Kaspersky เผยถึงสถานการณ์ภัยคุกคามทางไซเบอร์แบบขั้นสูง หรือ APT (Advanced Persistent Threats) ในภูมิภาคเอเชียตะวันออกเฉียงใต้ รวมถึงประเทศไทย โดยระบุว่า ไทยยังคงเป็นเป้าหมายของการโจมตี แม้จะมีความถี่น้อยกว่าบางประเทศในอาเซียน แต่ภัยคุกคามยังคงอยู่และพัฒนาไปอย่างต่อเนื่อง โดยอาชญากรรมไซเบอร์ หันมาใช้ AI พัฒนาเครื่องมือโจมตีมากขึ้น
จากข้อมูลของ Kaspersky ในปี 2024 พบว่า สถานการณ์ภัยคุกคามทางไซเบอร์ทวีความรุนแรงขึ้นอย่างต่อเนื่อง การโจมตีจาก Trojan Banker ที่พุ่งสูงขึ้นถึง 196% มุ่งเป้าไปที่อุปกรณ์สมาร์ทโฟนของผู้ใช้งาน ซึ่งสะท้อนให้เห็นถึงกลยุทธ์ของกลุ่มอาชญากรไซเบอร์ที่ปรับเปลี่ยนไปตามพฤติกรรมการใช้งานในยุคดิจิทัลที่เน้นการทำธุรกรรมผ่านมือถือ
ขณะที่โซลูชันด้านความปลอดภัยของ Kaspersky สามารถยับยั้งการโจมตีทางไซเบอร์ได้ถึง 4.9 พันล้านครั้ง และป้องกันการโจมตีจากแหล่งออนไลน์ต่างๆ ได้อีก 302 ล้านครั้ง
อย่างไรก็ตาม ภัยคุกคามที่น่าจับตามองและมีแนวโน้มเพิ่มขึ้นอย่างน่าตกใจ คือ การพยายามหลอกล่อให้ผู้ใช้งานคลิกลิงก์ฟิชชิง ซึ่งมีจำนวนสูงถึง 893 ล้านครั้ง เพิ่มขึ้น 26% เมื่อเทียบกับปี 2023 ซึ่งถือเป็นด่านแรกของการโจมตีที่มักนำไปสู่ความเสียหายทางการเงินและข้อมูลส่วนตัวของผู้ใช้งาน
ความท้าทายในการรับมือภัย APT และการใช้ AI
การโจมตี APT จำนวนมากใช้ช่องโหว่ของระบบเพื่อเข้าสู่เป้าหมายหลัก โดยอีเมล Phishing ยังคงเป็นช่องทางที่ใช้กันอย่างแพร่หลายที่สุดในการโจมตี APT ขั้นต้น
นูชิน ชาบับ นักวิจัยความปลอดภัยอาวุโส ทีมวิจัยและวิเคราะห์ระดับโลก (GReAT) แคสเปอร์สกี้ ชี้ว่า การรับมือกับ APT ต้องอาศัยความเข้าใจที่ลึกซึ้งในพฤติกรรม เครื่องมือ และโครงสร้างพื้นฐานของกลุ่มผู้ไม่หวังดี เพราะฉะนั้นการคาดการณ์แนวโน้มการโจมตีในอนาคตจึงเป็นสิ่งสำคัญ
นอกจากนี้ การนำปัญญาประดิษฐ์ (AI) มาใช้ในอาชญากรรมไซเบอร์ยังเป็นอีกหนึ่งความกังวล แม้ว่า AI อาจไม่เหมาะกับผู้โจมตีมือใหม่ แต่สำหรับกลุ่ม APT ที่มีความเชี่ยวชาญสูงอยู่แล้ว AI จะช่วยให้พวกเขาสร้างเครื่องมือที่ซับซ้อนและหลบเลี่ยงการตรวจจับได้นานขึ้น
อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความมั่นคงทางไซเบอร์เองก็ใช้ AI มาเป็นเครื่องมือในการป้องกันมานานแล้วเช่นกัน
