กลุ่มแฮกเกอร์เกาหลีเหนือได้เปิดตัวแคมเปญโจมตีแบบเฉพาะเจาะจง โดยใช้เทคนิควิดีโอที่สร้างโดย AI และเทคนิค ClickFix เพื่อส่งมัลแวร์ทั้งสำหรับ macOS และ Windows ไปยังเป้าหมายในภาคส่วนสกุลเงินดิจิทัล เป้าหมายหลักคือการขโมยเงินคริปโตและข้อมูลเพื่อใช้ในการโจมตีแบบ Social Engineering ในอนาคต
Severity: สูง
System Impact:
- macOS (ระบบปฏิบัติการ)
- Windows (ระบบปฏิบัติการ)
- ภาคส่วนสกุลเงินดิจิทัล (Cryptocurrency sector)
- บริษัท Fintech
- อุตสาหกรรม Web3 (การแลกเปลี่ยนแบบรวมศูนย์, นักพัฒนา, กองทุนร่วมลงทุน)
- บริการทางการเงิน
- โครงสร้างพื้นฐานด้านการชำระเงิน, นายหน้าซื้อขายหลักทรัพย์ และกระเป๋าเงินดิจิทัล
Technical Attack Steps:
- แฮกเกอร์ติดต่อเหยื่อผ่านบริการส่งข้อความ Telegram โดยใช้บัญชีที่ถูกบุกรุกของผู้บริหารบริษัทคริปโตเคอร์เรนซี
- หลังจากสร้างความสัมพันธ์ เหยกเกอร์ได้แชร์ลิงก์ Calendly ซึ่งนำเหยื่อไปยังหน้าการประชุม Zoom ปลอมบนโครงสร้างพื้นฐานของแฮกเกอร์
- ในระหว่าง ‘การประชุม’ แฮกเกอร์ได้แสดงวิดีโอ Deepfake ของ CEO ของบริษัทคริปโตเคอร์เรนซีอีกแห่งหนึ่ง
- แฮกเกอร์ใช้ข้ออ้างว่ามี ‘ปัญหาด้านเสียง’ และแนะนำให้เหยื่อแก้ไขปัญหาโดยใช้คำสั่งที่แสดงบนหน้าเว็บ
- คำสั่งบนหน้าเว็บถูกออกแบบมาสำหรับทั้ง Windows และ macOS เพื่อเริ่มต้นการโจมตี
- บน macOS มีการเรียกใช้ AppleScript ตามด้วยการปรับใช้ไบนารี Mach-O ที่เป็นอันตราย (เนื้อหาเพย์โหลดไม่สามารถกู้คืนได้)
- ในขั้นตอนถัดไป แฮกเกอร์ได้เรียกใช้มัลแวร์ถึงเจ็ดตระกูลที่แตกต่างกัน เพื่อวัตถุประสงค์ต่างๆ เช่น การสร้างแบ็คดอร์, การดาวน์โหลดเพย์โหลดเพิ่มเติม, การขโมยข้อมูลสำคัญ, ข้อมูลประจำตัว, ข้อมูลเบราว์เซอร์, และการบันทึกการกดแป้นพิมพ์รวมถึงการจับภาพหน้าจอ
Recommendations:
Short Term:
- ระมัดระวังการติดต่อผ่าน Social Engineering โดยเฉพาะจากแหล่งที่ไม่คุ้นเคย หรือจากบัญชีที่ดูน่าเชื่อถือแต่มีพฤติกรรมผิดปกติ
- ตรวจสอบความถูกต้องของลิงก์และเว็บไซต์ก่อนคลิกหรือดาวน์โหลดไฟล์ใดๆ
- หลีกเลี่ยงการรันคำสั่งจากแหล่งที่ไม่น่าเชื่อถือ หรือจากหน้าเว็บที่มีข้อสงสัย
- ใช้งานและอัปเดตโซลูชัน Endpoint Detection and Response (EDR) หรือ Antivirus/Anti-malware อย่างสม่ำเสมอ
- ให้ความรู้แก่พนักงานและผู้ใช้งานเกี่ยวกับภัยคุกคาม Deepfake และ Social Engineering ที่มีความซับซ้อน
Long Term:
- นำระบบ Multi-Factor Authentication (MFA) มาใช้กับทุกบัญชี โดยเฉพาะบัญชีที่มีสิทธิ์เข้าถึงข้อมูลสำคัญ
- จัดการฝึกอบรมด้านความปลอดภัยทางไซเบอร์อย่างสม่ำเสมอ โดยเน้นเรื่อง Social Engineering, Deepfake, Phishing และ Spear-Phishing
- ใช้หลักการ Zero Trust สำหรับการเข้าถึงระบบและข้อมูลทั้งหมด เพื่อลดความเสี่ยงจากการเข้าถึงที่ไม่ได้รับอนุญาต
- ทำการสำรองข้อมูลสำคัญอย่างสม่ำเสมอและตรวจสอบความสามารถในการกู้คืนข้อมูลเพื่อให้แน่ใจว่าสามารถรับมือกับสถานการณ์ฉุกเฉินได้
- อัปเดตแพตช์ระบบปฏิบัติการและซอฟต์แวร์ทั้งหมดให้เป็นปัจจุบันอยู่เสมอ เพื่อปิดช่องโหว่ที่แฮกเกอร์อาจใช้โจมตี
- ติดตามข่าวสารภัยคุกคามและพฤติกรรมของกลุ่มแฮกเกอร์อย่างต่อเนื่อง เพื่อปรับปรุงมาตรการป้องกันให้ทันสมัย
- พิจารณาใช้เครื่องมือตรวจจับและป้องกันภัยคุกคามขั้นสูง โดยเฉพาะสำหรับแพลตฟอร์ม macOS ในองค์กรที่ใช้งาน
Share this content: