อาชญากรไซเบอร์ที่เชื่อมโยงกับกลุ่ม Lazarus ของเกาหลีเหนือได้เปิดตัวผู้เชี่ยวชาญด้านการหลอกลวง LinkedIn ที่มีการหลอกลวงในกลุ่ม cryptocurrency และเทคโนโลยี การปลอมตัวเป็นนายหน้าพวกเขาเสนอโอกาสในการทำงานปลอมเพื่อหลอกผู้ที่ตกเป็นเหยื่อการดาวน์โหลดมัลแวร์ที่ขโมยข้อมูลรับรองข้อมูลทางการเงินและสินทรัพย์ดิจิทัล
นักวิจัย bitdefender เปิดเผยโครงการหลังจากแฮ็กเกอร์ส่งงานที่ฉ้อโกง จากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของตนเองช่วยให้ บริษัท สามารถวิเคราะห์ห่วงโซ่การติดเชื้อหลายขั้นตอนของการโจมตี
มัลแวร์ที่ออกแบบมาเพื่อทำงานบน Windows, MacOS และ Linux สามารถขโมยข้อมูลรับรองเบราว์เซอร์ที่เก็บไว้ได้การทำธุรกรรม Cryptocurrency Hijack และรักษาการเข้าถึงระบบระยะยาว
แหล่งที่มา: BitDefender
หลังจากสร้างความน่าเชื่อถือผู้สรรหาจะให้ลิงก์ไปยังที่เก็บ GitHub ที่มีสิ่งที่อธิบายว่าเป็น”ผลิตภัณฑ์ที่มีชีวิตขั้นต่ำ”(MVP) ของโครงการของ บริษัท
ที่มา: bitdefender
การเรียกใช้โครงการทริกเกอร์การดำเนินการของรหัส JavaScript ที่เป็นอันตราย คุกกี้เซสชันและข้อมูลกระเป๋าเงินดิจิตอล cryptocurrency มัลแวร์จะส่งข้อมูลนี้ไปยังเซิร์ฟเวอร์ควบคุมผู้โจมตีทำให้สามารถใช้ประโยชน์จากผู้ใช้ LinkedIn และนักพัฒนาใน Reddit ได้รายงานการหลอกลวงที่คล้ายกัน Payloads H3>
การติดเชื้อไม่ได้หยุดที่การขโมยข้อมูลประจำตัวครั้งแรก mlip.py : ตรวจสอบกิจกรรมคลิปบอร์ดและแทนที่ที่อยู่ cryptocurrency ที่คัดลอกมาพร้อมกับที่อยู่กระเป๋าเงินที่ควบคุมโดยผู้โจมตี
– Pay.py: สแกนระบบสำหรับเอกสารทางการเงินสภาพแวดล้อมสภาพแวดล้อมสภาพแวดล้อมสภาพแวดล้อมสภาพแวดล้อมสภาพแวดล้อมสภาพแวดล้อมสภาพแวดล้อมสภาพแวดล้อมสภาพแวดล้อมสภาพแวดล้อม ตัวแปรและคีย์ส่วนตัวก่อนที่จะทำการลบล้างพวกเขาไปยังเซิร์ฟเวอร์คำสั่งและควบคุม (C2)
– Bow.py: สกัดรหัสผ่านที่บันทึกไว้ข้อมูลการชำระเงินและข้อมูลอัตโนมัติจาก AutoFill เบราว์เซอร์ยอดนิยมเช่น Chrome, Brave และ Edge.
เพื่อให้แน่ใจว่าการคงอยู่ในระยะยาว Payload ที่ใช้. NET จะปิดการใช้งาน Microsoft Defender, เปลี่ยนการตั้งค่าความปลอดภัยและสร้างช่องทางการสื่อสาร C2 ที่เข้ารหัส P>
ความซับซ้อนทางเทคนิคของการโจมตีนี้คล้ายกับการหาประโยชน์ก่อนหน้าของกลุ่ม Lazarus ซึ่งพวกเขาใช้ช่องโหว่ของ Windows Zero-Day เพื่อปิดใช้งานเครื่องมือรักษาความปลอดภัยและรักษาการเข้าถึงระบบขององค์กร: สนามล่าสัตว์ใหม่ของ Cybercriminals
การโจมตีทางวิศวกรรมทางสังคมที่กำหนดเป้าหมายผู้เชี่ยวชาญใน LinkedIn ได้เพิ่มขึ้นเนื่องจากอาชญากรไซเบอร์ยอมรับว่าผู้หางานมีแนวโน้มที่จะเปิดลิงก์และดำเนินการรหัสจากแหล่งที่เชื่อถือได้ โดยเฉพาะอย่างยิ่งกลุ่ม Lazarus ได้ใช้ประโยชน์จากแพลตฟอร์มเครือข่ายมืออาชีพซ้ำ ๆ เพื่อดำเนินการจารกรรมขององค์กรและการฉ้อโกงทางการเงิน
ก่อนหน้านี้กลุ่มได้เชื่อมโยงกับการโจมตี บริษัท cryptocurrency ผ่านหน่วยแฮ็คเกาหลีเหนืออื่น ๆ ในแคมเปญนั้นแฮ็กเกอร์หลอกผู้เชี่ยวชาญด้านการเงินให้เปิดเอกสารที่เป็นอันตรายซึ่งปลอมตัวเป็นรายงานการลงทุน
Lazarus ได้ใช้ประโยชน์จาก GitHub เป็นเวกเตอร์แจกจ่ายมัลแวร์ ด้วยการโฮสต์ payloads ที่เป็นอันตรายของพวกเขาในที่เก็บ GitHub ผู้โจมตีจะข้ามระบบตรวจจับฟิชชิ่งแบบดั้งเดิมที่ใช้อีเมล วิธีนี้ช่วยให้พวกเขาสามารถแจกจ่ายมัลแวร์ผ่านแพลตฟอร์มที่วิศวกรซอฟต์แวร์ไว้วางใจได้โดยเนื้อแท้
การเพิ่มขึ้นของเครื่องมือการทำงานร่วมกันบนคลาวด์ที่เพิ่มขึ้นทำให้แพลตฟอร์มเหล่านี้มีความเสี่ยงเป็นพิเศษ ใน 2022 นักวิจัยด้านความปลอดภัยได้ค้นพบแคมเปญ Lazarus แยกต่างหากซึ่งใช้การอัปเดต Windows เพื่อส่งมอบมัลแวร์ แสดงให้เห็นถึงความสามารถของกลุ่มในการใช้ประโยชน์จากระบบที่ถูกต้องตามกฎหมายเพื่อจุดประสงค์ที่เลวร้าย
Crypto และ Finance
การกำหนดเป้าหมายของนักพัฒนา cryptocurrency และนักวิเคราะห์ทางการเงินไม่ได้สุ่ม เกาหลีเหนือพึ่งพาการแฮ็คที่ได้รับการสนับสนุนจากรัฐเพื่อหลีกเลี่ยงการคว่ำบาตรระหว่างประเทศและสร้างรายได้ที่ผิดกฎหมาย การดำเนินงานของกลุ่ม Lazarus นั้นคาดว่าจะถูกขโมยไปหลายพันล้านดอลลาร์ในสกุลเงินดิจิตอลโดยมีหนึ่งในกรณีที่สูงที่สุดคือ $ 617 ล้าน Ronin Bridge Hack ในปี 2022
นอกเหนือจากการขโมยทางการเงินกลยุทธ์ของกลุ่มสอดคล้องกับความพยายามในการจารกรรมที่กว้างขึ้น รายงานได้ชี้ให้เห็นว่ากลุ่ม Lazarus ยังมีส่วนร่วมในการกำหนดเป้าหมายการป้องกัน บริษัท นิวเคลียร์และ บริษัท การบินและอวกาศโดยใช้การหลอกลวงการรับสมัครคล้ายกับการโจมตีของ LinkedIn ที่เห็นในภาคการเข้ารหัสลับ
กิจกรรมเหล่านี้ไม่ได้ถูกสังเกต. กระทรวงการคลังของสหรัฐอเมริกาได้ลงโทษหน่วยงานที่เชื่อมโยงกับกลุ่ม Lazarus ซ้ำ ๆ โดยระบุว่าการดำเนินงานทางไซเบอร์ของพวกเขาเป็นเงินทุนโดยตรงกับโครงการอาวุธของเกาหลีเหนือ
ในเดือนมีนาคม 2563 ชาวจีนสองคนถูกลงโทษ สำหรับการฟอก cryptocurrency ที่ถูกขโมยโดย กลุ่ม Lazarus เครื่องผสมสกุลเงินเสมือนจริงได้รับการลงโทษ สำหรับบทบาทในการประมวลผลเงินทุนที่ถูกขโมยโดยแฮกเกอร์เกาหลีเหนือ เงินสดพายุทอร์นาโดเครื่องผสม cryptocurrency อื่น ถูกลงโทษสำหรับการฟอกมากกว่า $ 455 ล้านที่ถูกขโมยโดยกลุ่ม Lazarus และล่าสุดในเดือนพฤศจิกายน 2566 คลังที่ถูกลงโทษ Sinbad.io ซึ่งเป็นเครื่องผสมสกุลเงินดิจิตอล ดอลลาร์จากการปล้นกลุ่ม Lazarus
ป้องกันการคุกคามไซเบอร์ที่ใช้การรับสมัคร
เนื่องจากผู้หางานต้องพึ่งพาเครือข่ายออนไลน์เพื่อโอกาสในการทำงาน เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีทางไซเบอร์ใน LinkedIn
นักวิจัยของ Bitdefender แนะนำให้ตรวจสอบข้อเสนองานผ่านเว็บไซต์ของ บริษัท อย่างเป็นทางการแทนที่จะพึ่งพาโปรไฟล์ LinkedIn เท่านั้น หากผู้สรรหาให้ที่เก็บ GitHub หรือการสาธิตซอฟต์แวร์ควรตรวจสอบในสภาพแวดล้อมแบบแซนด์บ็อกซ์หรือทำงานบนเครื่องเสมือนจริงก่อนที่จะดำเนินการ
องค์กรควรให้ความรู้แก่พนักงานเกี่ยวกับวิธีการมองเห็นกลยุทธ์ทางวิศวกรรมสังคม ขณะนี้ บริษัท หลายแห่งบังคับใช้นโยบายในการดำเนินการตามรหัสจากแหล่งที่ไม่ผ่านการตรวจสอบโดยเฉพาะอย่างยิ่งในภาคการพัฒนาซอฟต์แวร์และการเงิน
โปรไฟล์ผู้สรรหาผู้สรรหา AI ที่สร้างขึ้นได้ทำให้การต่อสู้กับการฉ้อโกงไซเบอร์มีความซับซ้อนมากขึ้น ผู้โจมตีบางคนใช้ headshots ที่สร้างจาก Deepfake และประวัติการทำงานที่ประดิษฐ์ขึ้นเพื่อสร้างความน่าเชื่อถือ ด้วยกลไกการตรวจสอบความถูกต้องทางสังคมเช่นการรับรองและการเชื่อมต่อซึ่งกันและกันโปรไฟล์การฉ้อโกงสามารถดูน่าเชื่อถืออย่างมากทำให้ยากที่จะแยกแยะความแตกต่างของนายหน้าที่แท้จริงจากอาชญากรไซเบอร์