Kaspersky คาดการณ์ภาพรวมภัย APT ปี 2024 คุกคามล้ำหน้าไปอีกก้าว

ผู้เชี่ยวชาญจากทีมวิจัยและวิเคราะห์ระดับโลกของแคสเปอร์กี้ (Kaspersky Global Research and Analysis Team หรือ GReAT) เผยรายงาน Kaspersky Security Bulletin ซึ่งคาดการณ์ภาพรวมสถานการณ์ภัยคุกคามทางไซเบอร์ในปี 2024 โดยเน้นที่วิวัฒนาการของภัยคุกคามขั้นสูง หรือ APT (Advanced Persistent Threats)

นักวิจัยจากแคสเปอร์สกี้คาดการณ์ว่า APT จะโจมตีช่องโหว่ใหม่ ๆ ผ่านอุปกรณ์อัจฉริยะ เช่น โทรศัพท์มือถือ อุปกรณ์สวมใส่อัจฉริยะ จากนั้นเปลี่ยนอุปกรณ์เหล่านั้นให้เป็นเครือข่ายบ็อตเน็ตของตน รองรับแนวทางการโจมตีแบบซัพพลายเชน และอาศัย AI เพื่อใช้ทำสเปียร์ฟิชชิง (spear-phishing) ที่มีประสิทธิภาพ พัฒนาการเหล่านี้จะเพิ่มความรุนแรงให้กับการโจมตี และการก่ออาชญากรรมไซเบอร์ที่มีแรงจูงใจจากประเด็นทางการเมืองมากยิ่งขึ้น

การปลอมแปลงตัวตนโดยใช้ศักยภาพของ AI การโจมตีบนอุปกรณ์มือถือและบ็อตเน็ตรูปแบบใหม่

เครื่องมือ AI ที่ผุดขึ้นมาราวดอกเห็ดในปัจจุบันจะปรับปรุงประสิทธิภาพการผลิตข้อความสเปียร์ฟิชชิง ที่สามารถเลียนแบบปลอมเป็นบุคคลใดบุคคลหนึ่งได้ ผู้โจมตีอาจคิดค้นวิธีการอัตโนมัติโดยการรวบรวมข้อมูลออนไลน์และป้อนให้กับ LLM เพื่อสร้างจดหมายที่มีสำนวนการเขียนของบุคคลที่เหยื่อกำลังติดต่อด้วย

“Operation Triangulation” คือ ปัจจัยที่มาจุดประกายการค้นพบช่องโหว่ใหม่บนอุปกรณ์มือถือ และมีแนวโน้มที่จะหนุนการค้นคว้าเพื่อการโจมตีอุปกรณ์มือถือและอุปกรณ์อัจฉริยะต่าง ๆ โดยใช้ APT มากขึ้น เราจะได้เห็นอาชญากรไซเบอร์ขยายพื้นที่ล่าของตน และเล็งเป้าไปยังอุปกรณ์ต่าง ๆ ของเหยื่อผ่านช่องโหว่และมองหาจังหวะฉวยโอกาส ‘อย่างเงียบกริบ’ มากขึ้น รวมถึงใช้การโจมตีแบบ zero-click ผ่านการส่งข้อความ หรือการโจมตีแบบ one-click โดย SMS และแอปพลิเคชันส่งข้อความสนทนา รวมไปถึงการก่อกวนการจราจรของข้อมูลบนเครือข่าย การดำเนินการป้องกันอุปกรณ์ทั้งขององค์กรและของตนเองจึงมีความสำคัญอย่างยิ่ง

นอกจากนี้ การใช้ประโยชน์จากช่องโหว่บนซอฟต์แวร์และแอปพลิเคชันสามัญประจำบ้านที่ใช้กันแพร่หลาย ก็เป็นอีกจุดที่ต้องระมัดระวังเป็นอย่างดี การค้นพบช่องโหว่ที่มีความรุนแรง และก่อให้เกิดความเสียหายอย่างสูงนั้น หลายต่อหลายครั้งก็มีระยะเวลาและข้อมูลอันจำกัดในการค้นคว้า ทำให้การแก้ไขปัญหาเป็นเรื่องที่ล่าช้าตามมาทีหลังความเสียหาย จนกลายเป็นการเปิดช่องทางให้บ็อตเน็ตใหม่ ๆ จำนวนมหาศาล หลบหนีการตรวจจับ และแอบเข้าซุ่มโจมตีในแบบระบุเป้าหมายสามารถเล็ดลอดเข้ามาในระบบได้

การเพิ่มขึ้นของการก่อการร้ายไซเบอร์ที่มีภาครัฐหนุนหลัง และกลายเป็นการโจมตีแนวทางใหม่

จำนวนการโจมตีทางไซเบอร์ที่ภาครัฐหนุนหลังมีแนวโน้มเพิ่มสูงขึ้นในปีหน้า ท่ามกลางความตึงเครียดจากปัญหาภูมิศาสตร์การเมือง การโจมตีมักเป็นการจารกรรมข้อมูลเพื่อเรียกค่าไถ่ การทำลายโครงสร้างพื้นฐานด้านไอที การจารกรรมระยะยาว และการก่อการร้ายทางไซเบอร์

อีกหนึ่งแนวโน้มที่ต้องระมัดระวังคือการโจมตีทางไซเบอร์เพื่อหวังผลทางการเมือง หรือ hacktivism ซึ่งปัจจุบันกลายเป็นส่วนหนึ่งของข้อขัดแย้งทางภูมิรัฐศาสตร์ ซึ่งความตึงเครียดในประเด็นดังกล่าวได้บ่งชี้ถึงแนวโน้มที่การโจมตีทางไซเบอร์เพื่อหวังผลทางการเมืองนี้จะมีจำนวนสูงขึ้น ทั้งเพื่อกระจายข่าวเท็จและสร้างความเสียหายอย่างรุนแรง ซึ่งจะนำไปสู่กระบวนการสอบสวนที่ไม่จำเป็น เป็นการตัดกำลังของทีมงานนักวิเคราะห์ SOC และนักวิจัยด้านการรักษาความปลอดภัยทางไซเบอร์

การคาดการณ์สถานการณ์อื่น ๆ ในปี 2024

บริการโจมตีซัพพลายเชนแบบสั่งได้ การเข้าถึงข้อมูลการสั่งซื้อล็อตใหญ่ของผู้ประกอบการ

การโจมตีซัพพลายเชนที่เล็งเป้าไปยังธุรกิจขนาดเล็กเพื่อใช้เป็นทางผ่านเข้าสู่เป้าหมายที่ใหญ่กว่า เช่น กรณีการจารกรรมข้อมูล Okta ในปี 2022 - 2023 ได้เน้นให้เห็นถึงระดับความรุนแรงของภัยคุกคามประเภทนี้ โดยแรงจูงใจในการโจมตีนั้นสามารถขยายจากเรื่องเงินไปจนถึงการก่อวินาศกรรม ปี 2024 เราอาจได้เห็นการพัฒนารูปแบบใหม่ในดาร์กเว็บที่เข้าถึงตลาดที่เชื่อมโยงกับการโจมตีซัพพลายเชน และก่อให้เกิดการโจมตีครั้งใหญ่ที่มีความรุนแรงและมีประสิทธิภาพสูงกว่าเดิม

กลุ่มแฮกเกอร์รับจ้างให้บริการผุดขึ้นเป็นดอกเห็ด

บริการแฮกเกอร์รับจ้างกำลังอยู่ในช่วงขาขึ้น โดยแฮกเกอร์เหล่านี้จะให้บริการด้านการจารกรรมข้อมูลหลากหลายระดับ ตั้งแต่การตรวจสอบข้อมูลส่วนบุคคลไปจนถึงการล้วงข้อมูลคู่แข่งทางธุรกิจ โดยแนวโน้มธุรกิจดังกล่าวคาดการณ์ว่าจะมีการเติบโตขึ้นในปีหน้า

