12 มิ.ย. 2566 587 1

66% ของมัลแวร์แพร่ระบาดผ่านไฟล์ PDF ตามข้อมูลรายงานฉบับล่าสุด จาก Unit 42 ของ Palo Alto Networks Thailand

66% ของมัลแวร์แพร่ระบาดผ่านไฟล์ PDF ตามข้อมูลรายงานฉบับล่าสุด จาก Unit 42 ของ Palo Alto Networks Thailand
  • การเจาะระบบผ่านช่องโหว่มีจำนวนเพิ่มขึ้น: โดยมีความพยายามเพิ่มขึ้นราว 55% โดยเฉลี่ยต่อลูกค้าแต่ละรายเมื่อเทียบกับปี 2564
  • PDF เป็นไฟล์ที่มีการใช้แพร่กระจายมัลแวร์มากที่สุด: โดยถือเป็นไฟล์แนบอันตรายที่พบบ่อยทางอีเมล คิดเป็นราว 66% ของการแพร่กระจายในช่องทางนี้ทั้งหมด
  • การล่อลวงด้วยเรื่อง ChatGPT: ในช่วงเดือนพฤศจิกายน 2565 ถึงเมษายน 2566 ทาง Unit 42 พบการจดทะเบียนโดเมนใหม่รายเดือนซึ่งมีชื่อโดเมนที่เกี่ยวข้องกับ ChatGPT ทั้งที่ปกติและผิดปกติในจำนวนที่เพิ่มขึ้น 910% โดยคนร้ายหวังใช้ในการแอบอ้างเป็น ChatGPT 
  • มัลแวร์ที่พุ่งเป้าอุตสาหกรรมที่ใช้เทคโนโลยีเชิงปฏิบัติการ (Operational Technology หรือ OT) มีจำนวนเพิ่มขึ้น: ค่าเฉลี่ยจำนวนการโจมตีด้วยมัลแวร์ที่พบในบริษัทด้านอุตสาหกรรม สาธารณูปโภค และพลังงาน เพิ่มขึ้น 238% (ระหว่างปี 2564 และ 2565)
  • มัลแวร์บน Linux มีจำนวนเพิ่มขึ้น มุ่งเป้าโจมตีอุปกรณ์ที่รองรับเวิร์กโหลดระบบคลาวด์: จำนวนคลาวด์สาธารณะที่ทำงานบน Linux มีอยู่ราว 90% และคนร้ายก็แสวงหาโอกาสใหม่ๆ ในการโจมตีอุปกรณ์ที่รองรับเวิร์กโหลดระบบคลาวด์และบรรดาอุปกรณ์ IoT ทั้งหลายที่ทำงานบนระบบปฏิบัติการตระกูล Unix โดยภัยคุกคามที่พบบ่อยกับระบบ Linux ได้แก่ บอตเน็ต (botnets) หรือเครือข่ายคอมพิวเตอร์ที่โดนควบคุม (47%), คอยน์ไมเนอร์ (coinminers) หรือโปรแกรมขุดเหรียญบนเครื่องของเหยื่อ (21%) และแบ็กดอร์ (backdoors) หรือช่องทางลักลอบเข้าระบบ (11%) 
  • จำนวนทราฟฟิกการขุดเหมืองคริปโตเพิ่มขึ้น: การขุดเหรียญคริปโตยังคงเป็นช่องทางที่คนร้ายให้ความสนใจ โดยมีจำนวนเพิ่มขึ้น 2 เท่า ในปี 2565 และมีองค์กรในกลุ่มตัวอย่างราว 45% ที่พบประวัติการแจ้งเตือนร่องรอยซึ่งมีลักษณะของทราฟฟิกที่เกี่ยวข้องกับการขุดเหมืองคริปโต
  • โดเมนจดทะเบียนใหม่: คนร้ายอาศัยโดเมนที่จดทะเบียนใหม่หรือ NRD เพื่อหลีกเลี่ยงการตรวจจับ และใช้ในการทำฟิชชิ่ง การทำวิศวกรรมสังคม หรือ ศิลปะการหลอกลวงของแฮกเกอร์ ( (social engineering) และการแพร่กระจายมัลแวร์ ส่วนใหญ่คนร้ายมุ่งเป้าการใช้ NRD ไปที่ผู้ใช้เว็บไซต์ลามกอนาจาร (20.2%) และบริการทางการเงิน (13.9%) 
  • ภัยคุกคามที่ซุกซ่อนตัวยังคงซับซ้อนยิ่งขึ้น: แม้คนร้ายจะยังคงใช้โค้ดเดิมๆ เพื่ออาศัยช่องโหว่ในอดีตตราบเท่าที่ยังให้ผลตอบแทนที่ดี แต่ตอนนี้ก็ถึงจุดที่คนร้ายต้องหาลู่ทางการโจมตีแบบใหม่ด้วยเทคนิคที่ซับซ้อนยิ่งขึ้น เมื่อเทคนิคการหลบหลีกแบบพื้นฐานเป็นที่รู้จักทั่วไปและบรรดาผู้พัฒนาระบบรักษาความปลอดภัยก็เริ่มตรวจจับอันตรายเหล่านี้ได้ คนร้ายจึงต้องเดินหน้าคิดค้นเทคนิคใหม่ที่ล้ำหน้ายิ่งขึ้น
  • มัลแวร์ที่มีการเข้ารหัสมีจำนวนมากขึ้นในทราฟฟิกที่ตรวจพบ: ทราฟฟิกมัลแวร์ราว 12.91% มีการเข้ารหัส SSL ไว้แล้ว ยิ่งคนร้ายใช้ยุทธวิธีในการแอบอ้างเป็นธุรกิจที่ถูกต้องมากขึ้น ก็ยิ่งคาดการณ์ว่ากลุ่มมัลแวร์ซึ่งใช้ทราฟฟิกที่เข้ารหัส SSL เพื่อแฝงตัวในทราฟฟิกเครือข่ายปกติจะมีจำนวนมากขึ้นตามไปด้วย 

