UNC1069 Hackers Attacking Finance Sector with New Tools and AI-Enabled Social Engineering

กลุ่มแฮกเกอร์เกาหลีเหนือ UNC1069 ได้เพิ่มความรุนแรงในการโจมตีภาคการเงินและสกุลเงินดิจิทัล โดยใช้มัลแวร์ใหม่และเทคโนโลยี AI เพื่อขโมยข้อมูลรับรอง (credentials) และข้อมูลเซสชัน (session data) กลุ่มนี้ทำงานมาตั้งแต่ปี 2018 และพัฒนาเทคนิคการโจมตีอย่างต่อเนื่อง จากการฟิชชิ่งทั่วไปเป็นการเจาะระบบที่มุ่งเป้าไปที่นักพัฒนาซอฟต์แวร์และบริษัทร่วมลงทุน การโจมตีล่าสุดของพวกเขามุ่งเน้นไปที่การรวบรวมข้อมูลสำคัญเพื่อการโจรกรรมทางการเงิน

Severity: สูง

System Impact:

• ภาคการเงิน
• ภาคสกุลเงินดิจิทัล
• นักพัฒนาซอฟต์แวร์
• บริษัทร่วมลงทุน
• ระบบคอมพิวเตอร์ที่ถูกบุกรุก
• กระเป๋าเงินดิจิทัล
• ข้อมูลระบุตัวตน

Technical Attack Steps:

1. เริ่มต้นการติดต่อผ่านแพลตฟอร์มส่งข้อความสำหรับมืออาชีพ (เช่น Telegram) โดยปลอมเป็นผู้สรรหาบุคลากรหรือผู้บริหารที่น่าเชื่อถือ
2. สร้างความไว้วางใจกับเหยื่อเป้าหมาย
3. นำเหยื่อไปยังการประชุมทางวิดีโอปลอมโดยใช้ลิงก์การประชุมที่ถูกปลอมแปลง
4. ใช้ Deepfake ที่สร้างโดย AI ของ CEO บริษัทระหว่างการโทรเพื่อเพิ่มความน่าเชื่อถือของการหลอกลวง
5. จำลองปัญหาเสียงทางเทคนิคระหว่างการประชุมปลอม
6. หลอกลวงเหยื่อด้วยเทคนิค ‘ClickFix’ โดยบังคับให้เหยื่อเข้าสู่เว็บไซต์ที่เป็นอันตรายเพื่อแก้ไขปัญหา
7. หลอกให้เหยื่อคัดลอกและรันคำสั่ง Terminal ที่ให้มาบนเว็บไซต์ที่เป็นอันตราย โดยอ้างว่าจะแก้ไขข้อผิดพลาด
8. คำสั่งที่ถูกรันจะดาวน์โหลดและติดตั้งมัลแวร์เริ่มต้น (WAVESHAPER หรือ SUGARLOADER) อย่างลับๆ
9. มัลแวร์จะสร้างการเชื่อมต่อไปยัง Command-and-Control (C2) Server ของผู้โจมตี และปรับใช้เครื่องมือเก็บข้อมูลเพิ่มเติม เช่น CHROMEPUSH หรือ DEEPBREATH เพื่อขโมยข้อมูลรับรอง, Session Token และข้อมูลเบราว์เซอร์

Recommendations:

Short Term:

• ระวังการติดต่อจากผู้ที่ไม่รู้จักหรือไม่คาดคิด โดยเฉพาะบนแพลตฟอร์มโซเชียลมืออาชีพ
• ตรวจสอบความถูกต้องของลิงก์การประชุมและผู้เข้าร่วมอย่างระมัดระวัง
• ห้ามรันคำสั่ง Terminal ที่ไม่รู้จักหรือไม่น่าเชื่อถือที่ได้รับจากแหล่งภายนอก หรือจากการแนะนำในสถานการณ์ที่น่าสงสัย
• ใช้โซลูชันป้องกันมัลแวร์และอัปเดตอย่างสม่ำเสมอ
• เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับทุกบัญชี

Long Term:

• ให้การฝึกอบรมพนักงานเกี่ยวกับการตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ โดยเน้นเรื่อง Social Engineering, Deepfake และการตรวจสอบความถูกต้องของข้อมูล
• ใช้โซลูชันตรวจจับและตอบสนองต่อภัยคุกคามบน Endpoint (EDR) เพื่อตรวจจับและบล็อกมัลแวร์ขั้นสูง
• ใช้การตรวจสอบสิทธิ์แบบ Zero Trust และควบคุมการเข้าถึงระบบที่สำคัญ
• สำรองข้อมูลสำคัญอย่างสม่ำเสมอและตรวจสอบแผนการกู้คืนข้อมูล
• ตรวจสอบบันทึกกิจกรรมเครือข่ายและระบบอย่างต่อเนื่องเพื่อหาสัญญาณของการบุกรุก
• อัปเดตซอฟต์แวร์และระบบปฏิบัติการให้เป็นปัจจุบันอยู่เสมอ

Source: https://cybersecuritynews.com/unc1069-hackers-attacking-finance-sector-with-new-tools/