เมื่อวันที่ 6 มีนาคม 2563 ไทยเซิร์ตได้รับรายงานการแพร่กระจายมัลแวร์ผ่านอีเมลโดยอ้างว่ากระทรวงสาธารณสุขส่งข้อมูลที่เกี่ยวข้องกับไวรัสโคโรน่า ชื่อผู้ส่งอีเมลถูกปลอมว่าส่งมาจาก This email address is being protected from spambots. You need JavaScript enabled to view it. หัวข้ออีเมลคือ "Fwd: Re:ข้อมูลด่วน CoronaVirus" เนื้อหาในอีเมลเป็นภาษาไทยแต่ลักษณะคล้ายเป็นการใช้โปรแกรมแปลภาษา ในอีเมลมีการแนบโลโก้ของสถาบันวิจัยวิทยาศาสตร์สาธารณสุขและโลโก้ของกระทรวงสาธารณสุข พร้อมกับมีไฟล์แนบชื่อ "กระทรวงสาธารณสุขโคโรนาข้อมูลไวรัสด่วน2020.gz"

 

ตัวไฟล์ .gz นี้แท้จริงแล้วเป็นไฟล์ .rar เมื่อ extract ข้อมูลออกมาจะพบไฟล์ .exe จากการตรวจสอบเบื้องต้นพบพฤติกรรมต้องสงสัยในลักษณะเป็นมัลแวร์ ณ ขณะที่ได้รับรายงานพบว่าโปรแกรมแอนติไวรัสจำนวนหนึ่งที่ยังไม่สามารถตรวจจับไฟล์นี้ได้ และปัจจุบันไทยเซิร์ตอยู่ระหว่างการวิเคราะห์มัลแวร์ดังกล่าว ซึ่งจะมีการอัปเดตข้อมูลให้ทราบเพิ่มเติมในภายหลัง

 

 

ข้อแนะนำเบื้องต้น

• หากได้รับอีเมลในลักษณะดังกล่าวไม่ควรเปิดไฟล์แนบ และควรแจ้งรายงานให้กับผู้ดูแลระบบทราบ หากเผลอเปิดไฟล์ไปแล้วควรปิดเครื่องและแจ้งผู้ดูแลระบบทันทีเพื่อตรวจสอบและยับยั้งความเสียหาย
• ผู้ดูแลระบบควรตรวจสอบว่ามีการส่งอีเมลลักษณะนี้มาที่หน่วยงานหรือไม่ หากพบให้รีบดำเนินการลบอีเมลดังกล่าวทันที และพิจารณาข้อมูล IOC ด้านล่างเพื่อยืนยันความผิดปกติบนระบบเครือข่าย หากพบการเชื่อมต่อที่ต้องสงสัย ควรปิดกั้นการเชื่อมต่อของคอมพิวเตอร์ดังกล่าวออกจากระบบเครือข่ายเป็นการชั่วคราว เพื่อให้ผู้ดูแลระบบเข้าดำเนินการตรวจสอบและรับมือสถานการณ์

 

กระทรวงสาธารณสุขโคโรนาข้อมูลไวรัสด่วน2020.gz

• MD5: 94c4c09711c06303b9b107f6254646f3
• SHA1: 4008eec5413e2cf20bb1d6d039d027fdab6e0283

กระทรวงสาธารณสุขโคโรนาข้อมูลไวรัสด่วน2020.exe

• MD5: ad1644a3737af0b84826be11708c437d
• SHA1: bda2e2ba4e4deb14b27fb6e52f255dfebf7bdbfa

 

ข้อมูล IOC ของการเชื่อมต่อเครือข่าย

 

โดเมน

• 2020logs.duckdns.org
• alili2020.ddns.net

ไอพี:พอร์ต

• 192.169.69.25:5626

 

ข้อมูลโดย