BlueNoroff กลุ่มแฮ็กเกอร์เกาหลีเหนือได้ค้นพบวิธีใหม่ในการเจาะเข้าสู่กระเป๋าเงินดิจิทัลของผู้ใช้งาน โดยปลอมตัวเป็นธนาคารและบริษัทร่วมทุน (Venture capital) จากญี่ปุ่น
เมื่อวันที่ 27 ธันวาคม Kaspersky Lab ประกาศว่ากลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือ ขโมยเงินดิจิทัลหลายล้านดอลลาร์หลังจากสร้างโดเมนปลอมมากกว่า 70 โดเมนและแอบอ้างเป็นธนาคารและบริษัทร่วมทุน
จากการสืบสวนพบว่าโดเมนส่วนใหญ่เลียนแบบบริษัทร่วมทุนของญี่ปุ่น ซึ่งสะท้อนถึงเป้าหมายที่เป็นผู้ใช้และข้อมูลบริษัทภายในประเทศ
“หลังจากค้นคว้าโครงสร้างพื้นฐานที่ใช้ เราค้นพบโดเมนมากกว่า 70 โดเมนที่ใช้โดยกลุ่มนี้ หมายความว่าโดเมนเหล่านั้นมีการใช้งานมากจนกระทั่งเมื่อไม่นานมานี้ นอกจากนี้ พวกเขายังสร้างโดเมนปลอมจำนวนมากที่ดูเหมือนโดเมนบริษัทร่วมทุนและธนาคาร”
กลุ่ม BlueNoroff ส่ง Malware แฝงไปทั่ว
ไม่กี่เดือนที่ผ่านมา กลุ่มแฮ๊กเกอร์ใช้เอกสาร Word เพื่อแฝงมัลแวร์ แต่เร็วๆ นี้ พวกเขาได้ปรับปรุงเทคนิคของตน โดยสร้างไฟล์ Windows Batch ใหม่ที่ช่วยให้ขยายขอบเขตและโหมดการทำงานของมัลแวร์ได้
ไฟล์ .bat ใหม่เหล่านี้หลีกเลี่ยงมาตรการรักษาความปลอดภัยของ Windows Mark-of-the-Web (MOTW) ซึ่งซ่อนอยู่และแนบมากับไฟล์ที่ดาวน์โหลดจากอินเทอร์เน็ตเพื่อปกป้องผู้ใช้จากไฟล์ของแหล่งที่มาที่ไม่น่าเชื่อถือ
หลังจากการตรวจสอบอย่างละเอียดในช่วงปลายเดือนกันยายน Kaspersky ยืนยันว่านอกเหนือจากการใช้สคริปต์ใหม่แล้ว กลุ่มแฮ็กเกอร์ยังเริ่มใช้ไฟล์อิมเมจดิสก์ .iso และ .vhd เพื่อแพร่ไวรัส
Kaspersky ยังพบว่าผู้ใช้รายหนึ่งในสหรัฐอาหรับเอมิเรตส์ตกเป็นเหยื่อของกลุ่ม หลังจากดาวน์โหลดเอกสาร Word ที่ชื่อว่า “Shamjit Client Details Form.doc” ซึ่งทำให้แฮ็กเกอร์สามารถเชื่อมต่อกับคอมพิวเตอร์ของเขาและดึงข้อมูล
เมื่อแฮ็กเกอร์เข้าสู่ระบบคอมพิวเตอร์แล้ว “พวกเขาพยายามพิมพ์ลายนิ้วมือของเหยื่อและติดตั้งมัลแวร์เพิ่มเติมด้วยสิทธิพิเศษระดับสูง” อย่างไรก็ตาม เหยื่อใช้คำสั่งหลายคำสั่งเพื่อรวบรวมข้อมูลพื้นฐานของระบบ เพื่อป้องกันไม่ให้มัลแวร์แพร่กระจายออกไปมากกว่านี้
รูปแบบการแฮ็กเริ่มอันตรายมากขึ้นเรื่อยๆ
รายงานระบุว่าแฮ็กเกอร์ชาวเกาหลีเหนือสามารถขโมยคริปโตมูลค่ากว่า 1 พันล้านดอลลาร์จนถึงเดือนพฤษภาคมปี 2022 Lazarus กลุ่มที่ใหญ่ที่สุดได้รับการชี้ว่าเป็นผู้รับผิดชอบการโจมตีแบบฟิชชิงและเทคนิคการแพร่กระจายมัลแวร์
หลังจากการโจรกรรมเงินกว่า 620 ล้านดอลลาร์จาก Axie Infinity กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือ Lazarus ซึ่งเป็นหนึ่งในกลุ่มแฮ็กเกอร์ที่ใหญ่ที่สุดในโลก ได้ระดมเงินมากพอที่จะปรับปรุงซอฟต์แวร์ของตนในระดับที่พวกเขาสร้างโครงการ cryptocurrency ขั้นสูงผ่าน โดเมนที่ชื่อว่า bloxholder.com ซึ่งพวกเขาใช้เป็นแนวหน้าในการขโมยคีย์ส่วนตัวของ “ลูกค้า” จำนวนมากของพวกเขา
ตามรายงานของ Microsoft การโจมตีที่กำหนดเป้าหมาเป็นยองค์กรสกุลเงินดิจิทัลเริ่มสูงขึ้น เพราะเป็นแหล่งที่มีเงินมูลค่ามากอยู่ในช่วงไม่กี่ปีที่ผ่านมา ดังนั้นการโจมตีจึงซับซ้อนกว่าเมื่อก่อน
หนึ่งในเทคนิคใหม่ล่าสุดที่แฮ็กเกอร์ใช้คือ การแฮ็กผ่านกลุ่ม Telegram ด้วยการส่งไฟล์ที่ติดไวรัสซึ่งปลอมเป็นตาราง Excel ที่มีโครงสร้างค่าธรรมเนียมของบริษัทกระดานแลกเปลี่ยนเป็นตัวเชื่อม
เมื่อเหยื่อเปิดไฟล์ พวกเขาดาวน์โหลดชุดโปรแกรมที่ช่วยให้แฮ็กเกอร์สามารถเข้าถึงอุปกรณ์ที่ติดไวรัสได้จากระยะไกล ไม่ว่าจะเป็นอุปกรณ์พกพาหรือ PC
Trusted
ข้อจำกัดความรับผิด
ข้อมูลทั้งหมดที่มีอยู่บนเว็บไซต์ของเราเผยแพร่ด้วยเจตนาที่ดีและเป็นไปเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น การกระทำใด ๆ ที่ผู้อ่านดำเนินการตามข้อมูลที่พบบนเว็บไซต์ของเราถือเป็นความเสี่ยงของผู้อ่านโดยเฉพาะ