นูชิน แนะนำว่า องค์กรขนาดใหญ่และหน่วยงานภาครัฐ ควรจัดตั้งทีมรักษาความปลอดภัยไซเบอร์โดยเฉพาะ หรือขอความร่วมมือจากผู้เชี่ยวชาญภายนอกเพื่อตรวจสอบและวางแผนป้องกันล่วงหน้า
ถึงแม้บางประเทศในเอเชียตะวันออกเฉียงใต้อาจมีงบประมาณจำกัด แต่การลงทุนในโซลูชันความปลอดภัยที่สามารถตรวจจับกิจกรรมต้องสงสัยได้ก็ยังคงเป็นทางออกที่คุ้มค่า
รู้จักกับกลุ่ม APT ใน APAC: ภัยเงียบที่ร้ายกาจ
ในช่วงปี 2024 – 2025 Kaspersky พบกลุ่ม APT ที่ยังคงเคลื่อนไหวอย่างน้อย 12 กลุ่ม ซึ่งเป็นกลุ่มที่มีความซับซ้อนและมีศักยภาพสูง ได้แก่ Lazarus, Spring Dragon, Sidewinder, TetrisPhantom, OceanLotus, HoneyMyte, ToddyCat, Confucius, Bitter, Dropping Elephant, Mysterious Elephant และ Kimsuky แต่ละกลุ่มมีเทคนิคและเป้าหมายที่แตกต่างกันออกไป
- Lazarus: เป็นหนึ่งในกลุ่มผู้คุกคามที่มีชื่อเสียงและมีความซับซ้อนมากที่สุด โดยล่าสุดมีการโจมตีในชื่อ “Operation Dream Scape” พุ่งเป้าไปที่ 6 องค์กรในเกาหลีใต้ ทั้งสถาบันการเงิน ไอที การผลิตเซมิคอนดักเตอร์ และโทรคมนาคม โดยใช้เทคนิคการโจมตีแบบ Watering Hole ผสมผสานกับการใช้ช่องโหว่ในซอฟต์แวร์ของบริษัทอื่น
- Spring Dragon: กลุ่มนี้มีความเคลื่อนไหวมานานกว่า 10 ปี โดยมีเป้าหมายหลักคือหน่วยงานรัฐบาลและองค์กรสำคัญในเอเชียตะวันออกเฉียงใต้ เช่น ไต้หวัน อินโดนีเซีย เวียดนาม ฟิลิปปินส์ มาเลเซีย ฮ่องกง และไทย แม้จำนวนการโจมตีจะลดลง แต่ความซับซ้อนของเครื่องมือกลับเพิ่มขึ้น
- Sidewinder: จัดเป็นกลุ่มที่ก้าวร้าวที่สุดใน APAC โดยใช้การโจมตีแบบ Spear-Phishing เป็นช่องทางหลักในการเข้าถึงเป้าหมาย ล่าสุดมีการเพิ่ม “Stealer Bot” ซึ่งเป็นเครื่องมือสอดแนมแบบแยกส่วนที่ซับซ้อน เพื่อโจมตีโครงสร้างพื้นฐานด้านการเดินเรือและโลจิสติกส์
- HoneyMyte: เป็นกลุ่มที่มีความเคลื่อนไหวมานาน 7-8 ปี เป้าหมายหลักคือองค์กรในเอเชียและแอฟริกา ล่าสุดพบการใช้เครื่องมือ “Bucky Stealer” เพื่อขโมยคุกกี้จากเบราว์เซอร์ และ “TornShell” ในการโจมตีองค์กรในเมียนมา
- ToddyCat: กลุ่มนี้เป็นที่รู้จักตั้งแต่ปี 2020 โดยมีเป้าหมายเป็นองค์กรสำคัญในยุโรปและเอเชีย ล่าสุดมีการเพิ่มเครื่องมือใหม่เพื่อรวบรวมและส่งข้อมูลจากเครื่องเหยื่อไปยังสภาพแวดล้อมคลาวด์ พร้อมทั้งใช้ช่องโหว่ของ Windows Kernel เพื่อปิดใช้งานระบบเฝ้าระวัง
- Mysterious Elephant: กลุ่มนี้ถูกค้นพบในปี 2023 โดยใช้เครื่องมือที่เกี่ยวข้องกับกลุ่มอื่น แต่เป็นเวอร์ชันที่อัปเดตแล้ว โดยเน้นโจมตีองค์กรที่เกี่ยวข้องกับกิจการต่างประเทศของปากีสถาน
- TetrisPhantom: ค้นพบในปี 2023 มีการโจมตีที่ซับซ้อนมาก โดยมุ่งเป้าไปที่ไดรฟ์ USB ที่ปลอดภัยซึ่งพัฒนาโดยหน่วยงานรัฐบาลในเอเชียตะวันออกเฉียงใต้ เพื่อใช้เป็นช่องทางในการเก็บข้อมูลจากระบบ Air-Gapped
ภัยอาชญากรรมไซเบอร์: โจมตีบุคคลทั่วไปอย่างแนบเนียน
นอกจากการโจมตีองค์กรแล้ว Kaspersky ยังพบการโจมตีอาชญากรรมไซเบอร์ที่พุ่งเป้ามาที่บุคคลทั่วไปใน APAC
- Creal Stealer: เป็นแคมเปญที่ล่อลวงเหยื่อด้วย “บัตรเชิญงานแต่งงานปลอม” ผ่านแอปพลิเคชันโซเชียลมีเดียต่างๆ เช่น WhatsApp และ Telegram เมื่อเหยื่อเปิดไฟล์ ระบบจะติดตั้งเครื่องมือที่ขโมยข้อมูลจากโทรศัพท์มือถือและใช้บัญชีเพื่อส่งข้อความหลอกลวงขอเงินจากรายชื่อผู้ติดต่อ
- SpyCat: เป็นมัลแวร์ขโมยข้อมูลคริปโตเคอร์เรนซีตัวแรกที่ใช้เทคโนโลยี Optical Recognition โดยจะสแกนรูปภาพในแกลเลอรีของผู้ใช้เพื่อค้นหา Seed Phrase หรือ Recovery Phrase ของกระเป๋าเงินดิจิทัล ซึ่งพบการโจมตีใน App Store และ Google Play แต่ถูกนำออกแล้วหลังจากถูกตรวจพบ
การโจมตีเหล่านี้แสดงให้เห็นถึงวิวัฒนาการของภัยคุกคามไซเบอร์ที่ซับซ้อนมากขึ้น ผู้คุกคามปรับตัวเข้ากับเทคโนโลยีและเทคนิคใหม่ๆ
เพื่อหลบเลี่ยงการตรวจจับและเข้าถึงเป้าหมายได้นานที่สุด ดังนั้นการป้องกันจึงต้องอาศัยทั้งเทคโนโลยีความปลอดภัยขั้นสูง และความตระหนักรู้ของผู้ใช้งานควบคู่กันไป
นูชิน กล่าวทิ้งท้ายว่า Kaspersky ได้ทำงานร่วมกับหน่วยงาน CERT (Computer Emergency Response Team) และหน่วยงานความมั่นคงทางไซเบอร์ของภาครัฐทั่วโลก รวมถึงในภูมิภาคเอเชียตะวันออกเฉียงใต้ เพื่อแบ่งปันข้อมูลเกี่ยวกับภัยคุกคามที่อาจมุ่งเป้ามายังประเทศนั้นๆ ช่วยให้หน่วยงานต่างๆ สามารถรับมือได้อย่างทันท่วงที นอกจากนี้ยังมีการส่งผู้เชี่ยวชาญลงพื้นที่เพื่อช่วยเหลือองค์กรต่างๆ ในการสืบสวนและแก้ไขสถานการณ์การโจมตีที่มีความอ่อนไหวสูงด้วย
–ภัยคุกคามไซเบอร์จู่โจมภาคพลังงาน! ไทยเร่งติดเกราะดิจิทัล รับมือ ransomware และกฏหมายใหม่
