แจ้งเตือน พบการส่งอีเมลแพร่มัลแวร์โจมตีคนไทย อ้างชื่อกระทรวงสาธารณสุขและข่าวไวรัสโคโรน่า 

6 มี.ค.63 (13:08 น.)
เปิดอ่าน 139 ครั้ง
เมื่อวันที่ 6 มีนาคม 2563 ไทยเซิร์ตได้รับรายงานการแพร่กระจายมัลแวร์ผ่านอีเมลโดยอ้างว่ากระทรวงสาธารณสุขส่งข้อมูลที่เกี่ยวข้องกับไวรัสโคโรน่า ชื่อผู้ส่งอีเมลถูกปลอมว่าส่งมาจาก no-reply@moph.go.th หัวข้ออีเมลคือ "Fwd: Re:ข้อมูลด่วน CoronaVirus" เนื้อหาในอีเมลเป็นภาษาไทยแต่ลักษณะคล้ายเป็นการใช้โปรแกรมแปลภาษา ในอีเมลมีการแนบโลโก้ของสถาบันวิจัยวิทยาศาสตร์สาธารณสุขและโลโก้ของกระทรวงสาธารณสุข พร้อมกับมีไฟล์แนบชื่อ "กระทรวงสาธารณสุขโคโรนาข้อมูลไวรัสด่วน2020.gz"

ตัวไฟล์ .gz นี้แท้จริงแล้วเป็นไฟล์ .rar เมื่อ extract ข้อมูลออกมาจะพบไฟล์ .exe จากการตรวจสอบเบื้องต้นพบพฤติกรรมต้องสงสัยในลักษณะเป็นมัลแวร์ ณ ขณะที่ได้รับรายงานพบว่าโปรแกรมแอนติไวรัสจำนวนหนึ่งที่ยังไม่สามารถตรวจจับไฟล์นี้ได้ และปัจจุบันไทยเซิร์ตอยู่ระหว่างการวิเคราะห์มัลแวร์ดังกล่าว ซึ่งจะมีการอัปเดตข้อมูลให้ทราบเพิ่มเติมในภายหลัง


ข้อแนะนำเบื้องต้น
  • หากได้รับอีเมลในลักษณะดังกล่าวไม่ควรเปิดไฟล์แนบ และควรแจ้งรายงานให้กับผู้ดูแลระบบทราบ หากเผลอเปิดไฟล์ไปแล้วควรปิดเครื่องและแจ้งผู้ดูแลระบบทันทีเพื่อตรวจสอบและยับยั้งความเสียหาย
  • ผู้ดูแลระบบควรตรวจสอบว่ามีการส่งอีเมลลักษณะนี้มาที่หน่วยงานหรือไม่ หากพบให้รีบดำเนินการลบอีเมลดังกล่าวทันที และพิจารณาข้อมูล IOC ด้านล่างเพื่อยืนยันความผิดปกติบนระบบเครือข่าย หากพบการเชื่อมต่อที่ต้องสงสัย ควรปิดกั้นการเชื่อมต่อของคอมพิวเตอร์ดังกล่าวออกจากระบบเครือข่ายเป็นการชั่วคราว เพื่อให้ผู้ดูแลระบบเข้าดำเนินการตรวจสอบและรับมือสถานการณ์
ข้อมูล IOC ของไฟล์มัลแวร์

กระทรวงสาธารณสุขโคโรนาข้อมูลไวรัสด่วน2020.gz
  • MD5: 94c4c09711c06303b9b107f6254646f3
  • SHA1: 4008eec5413e2cf20bb1d6d039d027fdab6e0283
กระทรวงสาธารณสุขโคโรนาข้อมูลไวรัสด่วน2020.exe
  • MD5: ad1644a3737af0b84826be11708c437d
  • SHA1: bda2e2ba4e4deb14b27fb6e52f255dfebf7bdbfa

ข้อมูล IOC ของการเชื่อมต่อเครือข่าย

โดเมน
  • 2020logs.duckdns.org
  • alili2020.ddns.net
ไอพี:พอร์ต
  • 192.169.69.25:5626

ข้อมูลโดย Logo ThaiCERT

Cyber Domain - Royal Thai Air Force

ล่าสุด

พบช่องโหว่บน Zoom สามารถขโมย Windows Credentials ได้
3 เม.ย.63(3 ชั่วโมง) อ่าน 9 ครั้ง
ปฏิบัติการทลายเครือข่าย Necurs botnet มัลแวร์อันตรายที่แพร่กระจายกว่า 9 ล้านเครื่องทั่วโลก
28 มี.ค.63(5 วัน) อ่าน 9 ครั้ง
Microsoft เตือนพบการโจมตีช่องโหว่ Zero-day คาดกระทบ Windows ทุกเวอร์ชัน
25 มี.ค.63(9 วัน) อ่าน 15 ครั้ง
คู่มือ work from home
24 มี.ค.63(9 วัน) อ่าน 1062 ครั้ง
พลอากาศเอก มานัต วงษ์วาทย์ ผู้บัญชาการทหารอากาศ เป็นประธานในพิธีเปิดศูนย์ไซเบอร์กองทัพอากาศ
21 มี.ค.63(13 วัน) อ่าน 131 ครั้ง
ข้อแนะนำด้านความมั่นคงปลอดภัยเมื่อต้องทำงานจากที่บ้าน
20 มี.ค.63(14 วัน) อ่าน 71 ครั้ง
พบช่องโหว่บน WordPress Plugin คาดกระทบผู้ใช้กว่าแสนเว็บไซต์ แนะเร่งอัปเดต
17 มี.ค.63(17 วัน) อ่าน 16 ครั้ง
พลอากาศตรี วิสุทธิ์ สมภักดี ให้การต้อนรับ นายอาลอน เยโฮชัว (Mr. Alon Yehoshua) ผู้ช่วยทูตฝ่ายทหาร ผู้แทนกระทรวงกลาโหมอิสราเอล เพื่อหารือเรื่องความร่วมมือด้านไซเบอร์
13 มี.ค.63(20 วัน) อ่าน 46 ครั้ง
กองบิน ๒ และ ศูนย์ไซเบอร์กองทัพอากาศ(ศซบ.ทอ.) จัดเปิดการอบรม และบรรยายเรื่องการสร้างความตระหนักรู้เกี่ยวกับภัยคุกคามและจิตสำนึกด้านการรักษาความปลอดภัยด้านไซเบอร์
13 มี.ค.63(20 วัน) อ่าน 51 ครั้ง
หลุดช่องโหว่ร้ายแรงใหม่บน SMBv3 ยังไร้วี่แววแพตช์
11 มี.ค.63(22 วัน) อ่าน 16 ครั้ง
Microsoft เผย บัญชีที่ถูกแฮก 99.9% ไม่ได้เปิดใช้การยืนยันตัวตนแบบหลายปัจจัย มีองค์กรแค่ 11% เท่านั้นที่เปิดใช้
9 มี.ค.63(24 วัน) อ่าน 14 ครั้ง
แจ้งเตือน พบการส่งอีเมลแพร่มัลแวร์โจมตีคนไทย อ้างชื่อกระทรวงสาธารณสุขและข่าวไวรัสโคโรน่า
6 มี.ค.63(27 วัน) อ่าน 139 ครั้ง
T-mobile แจ้งเหตุข้อมูลรั่วไหลเพราะถูกแฮ็ก
6 มี.ค.63(27 วัน) อ่าน 14 ครั้ง
อัปเดตเป็น TLS 1.2 หรือ 1.3 ก่อนถูก Browser หลายเจ้าจะแสดงหน้า Error ในสิ้นเดือนนี้
6 มี.ค.63(27 วัน) อ่าน 11 ครั้ง
ข้อแนะนำจาก Microsoft เรื่องการจัดอบรมสร้างความตระหนักด้านความมั่นคงปลอดภัยให้กับพนักงานในองค์กร
5 มี.ค.63(29 วัน) อ่าน 22 ครั้ง