ผลวิจัยเผย PDF ไฟล์ในอีเมล์ เปิดช่อง “มัลแวร์” โจมตี

พาโล อัลโต้ เน็ตเวิร์กส์ เผยแพร่รายงานสถานะภัยคุกคามทางไซเบอร์ในปี 2565 พบไวรัสมัลแวร์แนบมากับไฟล์ PDF ส่งผ่านอีเมล์มากที่สุดถึง 66% ระบบปฏิบัติการด้านสาธารณูปโภคและพลังงานถูกโจมตีมากขึ้น 238% โดนลวงโดยการแอบอ้าง ChatGPT เพิ่มขึ้นกว่า 910%

วันที่ 13 มิถุนายน 2566 นายสตีเฟ่น เชอร์แมน รองประธานประจำภูมิภาคอาเซียนของพาโล อัลโต้ เน็ตเวิร์กส์ ได้เปิดเผยข้อมูลสำคัญจากรายงานภัยคุกคามทางไซเบอร์ในปี 2565 รายงานวิจัยแนวโน้มภัยคุกคามบนเครือข่ายฉบับที่ 2 จาก Unit 42 ที่วิเคราะห์ข้อมูลทางไกลทั่วโลกจาก ไฟร์วอลล์รุ่นใหม่หรือ Next-Generation Firewalls (NGFW), Cortex Data Lake, ระบบกรอง URL ขั้นสูง หรือ Advanced URL Filtering และ Advanced WildFire โดยสามารถตรวจพบแนวโน้มภัยคุกคามของมัลแวร์และให้ข้อมูลการวิเคราะห์แนวโน้มมัลแวร์ที่สำคัญส่วนใหญ่ซึ่งกำลังแพร่ระบาดทั่วไปในวงกว้าง

อัตราการโจมตีช่องโหว่ไม่มีแนวโน้มที่จะลดลง ในปี 2564 มีความพยายามราว 147,000 ครั้ง และเพิ่มขึ้นเป็น 228,000 ครั้ง ในปี 2565 โดยคนร้ายมักอาศัยช่องโหว่ทั้งที่มีการเปิดเผยและยังไม่มีการเปิดเผยและโจมตีผ่านช่องทางต่าง ๆ เช่น การเรียกใช้คำสั่งจากทางไกล (Remote Code Execution หรือ RCE) อีเมล์ เว็บไซต์ที่โดนลอบขโมย โดเมนจดทะเบียนใหม่ (Newly Registered Domain หรือ NRD) ตลอดจนการล่อลวงด้วยเรื่อง ChatGPT/AI หรือผ่านทราฟฟิกการขุดเหมืองคริปโต

“คนร้ายยุคนี้เหมือนจอมขมังเวทย์ที่มีคาถาแปลงกาย เพราะมีการปรับเปลี่ยนเทคนิคอยู่ตลอดเวลา เพื่อหาทางลักลอบเข้าเครือข่ายที่เชื่อมถึงกัน เรียกว่าคนร้ายได้ติดอาวุธสร้างภัยคุกคามไปอีกระดับด้วยการใช้เครื่องมือหลบซ่อนและแฝงกาย ทำให้ยากแก่การตรวจพบ”

“คนเหล่านี้ชำนาญเรื่องการหาช่องโหว่ เมื่อนักวิจัยด้านระบบรักษาความปลอดภัยและผู้พัฒนาซอฟต์แวร์สามารถปิดช่องโหว่หนึ่ง อาชญากรไซเบอร์ก็ค้นพบช่องโหว่ถัดไปในแทบจะทันที ดังนั้นองค์กรต้องสร้างกำแพงป้องกันมัลแวร์ที่อาศัยช่องโหว่ในอดีต และต้องก้าวนำวายร้ายที่อาศัยเทคนิคการโจมตีแบบใหม่ที่ซับซ้อนเหล่านี้ในเชิงรุกไปพร้อมกัน”

