แฮกเกอร์จากเกาหลีเหนือได้เปลี่ยนแปลงวิธีการในการเพิ่มระดับการทำสงครามไซเบอร์ โดยใช้อีเมลฟิชชิ่งเป็นเครื่องมือหลักในการโจมตีบริษัทด้านสกุลเงินดิจิทัล
รายงานล่าสุดจากบริษัทวิจัยด้านความปลอดภัยไซเบอร์ SentinelLabs ได้เชื่อมโยงการเปลี่ยนแปลงนี้กับ BlueNoroff ซึ่งเป็นกลุ่มย่อยที่น่ากลัวภายในกลุ่ม Lazarus
แฮกเกอร์เกาหลีเหนือเปลี่ยนมาใช้วิธีฟิชชิ่งในแคมเปญ ‘Hidden Risk’
BlueNoroff มีชื่อเสียงในการกระทำอาชญากรรมไซเบอร์อย่างกว้างขวางเพื่อสนับสนุนโครงการนิวเคลียร์และอาวุธของเกาหลีเหนือ แคมเปญใหม่ที่ชื่อว่า ‘Hidden Risk’ เปิดเผยการเปลี่ยนแปลงกลยุทธ์จากการใช้สื่อสังคมออนไลน์ไปสู่การแทรกซึมทางอีเมลโดยตรง
แฮกเกอร์ได้เพิ่มความพยายามในแคมเปญ ‘Hidden Risk’ โดยใช้อีเมลฟิชชิ่งที่เจาะจงมาก อีเมลเหล่านี้ปลอมตัวเป็นการแจ้งเตือนข่าวสารเกี่ยวกับราคา Bitcoin หรืออัปเดตเกี่ยวกับเทรนด์การเงินแบบกระจายอำนาจ (DeFi) เพื่อล่อให้ผู้รับคลิกลิงก์ที่ดูเหมือนถูกต้อง หลังจากคลิกลิงก์เหล่านี้แล้ว จะมีการส่งแอปพลิเคชันที่มีมัลแวร์ไปยังอุปกรณ์ของผู้ใช้ ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญของบริษัทได้โดยตรง
แคมเปญที่เราเรียกว่า ‘Hidden Risk’ ใช้อีเมลที่เผยแพร่ข่าวปลอมเกี่ยวกับเทรนด์สกุลเงินดิจิทัลเพื่อติดเชื้อเป้าหมายผ่านแอปพลิเคชันที่ปลอมตัวเป็นไฟล์ PDF ตามที่รายงานระบุ
มัลแวร์ในแคมเปญ ‘Hidden Risk’ มีความซับซ้อนอย่างมาก สามารถหลีกเลี่ยงโปรโตคอลความปลอดภัยที่ติดตั้งมาในเครื่องของ Apple ได้ โดยใช้ ID นักพัฒนา Apple ที่ถูกต้อง ทำให้หลีกเลี่ยงระบบ Gatekeeper ของ macOS ซึ่งทำให้ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์มีความกังวลอย่างมาก
แฮกเกอร์จากเกาหลีเหนือมักพึ่งพาการสร้างความสัมพันธ์ทางสังคมออนไลน์เพื่อสร้างความไว้วางใจกับพนักงานในบริษัทสกุลเงินดิจิทัลและการเงิน โดยมีการโต้ตอบกับเป้าหมายบนแพลตฟอร์มเช่น LinkedIn และ Twitter ทำให้เกิดภาพลักษณ์ของความสัมพันธ์ทางวิชาชีพที่ถูกต้อง แม้วิธีนี้จะได้ผล แต่ก็ใช้เวลานาน ทำให้เกิดการเปลี่ยนไปใช้กลยุทธ์ที่ใช้มัลแวร์และเร็วขึ้น
กิจกรรมการแฮกของเกาหลีเหนือได้เพิ่มขึ้นเนื่องจากภาคส่วนสกุลเงินดิจิทัลยังคงเติบโต ปัจจุบันมีมูลค่ามากกว่า 2.6 ล้านล้าน USD ทำให้เป็นเป้าหมายที่น่าสนใจสำหรับแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐเกาหลีเหนือ SentinelLabs ได้เน้นว่าสภาพแวดล้อมนี้เป็นที่เสี่ยงต่อการโจมตีทางไซเบอร์อย่างมาก ทำให้เป็นพื้นที่ล่าที่มีกำไรสำหรับ Lazarus
ภัยคุกคามที่กำลังขยายตัวต่ออุตสาหกรรมคริปโต
ตามคำเตือนล่าสุดจาก FBI แฮกเกอร์จากเกาหลีเหนือได้มุ่งเน้นไปที่บริษัท DeFi และกองทุนซื้อขายแลกเปลี่ยน (ETF) โดยใช้วิธีการวิศวกรรมสังคมและแคมเปญฟิชชิ่งที่เจาะจงไปที่พนักงานในภาคส่วนเหล่านี้ คำเตือนได้กระตุ้นให้บริษัทเสริมสร้างโปรโตคอลความปลอดภัยและแนะนำให้ตรวจสอบที่อยู่กระเป๋าเงินของลูกค้ากับที่อยู่ที่เชื่อมโยงกับแฮกเกอร์ที่รู้จักตามที่แนะนำ
BeInCrypto ยังได้รายงานว่ากลุ่ม Lazarus ได้เรียนรู้วิธีการหลีกเลี่ยงการคว่ำบาตรของตะวันตก พวกเขาได้จัดการช่องโหว่ในกฎระเบียบระหว่างประเทศเพื่อสนับสนุนการฟอกเงินที่ใช้คริปโต หนึ่งในเหตุการณ์สำคัญในไทม์ไลน์นี้คือการใช้โปรโตคอลความเป็นส่วนตัว RailGun ซึ่งให้บริการธุรกรรมที่ไม่ระบุชื่อบนบล็อกเชน Ethereum
รัฐบาลสหรัฐฯ ไม่ได้นิ่งนอนใจต่อการรุกรานทางไซเบอร์ของเกาหลีเหนือที่เพิ่มขึ้น กระทรวงการคลังได้ลงโทษบริการผสมคริปโต Tornado Cash โดยอ้างถึงบทบาทของมันในการช่วยเหลือแฮกเกอร์เกาหลีเหนือในการปกปิดธุรกรรมที่ผิดกฎหมาย Tornado Cash ซึ่งคล้ายกับ RailGun ช่วยให้ผู้ใช้สามารถทำให้การเคลื่อนไหวของคริปโตเป็นส่วนตัวได้ ให้เครื่องมือที่มีประสิทธิภาพแก่แฮกเกอร์ในการปกปิดร่องรอยของพวกเขา
มาตรการคว่ำบาตรเป็นส่วนหนึ่งของการปราบปรามที่กว้างขึ้น ซึ่งเน้นว่ากิจกรรมที่เกี่ยวข้องกับคริปโตของเกาหลีเหนือกำลังกลายเป็นจุดสนใจสำคัญสำหรับรัฐบาลตะวันตก การคว่ำบาตรครั้งนี้มีจังหวะที่ตรงกับการเพิ่มขึ้นของกิจกรรมในภาคคริปโตของเกาหลีเหนือ โดยเฉพาะผ่านกลุ่ม Lazarus
ด้วยความซับซ้อนของแคมเปญ ‘Hidden Risk’ ใหม่ SentinelLabs แนะนำให้ผู้ใช้ macOS และองค์กร โดยเฉพาะที่เกี่ยวข้องกับคริปโต เพิ่มมาตรการความปลอดภัย พวกเขาแนะนำให้บริษัททำการสแกนมัลแวร์อย่างละเอียด ตรวจสอบลายเซ็นของนักพัฒนา และหลีกเลี่ยงการดาวน์โหลดไฟล์แนบจากอีเมลที่ไม่ได้ร้องขอ
ขั้นตอนเหล่านี้จำเป็นอย่างยิ่งในการป้องกันมัลแวร์ที่มีความซับซ้อนเพิ่มขึ้นซึ่งออกแบบมาเพื่อซ่อนตัวอยู่ภายในระบบ
ข้อจำกัดความรับผิด
หมายเหตุบรรณาธิการ: เนื้อหาต่อไปนี้ไม่ได้สะท้อนถึงมุมมองหรือความคิเห็นของ BeInCrypto มันจัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้นและไม่ควรถูกตีความว่าเป็นคำแนะนำทางการเงิน กรุณาทำการวิจัยของคุณเองก่อนที่จะทำการตัดสินใจลงทุนใดๆ
