กลุ่มผู้คุกคามที่เชื่อมโยงกับเกาหลีเหนือกำลังยกระดับการดำเนินการทางไซเบอร์ของพวกเขาโดยใช้เครื่องมือมัลแวร์ที่กระจายและหลบหลีกได้ ตามการค้นพบใหม่จาก Cisco Talos และ Google Threat Intelligence Group
แคมเปญเหล่านี้มีเป้าหมายเพื่อขโมยสกุลเงินดิจิทัล แทรกซึมเครือข่าย และหลบเลี่ยงการตรวจจับผ่านการหลอกลวงการสรรหางานที่ซับซ้อน
เทคนิคมัลแวร์ที่พัฒนาสะท้อนความสามารถที่ขยายตัว
นักวิจัยจาก Cisco Talos ได้ระบุแคมเปญที่ดำเนินการโดยกลุ่มเกาหลีเหนือชื่อ Famous Chollima กลุ่มนี้ได้ใช้มัลแวร์สองสายพันธุ์ที่เสริมกันคือ BeaverTail และ OtterCookie โปรแกรมเหล่านี้ที่ใช้สำหรับการขโมยข้อมูลประจำตัวและการขโมยข้อมูลได้พัฒนาไปสู่การรวมฟังก์ชันใหม่และการทำงานร่วมกันที่ใกล้ชิดยิ่งขึ้น
Sponsoredในเหตุการณ์ล่าสุดที่เกี่ยวข้องกับองค์กรใน ศรีลังกา ผู้โจมตีได้ล่อลวงผู้หางานให้ติดตั้งโค้ดที่เป็นอันตรายซึ่งปลอมตัวเป็นส่วนหนึ่งของการประเมินทางเทคนิค แม้ว่าองค์กรเองจะไม่ใช่เป้าหมายโดยตรง นักวิเคราะห์ของ Cisco Talos ยังสังเกตเห็นโมดูลการบันทึกคีย์และการจับภาพหน้าจอที่เชื่อมโยงกับ OtterCookie ซึ่งเน้นถึงความเสี่ยงที่กว้างขึ้นต่อบุคคลที่เกี่ยวข้องกับข้อเสนองานปลอม โมดูลนี้บันทึกการกดแป้นพิมพ์และจับภาพเดสก์ท็อปโดยอัตโนมัติและส่งไปยังเซิร์ฟเวอร์คำสั่งระยะไกล
การสังเกตนี้เน้นย้ำถึงการพัฒนาต่อเนื่องของกลุ่มผู้คุกคามที่สอดคล้องกับเกาหลีเหนือและการมุ่งเน้นไปที่เทคนิควิศวกรรมสังคมเพื่อประนีประนอมเป้าหมายที่ไม่สงสัย
บล็อกเชนใช้เป็นโครงสร้างคำสั่ง
Google’s Threat Intelligence Group (GTIG) ได้ระบุการดำเนินการโดยผู้กระทำที่เชื่อมโยงกับเกาหลีเหนือชื่อ UNC5342 กลุ่มนี้ใช้ มัลแวร์ใหม่ชื่อ EtherHiding เครื่องมือนี้ซ่อน payload ของ JavaScript ที่เป็นอันตรายบนบล็อกเชนสาธารณะ เปลี่ยนให้เป็นเครือข่ายคำสั่งและควบคุม (C2) แบบกระจาย
โดยการใช้บล็อกเชน ผู้โจมตีสามารถเปลี่ยนพฤติกรรมของมัลแวร์จากระยะไกลโดยไม่ต้องใช้เซิร์ฟเวอร์แบบดั้งเดิม การยึดครองโดยหน่วยงานบังคับใช้กฎหมายจึงยากขึ้นมาก นอกจากนี้ GTIG รายงานว่า UNC5342 ใช้ EtherHiding ในแคมเปญวิศวกรรมสังคมชื่อ Contagious Interview ซึ่งเคยถูกระบุโดย Palo Alto Networks แสดงให้เห็นถึงความต่อเนื่องของผู้คุกคามที่สอดคล้องกับเกาหลีเหนือ
โจมตีผู้หางานเพื่อขโมยคริปโตและข้อมูล
ตามที่นักวิจัยของ Google ระบุ การดำเนินการทางไซเบอร์เหล่านี้มักเริ่มต้นด้วย การโพสต์งานปลอม ที่มุ่งเป้าไปที่มืออาชีพในอุตสาหกรรมสกุลเงินดิจิทัลและความปลอดภัยทางไซเบอร์ เหยื่อถูกเชิญให้เข้าร่วมการประเมินปลอม ซึ่งพวกเขาถูกสั่งให้ ดาวน์โหลดไฟล์ที่ฝังโค้ดที่เป็นอันตราย
กระบวนการติดเชื้อมักเกี่ยวข้องกับหลายครอบครัวของ มัลแวร์ รวมถึง JadeSnow, BeaverTail และ InvisibleFerret พวกเขาทำให้ผู้โจมตีสามารถเข้าถึงระบบ ขโมยข้อมูลประจำตัว และติดตั้งแรนซัมแวร์ได้อย่างมีประสิทธิภาพ เป้าหมายสุดท้ายมีตั้งแต่การจารกรรมและการขโมยทางการเงินไปจนถึงการแทรกซึมเครือข่ายในระยะยาว
Cisco และ Google ได้เผยแพร่ตัวบ่งชี้การถูกโจมตี (IOCs) เพื่อช่วยให้องค์กรตรวจจับและตอบสนองต่อภัยคุกคามทางไซเบอร์ที่เชื่อมโยงกับเกาหลีเหนือ ทรัพยากรเหล่านี้ให้รายละเอียดทางเทคนิคสำหรับการระบุพฤติกรรมที่เป็นอันตรายและลดความเสี่ยงจากการถูกโจมตี นักวิจัยเตือนว่าการผสานรวมบล็อกเชนและมัลแวร์แบบโมดูลาร์จะยังคงทำให้ความพยายามในการป้องกันความปลอดภัยทางไซเบอร์ทั่วโลกซับซ้อนขึ้น
