WRECKSTEEL Malware การโจมตีไซเบอร์ที่มุ่งเป้าไปที่ระบบของรัฐบาลยูเครน

April 8, 2025

การโจมตีไซเบอร์ที่มีเป้าหมายที่ระบบของรัฐยูเครน มัลแวร์ WRECKSTEEL ที่ถูกใช้ในการขโมยข้อมูลสำคัญ

เมื่อไม่นานมานี้ CERT-UA (Computer Emergency Response Team of Ukraine) ได้เผยรายงานเกี่ยวกับการโจมตีทางไซเบอร์ที่มุ่งเน้นไปที่ระบบของรัฐและโครงสร้างพื้นฐานสำคัญในยูเครน โดยแฮกเกอร์ที่อยู่เบื้องหลังการโจมตีครั้งนี้ได้ใช้มัลแวร์ตัวใหม่ที่มีชื่อว่า WRECKSTEEL การโจมตีครั้งนี้ไม่ได้เพียงแค่หวังผลทางการเงินเท่านั้น แต่ยังมีการโจมตีที่เน้นไปที่การขโมยข้อมูลสำคัญเกี่ยวกับโครงสร้างทางทหารและการป้องกันประเทศของยูเครน

วัตถุประสงค์ของการโจมตี

การโจมตีทางไซเบอร์ในครั้งนี้เน้นไปที่การขโมยข้อมูลจากระบบสำคัญของหน่วยงานภาครัฐและอุตสาหกรรมที่เกี่ยวข้องกับการป้องกันประเทศ โดยกลุ่มแฮกเกอร์ที่ใช้มัลแวร์ WRECKSTEEL ได้เลือกใช้วิธีการส่งอีเมลฟิชชิง (Phishing) เพื่อให้ผู้ใช้งานเปิดไฟล์ที่มีมัลแวร์ซ่อนอยู่

ไฟล์เหล่านี้มักจะเป็นไฟล์ PDF ที่ฝังลิงก์ไปยังบริการต่างๆ เช่น Google Drive หรือ DropMeFiles ซึ่งเมื่อคลิกลิงก์แล้ว ไฟล์ที่ถูกดาวน์โหลดมาจะมีโค้ดที่สามารถขโมยข้อมูลที่อยู่ในเครื่องของเหยื่อได้ รวมถึงการจับภาพหน้าจอและขโมยไฟล์ที่เกี่ยวข้องกับข้อมูลสำคัญ

การใช้ฟิชชิงเพื่อเข้าโจมตี

การใช้ฟิชชิงในครั้งนี้ถูกออกแบบมาอย่างชาญฉลาด โดยผู้โจมตีใช้บัญชีอีเมลที่ดูเหมือนเป็นอีเมลจากแหล่งที่เชื่อถือได้ เพื่อให้เหยื่อหลงกลคลิกที่ลิงก์ที่ซ่อนในไฟล์ PDF เมื่อคลิกลิงก์แล้ว มันจะเปิดการดาวน์โหลดไฟล์ที่เป็นสคริปต์ PowerShell ซึ่งสามารถใช้งานได้หลายวิธี เช่น การขโมยข้อมูล หรือการติดตั้งโปรแกรมที่เป็นอันตรายเพิ่มเติม

สิ่งที่ทำให้การโจมตีครั้งนี้มีความซับซ้อนคือ การเลือกใช้เครื่องมือหลายตัวในการฝังโค้ดและดำเนินการโจมตีในหลายขั้นตอน ทำให้การตรวจจับและป้องกันการโจมตีทำได้ยากขึ้น

ผู้โจมตีที่อยู่เบื้องหลัง กลุ่ม UAC-0219

จากการตรวจสอบของ CERT-UA พบว่า การโจมตีครั้งนี้น่าจะมาจากกลุ่ม UAC-0219 ซึ่งเริ่มทำการโจมตีตั้งแต่ช่วงปลายปี 2024 โดยในช่วงแรกจะใช้ไฟล์ EXE ที่เป็นอันตรายร่วมกับสคริปต์ VBS ที่จะทำให้เครื่องเหยื่อดาวน์โหลดมัลแวร์จากแหล่งที่ตั้งของผู้โจมตี

กลุ่มนี้มุ่งหวังที่จะเก็บข้อมูลที่มีความสำคัญเกี่ยวกับการป้องกันประเทศ การพัฒนาอาวุธ และข้อมูลการทหารต่างๆ ซึ่งเป็นการสะท้อนให้เห็นถึงการโจมตีที่มีลักษณะการเจาะข้อมูลจากแหล่งข้อมูลที่สำคัญของรัฐ

ทำไมยูเครน? ความเชื่อมโยงกับสถานการณ์การเมือง

การโจมตีครั้งนี้ไม่ได้เป็นเพียงแค่การขโมยข้อมูลแบบทั่วไป แต่ยังสะท้อนถึงสถานการณ์ทางการเมืองในยูเครน โดยเฉพาะในช่วงที่ยูเครนกำลังเผชิญกับความขัดแย้งและการรบกับประเทศที่มีอำนาจทางทหารสูง การโจมตีแบบนี้ไม่เพียงแต่ส่งผลกระทบต่อความปลอดภัยของข้อมูลเท่านั้น แต่ยังส่งผลต่อความมั่นคงทางการทหารและการป้องกันประเทศในระดับใหญ่

วิธีรับมือกับภัยคุกคามทางไซเบอร์

การโจมตีนี้ชี้ให้เห็นถึงความสำคัญของการเสริมสร้างระบบรักษาความปลอดภัยที่เข้มแข็ง โดยเฉพาะการป้องกันไม่ให้ข้อมูลสำคัญถูกเข้าถึงโดยผู้ไม่หวังดี วิธีที่ดีที่สุดในการป้องกันภัยคุกคามนี้คือการเสริมสร้างการศึกษาด้านความปลอดภัยทางไซเบอร์ให้กับพนักงานและเจ้าหน้าที่ที่เกี่ยวข้อง การใช้ระบบตรวจจับภัยคุกคามและการอัปเดตซอฟต์แวร์ให้ทันสมัยเป็นสิ่งที่สำคัญ

อีกหนึ่งวิธีที่สามารถช่วยลดความเสี่ยงคือการใช้การตรวจสอบหลายชั้น (Multi-Factor Authentication) ในการเข้าใช้งานระบบสำคัญ รวมถึงการติดตั้งซอฟต์แวร์ป้องกันไวรัสและการสแกนหามัลแวร์ในเครื่องอย่างสม่ำเสมอ

สรุป

การโจมตีทางไซเบอร์ในครั้งนี้ได้เตือนให้ทุกประเทศและองค์กรต่างๆ ตระหนักถึงความสำคัญของการรักษาความปลอดภัยทางไซเบอร์ ซึ่งไม่ใช่แค่การป้องกันข้อมูลจากการโจมตี แต่ยังเป็นการปกป้องโครงสร้างพื้นฐานที่สำคัญจากภัยคุกคามที่อาจเกิดขึ้นได้ในอนาคต

Post Views: 186