ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) ได้ทำการตรวจสอบไฟล์ต้องสงสัยจำนวนหลายรายการซึ่งได้รับมอบมาจากหน่วยงานด้านความมั่นคงแห่งหนึ่งในประเทศไทยและพบว่าไฟล์เหล่านั้นเป็นไฟล์อันตรายซึ่งมีวัตถุประสงค์เพื่อใช้ในการควบคุมเครื่องคอมพิวเตอร์เป้าหมายจากระยะไกล (Remote Access Control) และจากข้อมูลที่พบในการวิเคราะห์ครั้งนี้ ศูนย์ TTC-CERT มีความเชื่อมั่นในระดับสูง (High Level of Confidence) ว่าการโจมตีในครั้งนี้เป็นส่วนหนึ่งของแคมเปญการโจมตีทางไซเบอร์ BangkokShell (อ้างอิง 1, อ้างอิง 2) ซึ่งมุ่งเป้าโจมตีหน่วยงานในประเทศไทยและมีเป้าหมายหลักคือหน่วยงานด้านความมั่นค

ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) พบการรายงานจาก Unit 42 ซึ่งได้ระบุถึงการตรวจพบแคมเปญการโจมตีทางไซเบอร์ของกลุ่ม Mustang Panda จำนวน 3 รายการในเดือนสิงหาคม พ.ศ.2566 ซึ่งกำหนดเป้าหมายไปยังหน่วยงานต่าง ๆ ในแถบแปซิฟิกใต้ รวมถึงรัฐบาลของประเทศฟิลิปปินส์ แคมเปญการโจมตีเหล่านี้กลุ่มผู้โจมตีได้ฝังมัลแวร์ไว้ภายในซอฟต์แวร์ที่ใช้งานโดยปกติทั่วไป โดยการโหลดไฟล์ที่เป็นอันตรายผ่านซอฟต์แวร์ชื่อ Solid PDF Creator และ SmadavProtect (เป็นโซลูชั่นแอนตี้ไวรัสจากประเทศอินโดนีเซีย) ซึ่งปฏิบัติการเหล่านี้มีความเชื่อมโยงกับกลุ่ม Mustang Panda แสดงให้เห็นถึงวัตถ

ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงานการวิเคราะห์เปรียบเทียบรูปแบบและวิธีการโจมตีในแคมเปญ BangkokShell ที่ตรวจพบในช่วงเดือนเมษายน 2566 ถึง กันยายน 2566 ซึ่งทำให้เห็นถึงการพัฒนา Tactics, Techniques, และ Procedures (TTPs) ของการโจมตีในแคมเปญ BangkokShell รวมถึงทำความเข้าใจหลักการและเหตุผลเบื้องหลังการเปลี่ยนแปลงดังกล่าว

ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงานการตรวจพบไฟล์ RAR ที่เกี่ยวข้องกับกลุ่มผู้โจมตีที่รู้จักในชื่อ “Mustang Panda” ซึ่งเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลและมีฐานปฏิบัติการอยู่ในประเทศที่ใช้ภาษาจีนในการสื่อสาร โดยมีเป้าหมายการโจมตีต่อหน่วยงานต่าง ๆ ทั่วโลก โดยเฉพาะประเทศในแถบเอเชียตะวันออกเฉียงใต้ สหรัฐอเมริกา และยุโรป

ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงานการตรวจพบ Python Infostealer Malware ซึ่งเป็นไฟล์สคริปต์ที่พัฒนาด้วยภาษา Python และทำงานในลักษณะของ Infostealer ถูกนำมาใช้ในการโจมตีผู้ใช้งานในประเทศไทย โดยคาดว่าเป็นฝีมือของกลุ่มแฮกเกอร์ที่ใช้ภาษาเวียดนามในการสื่อสาร

ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) ตรวจพบข้อมูลจาก channel บน Telegram จำนวนหลายกลุ่มซึ่งคาดว่าเป็นกลุ่มแฮกเกอร์ประเภท Hacktivist จากประเทศกัมพูชา ได้แก่ “Anonymous Cambodia” “K0LzSec” “CYBER SKELETON” และ “NDT SEC” ได้ประกาศปฏิบัติการ “OpThailand” โดยมีวัตถุประสงค์เพื่อทำการโจมตีทางไซเบอร์ต่อองค์กรต่าง ๆ ในประเทศไทย เนื่องจากกลุ่มดังกล่าวไม่พอใจกรณีที่ประเทศไทยได้สร้างวัดแห่งหนึ่งที่มีความคล้ายคลึงกับนครวัดของประเทศกัมพูชา

ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงานการตรวจพบแคมเปญการโจมตีทางไซเบอร์ซึ่งทำการโจมตีหน่วยงานด้านความมั่นคงแห่งหนึ่งในประเทศไทย โดยศูนย์ TTC-CERT คาดการณ์ด้วยความเชื่อมั่นระดับปานกลาง (medium level of confidence) ว่ากลุ่มผู้โจมตีที่อยู่เบื้องหลังการโจมตีในครั้งนี้มีความเกี่ยวข้องกับกลุ่มแฮกเกอร์ที่ใช้ภาษาจีนในการสื่อสาร

ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงาน เกี่ยวกับเทรนด์ในปัจจุบันที่กลุ่มผู้โจมตี (threat actor) กำลังให้ความนิยมในการโจมตีด้วยเทคนิคที่เรียกว่า Malvertising เพื่อแพร่กระจายมัลแวร์ในโลกออนไลน์โดยใช้แพลตฟอร์ม Google Adsense และ Facebook Ads ซึ่งวิธีการนี้ช่วยให้กลุ่มผู้โจมตีสามารถกำหนดกลุ่มเป้าหมายที่ต้องการโจมตีได้อย่างละเอียด เช่น สามารถกำหนดเกณฑ์อายุ ตำแหน่งที่อยู่ หรือแสดงโฆษณาเฉพาะคีย์เวิร์ดที่ตรงกับกลุ่มเป้าหมายเท่านั้น ทำให้โฆษณาแฝงมัลแวร์เหล่านี้ไปปรากฏบนหน้าจอของผู้ใช้งานได้ตรงกลุ่มเป้าหมายตามที่กลุ่มผู้โจมตีต้องการ เมื่อประกอบกับพฤติกรรมการ

ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงานการวิเคราะห์มัลแวร์ Bookworm ซึ่งมุ่งเป้าโจมตีองค์กรในประเทศไทยโดยเฉพาะหน่วยงานภาครัฐมาเป็นเวลาเกือบทศวรรษ โดยผู้โจมตี (threat actor) ยังคงมีการปรับปรุงเทคนิคการโจมตีอย่างต่อเนื่อง

มัลแวร์ Bookworm ถูกค้นพบครั้งแรกในปี พ.ศ. 2558 โดยกลุ่มนักวิจัยจากบริษัท Palo Alto Networks ซึ่งระบุว่ามัลแวร์ดังกล่าวมีรูปแบบการทำงานที่ซับซ้อนในลักษณะของ modular architecture และถูกใช้เพื่อบรรลุวัตถุประสงค์ด้านการจารกรรมข้อมูลทางไซเบอร์ (cyber espionage) โดยมีเป้าหมายเจาะจงประเทศไทยโดยเฉพาะ