แกะรอย "Evasive Panda" กลุ่มแฮกเกอร์จีนสุดแสบ ใช้แผน "ยาพิษ DNS" ส่งมัลแวร์ข้ามชาติ
นักวิเคราะห์จาก Kaspersky ได้ตรวจพบความเคลื่อนไหวของกลุ่ม APT (Advanced Persistent Threat) สัญชาติจีนที่ชื่อว่า "Evasive Panda" (หรือที่รู้จักในชื่อ Bronze Highland และ StormBamboo) ซึ่งออกอาละวาดหนักในช่วงปี 2022-2024 โดยเป้าหมายหลักอยู่ที่ประเทศตุรกี จีน และอินเดีย
เทคนิค "DNS Poisoning" คืออะไร?
ความน่ากลัวของรอบนี้คือการใช้เทคนิค DNS Poisoning หรือ "วางยาพิษในระบบชื่อโดเมน" ลองจินตนาการว่าคุณกำลังจะเข้าเว็บที่คุ้นเคย หรือกดอัปเดตโปรแกรมอย่าง Tencent QQ, Baidu iQIYI หรือแม้แต่เว็บพจนานุกรมชื่อดังอย่าง Dictionary.com แทนที่เครื่องคุณจะไปดึงข้อมูลจากเซิร์ฟเวอร์จริง แฮกเกอร์กลับเบี่ยงเส้นทาง (AitM - Adversary-in-the-Middle) ให้เครื่องคุณไปโหลด "มัลแวร์" จากเซิร์ฟเวอร์ของพวกมันแทน
มัลแวร์ MgBot สายลับในเครื่องคุณ
เมื่อเหยื่อหลงกลกดอัปเดตซอฟท์แวร์ปลอม มัลแวร์ตัวเก่งที่ชื่อว่า MgBot จะถูกส่งลงเครื่องทันที ความสามารถของมันบอกเลยว่าไม่ธรรมดา
- แอบขโมยไฟล์: ดึงข้อมูลสำคัญในเครื่องออกมา
- ดักฟัง: บันทึกเสียงผ่านไมโครโฟน
- ส่องรหัสผ่าน: ขโมย Credential จากเว็บเบราว์เซอร์
- บันทึกการพิมพ์: รู้หมดว่าเราพิมพ์อะไรลงไปบ้าง (Keylogger)
ที่ล้ำไปกว่านั้นคือ แฮกเกอร์มีการซ่อนรหัสอันตรายไว้ใน ไฟล์รูปภาพ (.PNG) เพื่อหลบเลี่ยงการตรวจจับของแอนตี้ไวรัส และยังใช้การเข้ารหัสแบบเฉพาะเจาะจงที่ทำให้ไฟล์นั้น "เปิดดูและวิเคราะห์ได้เฉพาะบนเครื่องเหยื่อเท่านั้น" นักวิจัยไอทีที่พยายามจะแกะรอยเลยทำงานยากขึ้นไปอีกหลายเท่า
ป้องกันตัวอย่างไรดี?
ผู้เชี่ยวชาญคาดว่าแฮกเกอร์อาจจะเจาะระบบผ่านทางผู้ให้บริการอินเทอร์เน็ต (ISP) หรือเราเตอร์/ไฟร์วอลที่ระบบป้องกันไม่ดีพอ ดังนั้น
- หมั่นอัปเดต Firmware: ของเราเตอร์และอุปกรณ์เน็ตเวิร์กเสมอ
- สังเกตความผิดปกติ: หากการอัปเดตซอฟต์แวร์ดูใช้เวลานานผิดปกติ หรือมีหน้าต่างแปลกๆเด้งขึ้นมา ให้ระวังไว้ก่อน
- ใช้ DNS ที่ปลอดภัย: พิจารณาใช้ Public DNS ที่มีความปลอดภัยสูงและมีการรับรองความถูกต้อง
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก