ผู้เชี่ยวชาญของ Kaspersky ICS CERT ได้ค้นพบแคมเปญโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่องค์กรอุตสาหกรรมในภูมิภาคเอเชียแปซิฟิก (APAC) แคมเปญนี้มุ่งเป้าไปที่หน่วยงานภาครัฐและองค์กรอุตสาหกรรมหนักในหลายประเทศในภูมิภาคเอเชียแปซิฟิก (APAC) รวมถึงไต้หวัน (จีน) มาเลเซีย จีน ญี่ปุ่น ไทย เกาหลีใต้ สิงคโปร์ ฟิลิปปินส์ และเวียดนาม

แฮกเกอร์ใช้ไฟล์บีบอัดที่มีโค้ดที่เป็นอันตราย ซึ่งปลอมตัวเป็นเอกสารเกี่ยวกับภาษี เพื่อแพร่กระจายผ่านแคมเปญฟิชชิ่งในอีเมลและแอปส่งข้อความเช่น WeChat และ Telegram หลังจากติดตั้งกระบวนการติดตั้งมัลแวร์หลายชั้นที่ซับซ้อนบนระบบแล้ว ผู้ก่ออาชญากรรมทางไซเบอร์จะดำเนินการติดตั้งแบ็กดอร์ที่เรียกว่า FatalRAT

แม้ว่าแคมเปญนี้จะมีความคล้ายคลึงกับการโจมตีครั้งก่อนๆ ที่ใช้มัลแวร์การเข้าถึงระยะไกลแบบโอเพนซอร์ส (RAT) เช่น Gh0st RAT, SimayRAT, Zegost และ FatalRAT แต่ผู้เชี่ยวชาญก็สังเกตเห็นการเปลี่ยนแปลงที่สำคัญในกลวิธี เทคนิค และวิธีการดำเนินการ ซึ่งทั้งหมดนี้ได้รับการปรับแต่งมาเพื่อกำหนดเป้าหมายเป็นองค์กรและหน่วยงานที่พูดภาษาจีน

Kaspersky ตั้งชื่อแคมเปญว่า SalmonSlalom เพื่ออธิบายว่าอาชญากรไซเบอร์หลบเลี่ยงการป้องกันเครือข่ายอย่างชำนาญด้วยกลวิธีที่ซับซ้อนและวิธีการที่เปลี่ยนแปลงอยู่ตลอดเวลา ซึ่งคล้ายคลึงกับปลาแซลมอนที่ว่ายผ่านการเดินทางอันรวดเร็วและยากลำบากที่ต้องใช้ความอดทนและความเฉลียวฉลาดเพื่อเอาชนะอุปสรรค

เพื่อปกป้ององค์กรอุตสาหกรรมหนักจากการโจมตีครั้งนี้ Kaspersky ขอแนะนำมาตรการดังต่อไปนี้:

- เปิดใช้งานและกำหนดให้ใช้การตรวจสอบปัจจัยสองชั้น (2FA) เสมอเมื่อเข้าสู่ระบบบัญชีผู้ดูแลระบบและอินเทอร์เฟซเว็บของโซลูชันด้านความปลอดภัย

- ติดตั้งโซลูชันความปลอดภัยแบบรวมศูนย์เวอร์ชันล่าสุดทั่วทั้งระบบ และอัปเดตฐานข้อมูลป้องกันไวรัสและโมดูลโปรแกรมเป็นประจำ

- อัปเดตข้อมูลเกี่ยวกับภัยคุกคามล่าสุด (เช่น จาก Kaspersky Security Network) สำหรับกลุ่มระบบที่ไม่ได้รับการจำกัดจากการใช้บริการความปลอดภัยบนคลาวด์ตามกฎหมาย

- ปรับใช้ระบบตรวจสอบความปลอดภัย (SIEM) เช่น Kaspersky Unified Monitoring and Analysis Platform…