Blind Eagle ใช้ Proton66 Hosting โจมตี ธนาคารโคลอมเบีย ด้วย Phishing และ RAT: ภัยคุกคามไซเบอร์ ที่ต้องระวัง

ในยุคที่ เทคโนโลยี เชื่อมโยงทุกสิ่ง ภัยคุกคามไซเบอร์ กลายเป็นเงามืดที่คุกคามทั้งบุคคลและองค์กร ล่าสุด กลุ่มแฮกเกอร์ ที่รู้จักในชื่อ Blind Eagle หรือ APT-C-36 ได้สร้างความปั่นป่วนใน โคลอมเบีย โดยใช้ Proton66 Hosting ซึ่งเป็นบริการ โฮสติ้ง จากรัสเซียที่ขึ้นชื่อเรื่องการละเลยการร้องเรียนเรื่องการใช้งานผิดกฎหมาย เพื่อดำเนินการโจมตีแบบ Phishing และติดตั้ง RAT (Remote Access Trojan) มุ่งเป้าไปที่ ธนาคารชั้นนำของโคลอมเบีย เช่น Bancolombia, BBVA และ Davivienda บทความนี้จะพาคุณไปเจาะลึกถึงกลยุทธ์ของ Blind Eagle ผลกระทบต่อผู้ใช้ และวิธีป้องกันตัวเองจาก ภัยคุกคาม นี้

Blind Eagle คือใคร? ทำไมถึงน่ากลัว?

Blind Eagle หรือที่รู้จักในชื่อ AguilaCiega, APT-C-36 และ APT-Q-98 เป็น กลุ่มแฮกเกอร์ ที่มีเป้าหมายหลักคือองค์กรในละตินอเมริกา โดยเฉพาะ โคลอมเบีย และ เอกวาดอร์ กลุ่มนี้ขึ้นชื่อเรื่องการใช้เทคนิค Social Engineering และมัลแวร์ราคาถูกแต่ทรงพลัง เช่น AsyncRAT และ Remcos RAT เพื่อขโมย ข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน และ ข้อมูลบัตรเครดิต การโจมตีของ Blind Eagle มักเริ่มจากการหลอกลวงให้เหยื่อคลิกหน้าเว็บปลอมที่เลียนแบบ ธนาคาร ซึ่งนำไปสู่การสูญเสีย ข้อมูลส่วนตัว และเงินในบัญชี สิ่งที่ทำให้ Blind Eagle น่ากลัวคือความสามารถในการปรับตัว แม้ช่องโหว่ที่พวกเขาใช้ เช่น CVE-2024-43451 จะได้รับการแพตช์แล้ว พวกเขาก็ยังหาวิธีใหม่ในการโจมตีต่อไปได้อย่างรวดเร็ว

Proton66 Hosting: สวรรค์ของอาชญากรไซเบอร์

Proton66 Hosting คือบริการ โฮสติ้ง จากรัสเซียที่ถูกระบุว่าเป็น Bulletproof Hosting หมายถึงผู้ให้บริการที่ไม่สนใจรายงานการใช้งานในทางที่ผิด ทำให้ แฮกเกอร์ สามารถตั้งเซิร์ฟเวอร์สำหรับ Phishing, Command-and-Control (C2) หรือแจกจ่ายมัลแวร์ได้โดยไม่ถูกปิดกั้น Trustwave SpiderLabs ค้นพบว่า Blind Eagle ใช้ Proton66 ในการโฮสต์หน้าเว็บปลอมและสคริปต์ Visual Basic Script (VBS) ซึ่งทำหน้าที่เป็นตัวโหลดมัลแวร์ไปยังเครื่องของเหยื่อ ตัวอย่างโดเมนที่ Blind Eagle ใช้ เช่น gfast.duckdns[.]org และ njfast.duckdns[.]org ล้วนชี้ไปยัง IP เดียวกัน (45.135.232[.]38) ที่เชื่อมโยงกับ Proton66 โดเมนเหล่านี้ใช้ Dynamic DNS (DDNS) เพื่อหมุนเวียนซับโดเมน ทำให้ยากต่อการตรวจจับและบล็อก

กลยุทธ์การโจมตี: Phishing และ RAT ทำงานอย่างไร?

Blind Eagle ใช้กลยุทธ์ที่ซับซ้อนแต่เข้าถึงง่าย ดังนี้:
  • หน้าเว็บ Phishing แฮกเกอร์ สร้างหน้าเว็บที่เลียนแบบหน้าเข้าสู่ระบบของ ธนาคาร เช่น Bancolombia หรือ BBVA เพื่อหลอกให้ผู้ใช้กรอกข้อมูล เช่น ชื่อผู้ใช้ รหัสผ่าน หรือ รหัส OTP หน้าเว็บเหล่านี้มักโฮสต์บน Proton66 และใช้ DDNS เพื่อหลบเลี่ยงการตรวจจับ
  • VBS Scripts เมื่อเหยื่อตกหลุมพราง สคริปต์ VBS จะถูกดาวน์โหลดลงเครื่อง ทำหน้าที่เป็นตัวโหลดเพื่อดึงมัลแวร์ เช่น AsyncRAT หรือ Remcos RAT จากเซิร์ฟเวอร์ระยะไกล สคริปต์เหล่านี้มักถูกเข้ารหัสด้วยเครื่องมืออย่าง Vbs-Crypter เพื่อหลบเลี่ยงโปรแกรม แอนตี้ไวรัส
  • RAT Deployment เมื่อ RAT ถูกติดตั้ง มันจะสร้างช่องทางให้ แฮกเกอร์ ควบคุมเครื่องของเหยื่อจากระยะไกล สามารถขโมยข้อมูล ดูด รหัสผ่าน หรือแม้แต่ติดตั้งมัลแวร์เพิ่มเติม เช่น Keylogger หรือ Ransomware

