Back to Blog

Ghostwriter เปิดปฏิบัติการโจมตีหน่วยงานรัฐยูเครนด้วยฟิชชิงพิกัดภูมิศาสตร์

Ghostwriter กลุ่มแฮ็กสายลับเบลารุส ใช้ฟิชชิงแบบพิกัดและ Cobalt Strike โจมตีหน่วยงานรัฐยูเครน เปิดปฏิบัติการจารกรรมทางไซเบอร์ครั้งใหม่

Sales
1 min read
Ghostwriter เปิดปฏิบัติการโจมตีหน่วยงานรัฐยูเครนด้วยฟิชชิงพิกัดภูมิศาสตร์

กลุ่มคุกคามที่ได้รับการสนับสนุนจากเบลารุสหรือที่รู้จักกันในชื่อ Ghostwriter ถูกเปิดเผยว่าเป็นผู้อยู่เบื้องหลังการโจมตีชุดใหม่ที่มุ่งเป้าไปยังหน่วยงานภาครัฐในยูเครน การโจมตีครั้งนี้ใช้เทคนิคฟิชชิงแบบกำหนดพิกัดภูมิศาสตร์หรือ Geofenced PDF Phishing ร่วมกับการใช้เครื่องมือ Cobalt Strike เพื่อเข้าถึงระบบเป้าหมาย

Ghostwriter เป็นกลุ่มที่ปฏิบัติการมาตั้งแต่อย่างน้อยปี 2016 และมีประวัติเชื่อมโยงกับปฏิบัติการจารกรรมทางไซเบอร์และการปฏิบัติการโจมตีเชิงอิทธิพลต่อประเทศเพื่อนบ้าน โดยเฉพาะยูเครน กลุ่มนี้ถูกติดตามภายใต้ชื่ออื่น ๆ เช่น FrostyNeighbor, PUSHCHA, Storm-0257, TA445 และ UAC-0057


กลยุทธ์ฟิชชิงแบบเจาะจงพื้นที่


เทคนิคที่ Ghostwriter ใช้ในครั้งนี้มีความซับซ้อนมากขึ้น โดยมีการสร้างเอกสาร PDF ที่มีลักษณะเป็นฟิชชิงซึ่งจะทำงานได้เฉพาะเมื่อผู้ใช้อยู่ในพิกัดภูมิศาสตร์ที่กำหนดเท่านั้น วิธีการนี้ช่วยลดความเสี่ยงในการถูกตรวจจับจากระบบรักษาความปลอดภัยทั่วไป และเพิ่มความแม่นยำในการโจมตีเฉพาะเป้าหมายที่อยู่ในพื้นที่ยูเครน


Cobalt Strike อาวุธหลักในการเข้าถึงระบบ


เมื่อเหยื่อเปิดเอกสารฟิชชิงและติดตั้งเพย์โหลดแล้ว Ghostwriter จะใช้ Cobalt Strike ซึ่งเป็นเครื่องมือจำลองการโจมตีที่ได้รับการยอมรับ เพื่อสร้างช่องทางควบคุมเซิร์ฟเวอร์จากระยะไกล เครื่องมือนี้ช่วยให้ผู้โจมตีสามารถขยายสิทธิ์ ขโมยข้อมูล และติดตั้งมัลแวร์เพิ่มเติมได้อย่างอิสระภายในเครือข่ายของเหยื่อ


เป้าหมายหลักคือหน่วยงานรัฐบาลยูเครน


จากการวิเคราะห์ของทีมวิจัยความปลอดภัย การโจมตีครั้งนี้มุ่งเน้นไปที่องค์กรภาครัฐในยูเครนเป็นหลัก ซึ่งสอดคล้องกับรูปแบบการปฏิบัติการของ Ghostwriter ในอดีตที่มักกำหนดเป้าหมายเป็นโครงสร้างพื้นฐานสำคัญและหน่วยงานที่มีอำนาจตัดสินใจ เพื่อสร้างผลกระทบสูงสุดทั้งในด้านการขโมยข้อมูลและการบ่อนทำลายความเชื่อมั่น


การป้องกันและข้อควรระวังสำหรับองค์กร


องค์กรที่อาจตกเป็นเป้าหมายควรเพิ่มความระมัดระวังในการรับเอกสารจากแหล่งที่ไม่น่าเชื่อถือ โดยเฉพาะไฟล์ PDF ที่แนบมากับอีเมล การใช้ระบบตรวจสอบความปลอดภัยแบบหลายชั้นและการฝึกอบรมพนักงานให้รู้เท่าทันกลลวงฟิชชิงเป็นสิ่งสำคัญ การอัปเดตซอฟต์แวร์รักษาความปลอดภัยและการตรวจสอบพฤติกรรมเครือข่ายที่ผิดปกติสามารถช่วยลดความเสี่ยงจากการโจมตีด้วย Cobalt Strike ได้อย่างมีประสิทธิภาพ



Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINE
ดูสินค้าทั้งหมด