กลุ่มแฮกเกอร์ Lazarus (หรือที่รู้จักกันในชื่อ HIDDEN COBRA) ซึ่งมีความเชื่อมโยงกับเกาหลีเหนือ ได้เปิดฉากโจมตีครั้งใหม่ในชื่อ ‘Operation DreamJob’ ตั้งแต่ปลายเดือนมีนาคม 2025 โดยมีเป้าหมายที่บริษัทผู้ผลิตโดรนและผู้รับเหมาด้านกลาโหมในยุโรป โดยเฉพาะอย่างยิ่งในยุโรปกลางและตะวันออกเฉียงใต้ เพื่อขโมยเทคโนโลยีอากาศยานไร้คนขับ (UAV) การโจมตีนี้เป็นส่วนหนึ่งของความพยายามเชิงกลยุทธ์ของเกาหลีเหนือในการเร่งพัฒนาโครงการโดรนของตนเอง.
Severity: วิกฤต
System Impact:
- บริษัทผู้ผลิตโดรนในยุโรป
- ผู้รับเหมาด้านกลาโหมในยุโรป
- องค์กรที่พัฒนาเทคโนโลยีอากาศยานไร้คนขับ (UAV)
- ระบบที่ถูกบุกรุกโดยมัลแวร์ประเภท Remote Access Trojan (RAT) เช่น ScoringMathTea
Technical Attack Steps:
- Initial Access: การโจมตีเริ่มต้นด้วยวิศวกรรมสังคม (Social Engineering) โดยใช้การเสนอตำแหน่งงานปลอมเพื่อหลอกให้พนักงานดาวน์โหลดเอกสารที่เป็นโทรจัน (trojanized documents).
- Execution & Persistence: ใช้เทคนิค DLL side-loading โดยอาศัยแอปพลิเคชัน Windows ที่ถูกกฎหมายโหลดไลบรารีที่เป็นอันตราย (malicious libraries) มัลแวร์ถูกฝังในซอฟต์แวร์โอเพนซอร์ส เช่น TightVNC Viewer, MuPDF reader, และปลั๊กอิน WinMerge หนึ่งใน droppers มีชื่อไฟล์ภายในว่า DroneEXEHijackingLoader.dll ซึ่งบ่งชี้เป้าหมายการโจมตีเทคโนโลยีโดรน.
- Payload Delivery: เพย์โหลดหลักที่ใช้คือ ScoringMathTea ซึ่งเป็น Remote Access Trojan (RAT) ที่ให้อำนาจควบคุมเครื่องที่ถูกบุกรุกได้อย่างสมบูรณ์.
- Evasion: ScoringMathTea สามารถเข้ารหัสตัวเองบนดิสก์และจะถอดรหัสในหน่วยความจำระหว่างการทำงานเท่านั้น ทำให้การตรวจจับด้วยวิธีการแบบไฟล์เป็นไปได้ยากโดยไม่มีการตรวจสอบพฤติกรรมขั้นสูง.
Recommendations:
Short Term:
- แจ้งเตือนพนักงานเกี่ยวกับกลยุทธ์วิศวกรรมสังคม โดยเฉพาะอย่างยิ่งข้อเสนอตำแหน่งงานปลอม
- ใช้มาตรการจัดการอีเมลและเอกสารอย่างเข้มงวด
- ดำเนินการวิเคราะห์ทางนิติวิทยาศาสตร์ (forensic analysis) ทันทีบนระบบที่อาจตกเป็นเป้าหมายหรือแสดงกิจกรรมที่น่าสงสัย เพื่อค้นหาร่องรอยของ DLL side-loading หรือ RAT
- ตรวจสอบบันทึกเครือข่าย (network logs) เพื่อหาร่องรอยการเชื่อมต่อ Command & Control (C2) ที่น่าสงสัย
- อัปเดตลายเซ็นของโปรแกรมป้องกันไวรัส (antivirus) และ Endpoint Detection and Response (EDR) และตรวจสอบให้แน่ใจว่าการตรวจสอบพฤติกรรมทำงานอยู่
Long Term:
- เสริมสร้างการฝึกอบรมความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ของพนักงาน โดยเน้นที่การฟิชชิ่งและวิศวกรรมสังคม
- ปรับใช้โซลูชัน EDR ที่แข็งแกร่งซึ่งมีความสามารถในการวิเคราะห์พฤติกรรมขั้นสูง
- บังคับใช้การทำ Whitelisting ของแอปพลิเคชันเพื่อป้องกันการรันซอฟต์แวร์ที่ไม่ได้รับอนุญาต
- แพตช์และอัปเดตซอฟต์แวร์ ระบบปฏิบัติการ และเฟิร์มแวร์ทั้งหมดอย่างสม่ำเสมอ
- ใช้การควบคุมการเข้าถึงที่เข้มงวด (หลักการสิทธิ์น้อยที่สุด – least privilege, การยืนยันตัวตนแบบหลายปัจจัย – MFA)
- พัฒนาและทดสอบแผนการตอบสนองต่อเหตุการณ์ (incident response plan) โดยเฉพาะสำหรับการจารกรรมทางไซเบอร์ที่ซับซ้อน
Source: https://cybersecuritynews.com/lazarus-hackers-actively-attacking-european-drone/
Share this content: