เจ้าหน้าที่เนเธอร์แลนด์ระบุตัวผู้ก่ออาชญากรรมไซเบอร์รายใหม่ชาวรัสเซีย “Laundry Bear” ที่กำลังเล็งเป้าไปที่นาโต้

กลุ่ม “Laundry Bear” (หรือที่ Microsoft เรียกว่า “Void Blizzard”) เป็นกลุ่มผู้โจมตีไซเบอร์ที่คาดว่าจะได้รับการสนับสนุนจากรัฐรัสเซีย กลุ่มนี้พบครั้งแรกเมื่อปี 2024 โดยเหตุการณ์ที่โดดเด่นคือการโจมตีสำนักงานตำรวจแห่งชาติของเนเธอร์แลนด์ในเดือนกันยายน 2024 ซึ่งทำให้พบว่ากลุ่มมีเป้าหมายหลักในการรวบรวมข้อมูลลับขององค์กรรัฐบาลและหน่วยงานด้านความมั่นคงในประเทศสมาชิก NATO รวมถึงประเทศในสหภาพยุโรปและยูเครน

วิธีการดำเนินการโจมตี
กลุ่ม Laundry Bear โดดเด่นด้วยการใช้เทคนิคที่ดูเหมือนเรียบง่ายแต่มีประสิทธิภาพสูง เช่น

• - การโจมตีแบบ “pass-the-cookie”: โจมตีเริ่มต้นจากการขโมยคุกกี้สำหรับเข้าถึงบัญชีผู้ใช้โดยไม่ต้องใช้รหัสผ่าน ซึ่งคุกกี้เหล่านี้ถูกครอบครองด้วยมัลแวร์ประเภท infostealer และยังมีการซื้อขายข้อมูลในตลาดมืด
• - การพ่นรหัสผ่าน (Password spraying): ใช้รหัสผ่านที่แพร่หลายหรือพบบ่อยในหลายบัญชี พร้อมกับจัดเวลากระจายการทดลองเพื่อหลีกเลี่ยงการตรวจพบ
• - การขโมยข้อมูลผ่าน API: ใช้ Microsoft Exchange APIs และ Outlook Web Access (OWA) เพื่อดึงข้อมูลจากอีเมล์และรายชื่อผู้ติดต่อ
• - เทคนิค Living-off-the-land: ใช้เครื่องมือที่มีอยู่ในระบบปฏิบัติการ Windows ทำให้การกระทำของพวกเขาดูเหมือนเป็นกิจกรรมปกติของระบบเอง

วัตถุประสงค์และแนวทางสืบข่าวกรอง
ต่างจากกลุ่ม ransomware ที่มีจุดประสงค์ทางการเงิน กลุ่ม Laundry Bear มุ่งเน้นการสืบข่าวกรองเชิงยุทธศาสตร์ โดยมีเป้าหมายเพื่อรวบรวมข้อมูลที่สำคัญเกี่ยวกับการผลิตและการจัดซื้ออาวุธของรัฐบาลตะวันตก ข้อมูลเหล่านี้รวมถึงรายละเอียดการผลิตอุปกรณ์ทางทหาร การวิเคราะห์ห่วงโซ่อุปทาน และข้อมูลด้านความมั่นคงของหน่วยงานภาครัฐและผู้รับจ้างด้านการป้องกันประเทศ

นอกจากนี้ กลุ่มนี้ยังได้เลือกเป้าหมายในภาคส่วนอื่น ๆ อาทิ การสื่อสาร การดูแลสุขภาพ การศึกษา การขนส่ง และสื่อมวลชน ซึ่งบ่งบอกถึงการดำเนินงานที่กว้างขวางในระดับโลกตามวัตถุประสงค์ทางยุทธศาสตร์ของรัสเซีย

การปรับเปลี่ยนเทคนิคและแนวโน้มในช่วงหลัง
ในช่วงต้นปี 2025 มีการสังเกตเห็นการเปลี่ยนแปลงเล็กน้อยในกลยุทธ์ของกลุ่ม โดยเริ่มใช้วิธีการโจมตีที่ตรงไปตรงมากขึ้นผ่านการส่งอีเมลหลอกลวง (spear phishing) ที่มีชุดคำเชิญเข้าร่วมกิจกรรมหรือการประชุมปลอม ซึ่งบางครั้งรวมถึงการแนบไฟล์ PDF ที่มีรหัส QR นำไปสู่หน้าล็อกอินปลอมของ Microsoft Entra เพื่อเข้าถึงข้อมูลในระบบคลาวด์ของเป้าหมายอีกด้วย . การเปลี่ยนแปลงนี้ช่วยให้กลุ่มสามารถเข้าถึงข้อมูลที่มีความละเอียดอ่อนและเป็นประโยชน์ต่อการสืบข่าวกรองเชิงยุทธศาสตร์ของรัสเซียได้มากขึ้น

ผลกระทบและแนวทางการป้องกัน
การโจมตีของ Laundry Bear แสดงให้เห็นถึงความท้าทายในการตรวจจับการบุกรุกที่ใช้เทคนิคที่ “ซ่อนตัว” อยู่ภายใต้กิจกรรมปกติของระบบไอที ซึ่งเป็นเหตุผลที่หลายองค์กรรวมถึงหน่วยงานรัฐบาลในยุโรปและประเทศสมาชิก NATO จำเป็นต้องปรับปรุงมาตรการการรักษาความปลอดภัยไซเบอร์และเพิ่มความระมัดระวังในการจัดการกับข้อมูลรับรองและการตรวจจับกิจกรรมผิดปกติ

กลุ่ม “Laundry Bear” เป็นตัวอย่างของกลุ่มแฮกเกอร์ที่แม้จะใช้เทคนิคที่ไม่ซับซ้อนแต่กลับประสบความสำเร็จในการเข้าถึงระบบของหน่วยงานที่มีความสำคัญทั้งในด้านเศรษฐกิจและความมั่นคง การเน้นการรวบรวมข้อมูลลับเพื่อสนับสนุนวัตถุประสงค์ทางยุทธศาสตร์ของรัฐรัสเซียทำให้เหตุการณ์นี้เป็นสัญญาณเตือนให้กับองค์กรทั่วโลกในการทบทวนและปรับปรุงมาตรการรักษาความปลอดภัยไซเบอร์ให้เข้มแข็งขึ้น

ถ้าต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับกลยุทธ์การป้องกันจากการโจมตีลักษณะนี้หรือวิธีการติดตามการโจมตีที่อาจเกิดขึ้นในอนาคต ก็มีเทคนิคและแนวทางเสริมที่น่าสนใจเกี่ยวกับการวิเคราะห์พฤติกรรมผู้ใช้งานและการใช้ระบบตรวจจับภัยคุกคามแบบอัตโนมัติที่สามารถช่วยลดความเสี่ยงในการถูกโจมตีในขั้นตอนแรกได้อีกด้วย

ที่มา: Bitdefender

ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ

Mobile: 09 5368 5898

Tel: 0 2093 1625

Fax: 0 2093 1675 (Auto)

Email: sales@ampomicrosys.com