ผลกระทบต่อธนาคารและผู้ใช้

การโจมตีของ Blind Eagle สร้างความเสียหายทั้งในระดับบุคคลและองค์กร:
  • ผู้ใช้ธนาคารออนไลน์: เสี่ยงต่อการสูญเสียเงินในบัญชีและ Identity Theft จากการถูกขโมย ข้อมูลส่วนตัว
  • ธนาคาร: เสียชื่อเสียงและต้องลงทุนเพิ่มในระบบ รักษาความปลอดภัย
  • องค์กรธุรกิจ: หากพนักงานตกเป็นเหยื่อ อาจนำไปสู่การรั่วไหลของ ข้อมูลองค์กร หรือการโจมตีแบบ Supply Chain
จากรายงานของ Darktrace พบว่า Blind Eagle เริ่มโจมตีตั้งแต่เดือน พฤศจิกายน 2024 และยังคงดำเนินการต่อเนื่องแม้จะมีแพตช์แก้ไขช่องโหว่แล้ว

วิธีป้องกันตัวเองจาก Blind Eagle และภัย Phishing

เพื่อปกป้องตัวเองและองค์กรจาก ภัยคุกคาม นี้ คุณสามารถทำตามขั้นตอนต่อไปนี้:
  • ตรวจสอบ URL ก่อนคลิก หลีกเลี่ยงการคลิกลิงก์จากอีเมลหรือข้อความที่น่าสงสัย ตรวจสอบว่า URL เริ่มต้นด้วย “https://” และตรงกับโดเมนจริงของ ธนาคาร
  • ใช้ Multi-Factor Authentication (MFA) เปิดใช้งาน MFA สำหรับบัญชี ธนาคาร และบริการออนไลน์ เพื่อเพิ่มชั้นการป้องกัน แม้ รหัสผ่าน จะรั่วไหล
  • อัปเดตซอฟต์แวร์อย่างสม่ำเสมอ ติดตั้งแพตช์ ความปลอดภัย ล่าสุดสำหรับระบบปฏิบัติการและโปรแกรม เพื่อปิดช่องโหว่ที่ แฮกเกอร์ อาจใช้ เช่น CVE-2024-43451
  • ติดตั้งโปรแกรมป้องกันไวรัส ใช้ซอฟต์แวร์ แอนตี้ไวรัส ที่เชื่อถือได้และอัปเดตฐานข้อมูลมัลแวร์เป็นประจำ
  • ระวัง Social Engineering อย่าหลงเชื่อข้อความหรืออีเมลที่เร่งรัดให้ดำเนินการทันที เช่น “บัญชีของคุณถูกล็อก” หรือ “กรุณายืนยันข้อมูล”
สำหรับผู้ดูแลระบบ IT:
  • บล็อก IP ที่เกี่ยวข้องกับ Proton66 เช่น 45.135.232.0/24
  • ใช้ Threat Intelligence เพื่อติดตาม ภัยคุกคาม ล่าสุด
  • ฝึกอบรมพนักงานให้รู้จักภัย Phishing และการโจมตีแบบ Social Engineering

คำถามที่พบบ่อย (FAQ)

  1. Blind Eagle คือกลุ่มแฮกเกอร์จากที่ไหน? Blind Eagle เป็นกลุ่มที่เน้นโจมตีในละตินอเมริกา โดยเฉพาะ โคลอมเบีย และ เอกวาดอร์ แต่ไม่มีข้อมูลชัดเจนว่าเป็นกลุ่มจากชาติใด
  2. Proton66 Hosting ผิดกฎหมายหรือไม่? Proton66 เองไม่ผิดกฎหมาย แต่ถูกใช้โดย แฮกเกอร์ เนื่องจากนโยบายที่ไม่เข้มงวดในการจัดการการใช้งานผิดกฎหมาย
  3. จะรู้ได้อย่างไรว่าเป็นหน้าเว็บ Phishing? หน้าเว็บ Phishing มักมี URL ที่ผิดปกติ เช่น การสะกดผิดหรือใช้โดเมนแปลกๆ ตรวจสอบแถบที่อยู่ในเบราว์เซอร์และหลีกเลี่ยงการกรอกข้อมูลในหน้าเว็บที่น่าสงสัย

สรุป: ภัยคุกคาม ที่ต้องไม่มองข้าม

การโจมตีของ Blind Eagle โดยใช้ Proton66 Hosting แสดงให้เห็นว่า Phishing และ RAT ยังคงเป็น ภัยคุกคาม ที่ร้ายแรงต่อ ธนาคารโคลอมเบีย และผู้ใช้ทั่วไป การผสมผสานระหว่างเทคนิค Social Engineering, มัลแวร์ราคาถูก และ โฮสติ้ง ที่ยากต่อการปิดกั้น ทำให้การโจมตีเหล่านี้ตรวจจับได้ยาก อย่างไรก็ตาม การตระหนักรู้และการป้องกันที่เหมาะสม เช่น การใช้ MFA และการอัปเดตซอฟต์แวร์ สามารถลดความเสี่ยงได้อย่างมาก BLOG TTT-WEBSITE:
  • สมัครรับข่าวสาร เพื่ออัปเดต ภัยคุกคามไซเบอร์ ล่าสุด คลิกที่นี่
  • แชร์บทความนี้ ให้เพื่อนและครอบครัวเพื่อเพิ่มความตระหนักรู้
  • แสดงความคิดเห็น ด้านล่างว่าคุณเคยเจอหน้าเว็บ Phishing หรือไม่ และจัดการอย่างไร?