มัลแวร์ (Malware) เป็นคำย่อมาจาก “Malicious Software” หมายถึงซอฟต์แวร์ที่สร้างขึ้นเพื่อทำความเสียหายกับระบบคอมพิวเตอร์เป้าหมาย เช่น การรวบรวมข้อมูลส่วนตัวของผู้ใช้งานโดยไม่ได้รับอนุญาต การทำลายข้อมูลหรือระบบการทำงาน การหลอกลวงผู้ใช้งาน หรือการแพร่กระจายโปรแกรมอื่น ๆ ที่อาจสร้างความเสียหายแก่ผู้ใช้หรือระบบคอมพิวเตอร์

โดยภัยคุกคามที่รายงานดังกล่าวนำเสนอ มีประเด็นสำคัญดังนี้

• การเจาะระบบผ่านช่องโหว่มีจำนวนเพิ่มขึ้น : โดยมีความพยายามเพิ่มขึ้นราว 55% โดยเฉลี่ยต่อลูกค้าแต่ละรายเมื่อเทียบกับปี 2564
• ไฟล์ PDF เป็นไฟล์ที่มีการใช้แพร่กระจายมัลแวร์มากที่สุด : โดยถือเป็นไฟล์แนบอันตรายที่พบบ่อยทางอีเมล์ คิดเป็นราว 66% ของการแพร่กระจายในช่องทางนี้ทั้งหมด
• การล่อลวงด้วยเรื่อง ChatGPT : ในช่วงเดือนพฤศจิกายน 2565 ถึงเมษายน 2566 ทาง Unit 42 พบการจดทะเบียนโดเมนใหม่รายเดือน ซึ่งมีชื่อโดเมนที่เกี่ยวข้องกับ ChatGPT ทั้งที่ปกติและผิดปกติในจำนวนที่เพิ่มขึ้น 910% โดยคนร้ายหวังใช้ในการแอบอ้างเป็น ChatGPT
• มัลแวร์ที่พุ่งเป้าอุตสาหกรรมที่ใช้เทคโนโลยีเชิงปฏิบัติการ (Operational Technology หรือ OT) มีจำนวนเพิ่มขึ้น : ค่าเฉลี่ยจำนวนการโจมตีด้วยมัลแวร์ที่พบในบริษัทด้านอุตสาหกรรม สาธารณูปโภค และพลังงาน เพิ่มขึ้น 238% (ระหว่างปี 2564 และ 2565)
• มัลแวร์บน Linux มีจำนวนเพิ่มขึ้น มุ่งเป้าโจมตีอุปกรณ์ที่รองรับเวิร์กโหลดระบบคลาวด์ : จำนวนคลาวด์สาธารณะที่ทำงานบน Linux มีอยู่ราว 90% และคนร้ายก็แสวงหาโอกาสใหม่ ๆ ในการโจมตีอุปกรณ์ที่รองรับเวิร์กโหลดระบบคลาวด์และบรรดาอุปกรณ์ IOT ทั้งหลายที่ทำงานบนระบบปฏิบัติการตระกูล Unix โดยภัยคุกคามที่พบบ่อยกับระบบ Linux ได้แก่ บอตเน็ต (botnets) หรือเครือข่ายคอมพิวเตอร์ที่โดนควบคุม (47%), คอยน์ไมเนอร์ (coinminers) หรือโปรแกรมขุดเหรียญบนเครื่องของเหยื่อ (21%) และแบ็กดอร์ (backdoors) หรือช่องทางลักลอบเข้าระบบ (11%)
• จำนวนทราฟฟิกการขุดเหมืองคริปโตเพิ่มขึ้น : การขุดเหรียญคริปโตยังคงเป็นช่องทางที่คนร้ายให้ความสนใจ โดยมีจำนวนเพิ่มขึ้น 2 เท่า ในปี 2565 และมีองค์กรในกลุ่มตัวอย่างราว 45% ที่พบประวัติการแจ้งเตือนร่องรอยซึ่งมีลักษณะของทราฟฟิกที่เกี่ยวข้องกับการขุดเหมืองคริปโต
• โดเมนจดทะเบียนใหม่ : คนร้ายอาศัยโดเมนที่จดทะเบียนใหม่หรือ NRD เพื่อหลีกเลี่ยงการตรวจจับ และใช้ในการทำฟิชชิ่ง การทำวิศวกรรมสังคม หรือศิลปะการหลอกลวงของแฮกเกอร์ (social engineering) และการแพร่กระจายมัลแวร์ ส่วนใหญ่คนร้ายมุ่งเป้าการใช้ NRD ไปที่ผู้ใช้เว็บไซต์ลามกอนาจาร (20.2%) และบริการทางการเงิน (13.9%)
•  ภัยคุกคามที่ซุกซ่อนตัวยังคงซับซ้อนยิ่งขึ้น : แม้คนร้ายจะยังคงใช้โค้ดเดิม ๆ เพื่ออาศัยช่องโหว่ในอดีตตราบเท่าที่ยังให้ผลตอบแทนที่ดี แต่ตอนนี้ก็ถึงจุดที่คนร้ายต้องหาลู่ทางการโจมตีแบบใหม่ด้วยเทคนิคที่ซับซ้อนยิ่งขึ้น เมื่อเทคนิคการหลบหลีกแบบพื้นฐานเป็นที่รู้จักทั่วไป และบรรดาผู้พัฒนาระบบรักษาความปลอดภัยก็เริ่มตรวจจับอันตรายเหล่านี้ได้ คนร้ายจึงต้องเดินหน้าคิดค้นเทคนิคใหม่ที่ล้ำหน้ายิ่งขึ้น
• มัลแวร์ที่มีการเข้ารหัสมีจำนวนมากขึ้นในทราฟฟิกที่ตรวจพบ : ทราฟฟิกมัลแวร์ราว 12.91% มีการเข้ารหัส SSL ไว้แล้ว ยิ่งคนร้ายใช้ยุทธวิธีในการแอบอ้างเป็นธุรกิจที่ถูกต้องมากขึ้น ก็ยิ่งคาดการณ์ว่ากลุ่มมัลแวร์ซึ่งใช้ทราฟฟิกที่เข้ารหัส SSL เพื่อแฝงตัวในทราฟฟิกเครือข่ายปกติจะมีจำนวนมากขึ้นตามไปด้วย