66% ของมัลแวร์แพร่ระบาดผ่านไฟล์ PDF ตามข้อมูลรายงานฉบับล่าสุด จาก Unit 42 ของพาโล อัลโต้ เน็ตเวิร์กส์ ช่องโหว่และรูรั่วต่างๆ ยังคงเป็นวิธีการที่คนร้ายนิยมใช้แพร่กระจายมัลแวร์สู่เป้าหมาย โดยเมื่อปีที่ผ่านมามีความพยายามโจมตีช่องโหว่ต่างๆ เพิ่มขึ้นถึง 55%

วันนี้ พาโล อัลโต้ เน็ตเวิร์กส์ (NASDAQ: PANW) ผู้นำระดับโลกด้านระบบรักษาความปลอดภัยไซเบอร์ เปิดเผย รายงานวิจัยแนวโน้มภัยคุกคามบนเครือข่ายฉบับที่ 2 จาก Unit 42 ที่วิเคราะห์ข้อมูลทางไกลทั่วโลกจาก ไฟร์วอลล์รุ่นใหม่หรือ Next-Generation Firewalls (NGFW), Cortex Data Lake, ระบบกรอง URL ขั้นสูง หรือ Advanced URL Filtering และ Advanced WildFire โดยสามารถตรวจพบแนวโน้มภัยคุกคามของมัลแวร์และให้ข้อมูลการวิเคราะห์แนวโน้มมัลแวร์ที่สำคัญส่วนใหญ่ซึ่งกำลังแพร่ระบาดทั่วไปในวงกว้าง

ที่ผ่านมาอัตราการโจมตีช่องโหว่ไม่มีแนวโน้มที่จะลดลง ในปี 2564 มีความพยายามราว 147,000 ครั้ง และเพิ่มขึ้นเป็น 228,000 ครั้ง ในปี 2565 โดยคนร้ายมักอาศัยช่องโหว่ทั้งที่มีการเปิดเผยและยังไม่มีการเปิดเผยและโจมตีผ่านช่องทางต่างๆ เช่น การเรียกใช้คำสั่งจากทางไกล (Remote Code Execution หรือ RCE) อีเมล เว็บไซต์ที่โดนลอบขโมย โดเมนจดทะเบียนใหม่ (Newly Registered Domain หรือ NRD) ตลอดจนการล่อลวงด้วยเรื่อง ChatGPT/AI หรือผ่านทราฟฟิกการขุดเหมืองคริปโต


