แจ้งเตือน พบการส่งอีเมลแพร่มัลแวร์โจมตีคนไทย อ้างชื่อกระทรวงสาธารณสุขและข่าวไวรัสโคโรน่า 

6 มี.ค.63 (13:08 น.)
เปิดอ่าน 223 ครั้ง
เมื่อวันที่ 6 มีนาคม 2563 ไทยเซิร์ตได้รับรายงานการแพร่กระจายมัลแวร์ผ่านอีเมลโดยอ้างว่ากระทรวงสาธารณสุขส่งข้อมูลที่เกี่ยวข้องกับไวรัสโคโรน่า ชื่อผู้ส่งอีเมลถูกปลอมว่าส่งมาจาก no-reply@moph.go.th หัวข้ออีเมลคือ "Fwd: Re:ข้อมูลด่วน CoronaVirus" เนื้อหาในอีเมลเป็นภาษาไทยแต่ลักษณะคล้ายเป็นการใช้โปรแกรมแปลภาษา ในอีเมลมีการแนบโลโก้ของสถาบันวิจัยวิทยาศาสตร์สาธารณสุขและโลโก้ของกระทรวงสาธารณสุข พร้อมกับมีไฟล์แนบชื่อ "กระทรวงสาธารณสุขโคโรนาข้อมูลไวรัสด่วน2020.gz"

ตัวไฟล์ .gz นี้แท้จริงแล้วเป็นไฟล์ .rar เมื่อ extract ข้อมูลออกมาจะพบไฟล์ .exe จากการตรวจสอบเบื้องต้นพบพฤติกรรมต้องสงสัยในลักษณะเป็นมัลแวร์ ณ ขณะที่ได้รับรายงานพบว่าโปรแกรมแอนติไวรัสจำนวนหนึ่งที่ยังไม่สามารถตรวจจับไฟล์นี้ได้ และปัจจุบันไทยเซิร์ตอยู่ระหว่างการวิเคราะห์มัลแวร์ดังกล่าว ซึ่งจะมีการอัปเดตข้อมูลให้ทราบเพิ่มเติมในภายหลัง


ข้อแนะนำเบื้องต้น
  • หากได้รับอีเมลในลักษณะดังกล่าวไม่ควรเปิดไฟล์แนบ และควรแจ้งรายงานให้กับผู้ดูแลระบบทราบ หากเผลอเปิดไฟล์ไปแล้วควรปิดเครื่องและแจ้งผู้ดูแลระบบทันทีเพื่อตรวจสอบและยับยั้งความเสียหาย
  • ผู้ดูแลระบบควรตรวจสอบว่ามีการส่งอีเมลลักษณะนี้มาที่หน่วยงานหรือไม่ หากพบให้รีบดำเนินการลบอีเมลดังกล่าวทันที และพิจารณาข้อมูล IOC ด้านล่างเพื่อยืนยันความผิดปกติบนระบบเครือข่าย หากพบการเชื่อมต่อที่ต้องสงสัย ควรปิดกั้นการเชื่อมต่อของคอมพิวเตอร์ดังกล่าวออกจากระบบเครือข่ายเป็นการชั่วคราว เพื่อให้ผู้ดูแลระบบเข้าดำเนินการตรวจสอบและรับมือสถานการณ์
ข้อมูล IOC ของไฟล์มัลแวร์

กระทรวงสาธารณสุขโคโรนาข้อมูลไวรัสด่วน2020.gz
  • MD5: 94c4c09711c06303b9b107f6254646f3
  • SHA1: 4008eec5413e2cf20bb1d6d039d027fdab6e0283
กระทรวงสาธารณสุขโคโรนาข้อมูลไวรัสด่วน2020.exe
  • MD5: ad1644a3737af0b84826be11708c437d
  • SHA1: bda2e2ba4e4deb14b27fb6e52f255dfebf7bdbfa

ข้อมูล IOC ของการเชื่อมต่อเครือข่าย

โดเมน
  • 2020logs.duckdns.org
  • alili2020.ddns.net
ไอพี:พอร์ต
  • 192.169.69.25:5626

ข้อมูลโดย Logo ThaiCERT

พระราชกรณียกิจในหลวง รัชกาลที่ ๑๐

ล่าสุด

ตรวจพบ Malware "Silver Sparrow" ระบาดบนอุปกรณ์ Mac เกือบ 30,000 เครื่องทั่วโลก !
26 ก.พ.64(8 วัน) อ่าน 9 ครั้ง
ศูนย์ไซเบอร์กองทัพอากาศรับสมัครบุคคลเพื่อเลือกสรรเป็นพนักงานราชการ ๑-๑๙ มีนาคม ๒๕๖๔
25 ก.พ.64(10 วัน) อ่าน 1055 ครั้ง
การปฏิบัติเมื่อเกิดการละเมิดการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
24 ก.พ.64(11 วัน) อ่าน 14 ครั้ง
เฉลยโจทย์ ทดสอบตระหนักรู้ทางไซเบอร์ วงรอบ ม.ค.๖๔ ระหว่าง ๑๘-๒๙ ม.ค.๖๔
24 ก.พ.64(11 วัน) อ่าน 42 ครั้ง
พล.อ.ต.สมพร ร่มพยอม ผอ.ศซบ.ทอ. เป็นประธานการประชุม Cyber Subject Matter Expert Exchange (Cyber SMEE) ทอ. - ทอ.สหรัฐฯ
18 ก.พ.64(16 วัน) อ่าน 45 ครั้ง
พล.อ.ต.สมพร ร่มพยอม ผู้อำนวยการศูนย์ไซเบอร์กองทัพอากาศ เป็นประธาน ในพิธีเปิดการจัดกิจกรรม ๕ ส
18 ก.พ.64(16 วัน) อ่าน 21 ครั้ง
แฮ็กเกอร์ลอบเข้าไปสั่งปรับสารเคมีในโรงงานบำบัดน้ำในฟลอริดา
16 ก.พ.64(19 วัน) อ่าน 15 ครั้ง
FBI เตือนผู้ประกอบการระวังการใช้ TeamViewer และ Windows 7 หลังเกิดเหตุโรงงานบำบัดน้ำถูกแฮ็ก
16 ก.พ.64(19 วัน) อ่าน 6 ครั้ง
ผู้ช่วยทูตทหารอากาศ อินเดีย เข้าพบ ผู้อำนวยการกองสงครามไซเบอร์ ศูนย์ไซเบอร์กองทัพอากาศ
16 ก.พ.64(19 วัน) อ่าน 21 ครั้ง
พล.อ.ต.สมพร ร่มพยอม ผู้อำนวยการศูนย์ไซเบอร์กองทัพอากาศ เป็นประธาน ในพิธีประดับเครื่องหมายยศ นายทหารสัญญาบัตร นายทหารประทวน ศซบ.ทอ.
11 ก.พ.64(24 วัน) อ่าน 24 ครั้ง
พล.อ.ต.สมพร ร่มพยอม ผู้อำนวยการศูนย์ไซเบอร์กองทัพอากาศ เป็นประธาน ในพิธีปฏิญาณตนไม่ยุ่งเกี่ยวกับยาเสพติด
11 ก.พ.64(24 วัน) อ่าน 22 ครั้ง
พลอากาศตรี สมพร ร่มพยอม ผู้อำนวยการศูนย์ไซเบอร์กองทัพอากาศ และข้าราชการศูนย์ไซเบอร์กองทัพอากาศ เข้าร่วมบริจาคและรับมอบดอกไม้ที่ระลึกเนื่องในวันทหารผ่านศึกประจำปี ๒๕๖๔
9 ก.พ.64(26 วัน) อ่าน 33 ครั้ง
[ข่าวปลอม] สปสช. เพิ่มช่องทางตรวจสอบสิทธิทางไลน์ ชื่อ check-sith
9 ก.พ.64(26 วัน) อ่าน 53 ครั้ง
ฐานข้อมูล บน cloud ไปรษณีย์ไทย รั่วไหล
8 ก.พ.64(27 วัน) อ่าน 25 ครั้ง
พบมัลแวร์ใหม่บน Linux มุ่งฝังตัวในระบบ Supercomputer
4 ก.พ.64(1 เดือน) อ่าน 10 ครั้ง