นายฌอน ดูกา รองประธานบริษัท และประธานเจ้าหน้าที่ฝ่ายรักษาความปลอดภัยของพาโล อัลโต้ เน็ตเวิร์กส์ กล่าวว่า ผู้ใช้ ChatGPT มีจำนวนหลายล้านคน ดังนั้นจึงไม่น่าแปลกใจที่จะมีการล่อลวงด้วยเรื่อง ChatGPT ซึ่งพบจำนวนเพิ่มขึ้นอย่างก้าวกระโดดในปีที่ผ่านมา เรียกว่าอาชญากรไซเบอร์ก็อาศัยการเกาะกระแส AI ด้วยเช่นกัน

“อย่างไรก็ดี อีเมล์ที่ดูน่าเชื่อถือและไฟล์แนบ PDF ก็ยังคงเป็นช่องทางหลักในการแพร่กระจายมัลแวร์ของคนร้าย” พร้อมเสริมว่า “ไม่แปลกที่อาชญากรไซเบอร์พยายามหาทางใช้เรื่องดังกล่าวโดยมีวาระซ่อนเร้น แต่ที่จริงในปัจจุบัน แค่การทำวิศวกรรมสังคมด้วยการหลอกลวงทั่วไปก็จัดการเหยื่อที่เป็นเป้าหมายได้แล้ว ดังนั้น บริษัทและองค์กรต่าง ๆ จึงต้องปรับมุมมองสภาพแวดล้อมระบบรักษาความปลอดภัยให้เป็นแบบองค์รวม เพื่อที่จะดูแลระบบเครือข่ายได้ครบถ้วนทุกจุด และมั่นใจได้ว่ามีการใช้มาตรการที่ควรปฏิบัติในทุกระดับขององค์กร”

• มหาสมุทร “ข้อมูล” เขย่าธุรกิจ 85% ต้องการ “หุ่นยนต์” ตัดสินใจแทน