Kernel rootkits กลับมาฮอตฮิตอีกครั้ง

แม้จะมีระบบรักษาความปลอดภัยที่ทันสมัยอย่าง Kernel Model Code Signing, PatchGuard, HVCI (Hypervisor-Protected Code Integrity) แต่การคุ้มกันที่ทำงานในระดับ kernel code ก็ยังถูกกลุ่ม APT และกลุ่มอาชญากรไซเบอร์เจาะผ่านเข้ามาได้ การโจมตีที่ kernel ของ Windows ด้วยวิธีการเจาะแบบ WHCP กับตลาดใต้ดินที่ทำธุรกิจด้านใบรับรอง EV และการลงทะเบียนโค้ดที่ถูกขโมยนั้นก็มีอัตราการเติบโตอยู่ในช่วงขาขึ้นเช่นเดียวกัน โดยผู้ก่อภัยคุกคามเหล่านี้ก็กำลังยกระดับแนวทาง BYOVD (Bring Your Own Vulnerable Driver) ให้เป็นยุทธวิธีการจารกรรมของตน

ระบบ Manage File Transfer (MFT) จะถูกใช้เป็นเครื่องมือในการโจมตีขั้นสูง

ระบบ Manage File Transfer (MFT) ต้องเผชิญกับภัยคุกคามทางไซเบอร์ที่กำลังพัฒนา ตัวอย่างที่เห็นได้ชัดคือ ในปี 2023 กรณีข้อมูลรั่วไหลของ MOVEit และ GoAnywhere เทรนด์นี้พัฒนาต่อยอดโดยอาชญากรไซเบอร์ที่หมายตาผลกำไรทางการเงินและก่อกวนการดำเนินงาน โดยติดตั้ง MFT ที่ซับซ้อนบนเน็ตเวิร์กที่กว้างขึ้น เพื่อซุ่มรวบรวมข้อมูลจุดอ่อนของระบบรักษาความปลอดภัย ทำให้องค์กรธุรกิจต้องนำมาตรการด้านการรักษาความปลอดภัยทางไซเบอร์ที่เข้มข้นเข้ามาใช้ ได้แก่ การป้องกันข้อมูลสูญหาย (Data Loss Prevention) การเข้ารหัสข้อมูล (Encryption) รวมถึงการส่งเสริมความตระหนักเรื่องการรักษาความปลอดภัยทางไซเบอร์ เพื่อให้ระบบ MFT มีความมั่นคงเข้มข้นในการรับมือกับภัยคุกคามที่วิวัฒนาการตัวเองต่อเนื่องเช่นกัน

นายอิกอร์ คุซเน็ตซอฟ ผู้อำนวยการทีมวิจัยและวิเคราะห์ระดับโลก แคสเปอร์สกี้ กล่าวว่า “ในปี 2023 กระแสการใช้งานเครื่องมือ AI ก็ไม่รอดพ้นสายตาของอาชญากรไซเบอร์ระดับสูง ที่ต้องการสร้างแคมเปญการโจมตีที่มีความซับซ้อนสูง เราคาดการณ์ว่าแนวโน้มที่กำลังจะมาถึงจะเป็นมากกว่าการนำ AI เข้ามาใช้ เช่น รูปแบบการโจมตีซัพพลายเชนแบบใหม่ การเกิดของแฮกเกอร์รับจ้างบริการ การหาช่องโหว่ใหม่บนอุปกรณ์ส่วนตัวของผู้ใช้งานทั่วไป และอื่น ๆ เป้าหมายของแคสเปอร์สกี้คือการให้บริการด้านการปกป้องด้วยฐานข้อมูลภัยคุกคามอัจฉริยะ (threat intelligence) ที่เราพัฒนาให้มีความก้าวหน้าอย่างต่อเนื่อง และสามารถเสริมศักยภาพในการรับมือการโจมตีทางไซเบอร์ได้อย่างมีประสิทธิภาพ”

การคาดการณ์สถานการณ์ APT ได้รับการพัฒนาขึ้นจากฐานข้อมูลภัยคุกคาม (threat intelligence) ของแคสเปอร์สกี้ซึ่งเป็นที่ยอมรับจากทั่วโลก