USB ⚠️ การป้องกันมัลแวร์: - การใช้เครื่องมือวิเคราะห์พฤติกรรมมัลแวร์และการตรวจสอบเครือข่ายสามารถช่วยลดความเสี่ยงได้ ⚠️ การฝึกอบรมพนักงาน: - พนักงานควรได้รับการฝึกอบรมเกี่ยวกับการระบุไฟล์ที่น่าสงสัยและการป้องกันการโจมตีทางไซเบอร์ https://www.csoonline.com/article/3959665/russian-shuckworm-apt-is-back-with-updated-gammasteel-malware.html