สตีเฟ่น เชอร์แมน รองประธานประจำภูมิภาคอาเซียนของพาโล อัลโต้ เน็ตเวิร์กส์ กล่าวว่า "คนร้ายยุคนี้เหมือนจอมขมังเวทย์ที่มีคาถาแปลงกาย เพราะมีการปรับเปลี่ยนเทคนิคอยู่ตลอดเวลา เพื่อหาทางลักลอบเข้าเครือข่ายที่เชื่อมถึงกัน เรียกว่าคนร้ายได้ติดอาวุธสร้างภัยคุกคามไปอีกระดับด้วยการใช้เครื่องมือหลบซ่อนและแฝงกาย ทำให้ยากแก่การตรวจพบ" พร้อมเสริมว่า "คนเหล่านี้ชำนาญเรื่องการหาช่องโหว่ เมื่อนักวิจัยด้านระบบรักษาความปลอดภัยและผู้พัฒนาซอฟต์แวร์สามารถปิดช่องโหว่หนึ่ง อาชญากรไซเบอร์ก็ค้นพบช่องโหว่ถัดไปในแทบจะทันที ดังนั้น องค์กรต้องสร้างกำแพงป้องกันมัลแวร์ที่อาศัยช่องโหว่ในอดีต และต้องก้าวนำวายร้ายที่อาศัยเทคนิคการโจมตีแบบใหม่ที่ซับซ้อนเหล่านี้ในเชิงรุกไปพร้อมกัน"

ข้อมูลสำคัญจากรายงานฉบับนี้ประกอบด้วย:

  • การเจาะระบบผ่านช่องโหว่มีจำนวนเพิ่มขึ้น: โดยมีความพยายามเพิ่มขึ้นราว 55% โดยเฉลี่ยต่อลูกค้าแต่ละรายเมื่อเทียบกับปี 2564
  • PDF เป็นไฟล์ที่มีการใช้แพร่กระจายมัลแวร์มากที่สุด: โดยถือเป็นไฟล์แนบอันตรายที่พบบ่อยทางอีเมล คิดเป็นราว 66% ของการแพร่กระจายในช่องทางนี้ทั้งหมด
  • การล่อลวงด้วยเรื่อง ChatGPT: ในช่วงเดือนพฤศจิกายน 2565 ถึงเมษายน 2566 ทาง Unit 42 พบการจดทะเบียนโดเมนใหม่รายเดือนซึ่งมีชื่อโดเมนที่เกี่ยวข้องกับ ChatGPT ทั้งที่ปกติและผิดปกติในจำนวนที่เพิ่มขึ้น 910% โดยคนร้ายหวังใช้ในการแอบอ้างเป็น ChatGPT 
  • มัลแวร์ที่พุ่งเป้าอุตสาหกรรมที่ใช้เทคโนโลยีเชิงปฏิบัติการ (Operational Technology หรือ OT) มีจำนวนเพิ่มขึ้น: ค่าเฉลี่ยจำนวนการโจมตีด้วยมัลแวร์ที่พบในบริษัทด้านอุตสาหกรรม สาธารณูปโภค และพลังงาน เพิ่มขึ้น 238% (ระหว่างปี 2564 และ 2565)
  • มัลแวร์บน Linux มีจำนวนเพิ่มขึ้น มุ่งเป้าโจมตีอุปกรณ์ที่รองรับเวิร์กโหลดระบบคลาวด์: จำนวนคลาวด์สาธารณะที่ทำงานบน Linux มีอยู่ราว 90% และคนร้ายก็แสวงหาโอกาสใหม่ๆ ในการโจมตีอุปกรณ์ที่รองรับเวิร์กโหลดระบบคลาวด์และบรรดาอุปกรณ์ IoT ทั้งหลายที่ทำงานบนระบบปฏิบัติการตระกูล Unix โดยภัยคุกคามที่พบบ่อยกับระบบ Linux ได้แก่ บอตเน็ต (botnets) หรือเครือข่ายคอมพิวเตอร์ที่โดนควบคุม (47%), คอยน์ไมเนอร์ (coinminers) หรือโปรแกรมขุดเหรียญบนเครื่องของเหยื่อ (21%) และแบ็กดอร์ (backdoors) หรือช่องทางลักลอบเข้าระบบ (11%) 
  • จำนวนทราฟฟิกการขุดเหมืองคริปโตเพิ่มขึ้น: การขุดเหรียญคริปโตยังคงเป็นช่องทางที่คนร้ายให้ความสนใจ โดยมีจำนวนเพิ่มขึ้น 2 เท่า ในปี 2565 และมีองค์กรในกลุ่มตัวอย่างราว 45% ที่พบประวัติการแจ้งเตือนร่องรอยซึ่งมีลักษณะของทราฟฟิกที่เกี่ยวข้องกับการขุดเหมืองคริปโต
  • โดเมนจดทะเบียนใหม่: คนร้ายอาศัยโดเมนที่จดทะเบียนใหม่หรือ NRD เพื่อหลีกเลี่ยงการตรวจจับ และใช้ในการทำฟิชชิ่ง การทำวิศวกรรมสังคม  หรือ ศิลปะการหลอกลวงของแฮกเกอร์ (social engineering) และการแพร่กระจายมัลแวร์ ส่วนใหญ่คนร้ายมุ่งเป้าการใช้ NRD ไปที่ผู้ใช้เว็บไซต์ลามกอนาจาร (20.2%) และบริการทางการเงิน (13.9%) 
  • ภัยคุกคามที่ซุกซ่อนตัวยังคงซับซ้อนยิ่งขึ้น: แม้คนร้ายจะยังคงใช้โค้ดเดิมๆ เพื่ออาศัยช่องโหว่ในอดีตตราบเท่าที่ยังให้ผลตอบแทนที่ดี แต่ตอนนี้ก็ถึงจุดที่คนร้ายต้องหาลู่ทางการโจมตีแบบใหม่ด้วยเทคนิคที่ซับซ้อนยิ่งขึ้น เมื่อเทคนิคการหลบหลีกแบบพื้นฐานเป็นที่รู้จักทั่วไปและบรรดาผู้พัฒนาระบบรักษาความปลอดภัยก็เริ่มตรวจจับอันตรายเหล่านี้ได้ คนร้ายจึงต้องเดินหน้าคิดค้นเทคนิคใหม่ที่ล้ำหน้ายิ่งขึ้น 
  • มัลแวร์ที่มีการเข้ารหัสมีจำนวนมากขึ้นในทราฟฟิกที่ตรวจพบ: ทราฟฟิกมัลแวร์ราว 12.91% มีการเข้ารหัส SSL ไว้แล้ว ยิ่งคนร้ายใช้ยุทธวิธีในการแอบอ้างเป็นธุรกิจที่ถูกต้องมากขึ้น ก็ยิ่งคาดการณ์ว่ากลุ่มมัลแวร์ซึ่งใช้ทราฟฟิกที่เข้ารหัส SSL เพื่อแฝงตัวในทราฟฟิกเครือข่ายปกติจะมีจำนวนมากขึ้นตามไปด้วย 

ฌอน ดูกา รองประธานบริษัท และประธานเจ้าหน้าที่ฝ่ายรักษาความปลอดภัยของพาโล อัลโต้ เน็ตเวิร์กส์ กล่าวว่า "ผู้ใช้ ChatGPT มีจำนวนหลายล้านคน ดังนั้นจึงไม่น่าแปลกใจที่จะมีการล่อลวงด้วยเรื่อง ChatGPT ซึ่งพบจำนวนเพิ่มขึ้นอย่างก้าวกระโดดในปีที่ผ่านมา เรียกว่าอาชญากรไซเบอร์ก็อาศัยการเกาะกระแส AI ด้วยเช่นกัน อย่างไรก็ดี อีเมลที่ดูน่าเชื่อถือและไฟล์แนบ PDF ก็ยังคงเป็นช่องทางหลักในการแพร่กระจายมัลแวร์ของคนร้าย" พร้อมเสริมว่า "ไม่แปลกที่อาชญากรไซเบอร์พยายามหาทางใช้เรื่องดังกล่าวโดยมีวาระซ่อนเร้น แต่ที่จริงในปัจจุบัน แค่การทำวิศวกรรมสังคมด้วยการหลอกลวงทั่วไปก็จัดการเหยื่อที่เป็นเป้าหมายได้แล้ว ดังนั้น บริษัทและองค์กรต่างๆ จึงต้องปรับมุมมองสภาพแวดล้อมระบบรักษาความปลอดภัยให้เป็นแบบองค์รวม เพื่อที่จะดูแลระบบเครือข่ายได้ครบถ้วนทุกจุด และมั่นใจได้ว่ามีการใช้มาตรการที่ควรปฏิบัติในทุกระดับขององค์กร"

ดาวน์โหลด "รายงานวิจัยแนวโน้มภัยคุกคามบนเครือข่ายฉบับที่ 2 จาก Unit 42"

แหล่งข้อมูลเพิ่มเติม