กลุ่มแฮกเกอร์ UNC1069 ที่เชื่อมโยงกับเกาหลีเหนือ ได้ดำเนินการโจมตีภาคส่วนคริปโตเคอร์เรนซีอย่างต่อเนื่อง โดยใช้กลลวงทางวิศวกรรมสังคม (social engineering) ที่ซับซ้อน รวมถึงการใช้บัญชี Telegram ที่ถูกบุกรุก วิดีโอที่สร้างด้วย AI เพื่อล่อลวงเหยื่อ และการประชุม Zoom ปลอม เพื่อแพร่กระจายมัลแวร์หลายขั้นตอนลงบนระบบ Windows และ macOS เป้าหมายหลักคือการขโมยข้อมูลรับรอง, ข้อมูลเบราว์เซอร์ และทรัพย์สินทางการเงิน.
Severity: วิกฤต
System Impact:
- Windows systems
- macOS systems
- iCloud Keychain
- Google Chrome browser
- Brave browser
- Microsoft Edge browser
- Telegram application
- Apple Notes application
Technical Attack Steps:
- 1. การติดต่อเริ่มต้น: แฮกเกอร์ติดต่อเหยื่อผ่าน Telegram โดยแอบอ้างเป็นนักลงทุน (venture capitalists) หรือใช้บัญชีที่ถูกบุกรุกของบุคคลที่ถูกต้องตามกฎหมาย
- 2. การนัดหมายประชุมปลอม: ใช้ Calendly หรือลิงก์ที่ถูกปลอมแปลงใน Telegram เพื่อกำหนดเวลาการประชุม 30 นาทีปลอม
- 3. หน้าเว็บ Zoom ปลอม: เหยื่อคลิกลิงก์และถูกนำไปยังเว็บไซต์ปลอมที่เลียนแบบ Zoom (เช่น ‘zoom.uswe05[.]us’) พร้อมแจ้งให้เปิดกล้องและป้อนชื่อ
- 4. กลลวงวิดีโอ Deepfake/บันทึก: แสดงอินเทอร์เฟซการโทรวิดีโอปลอม โดยอาจใช้วิดีโอ deepfake หรือฟุตเทจเว็บแคมที่บันทึกไว้ก่อนหน้านี้ของเหยื่อรายอื่น เพื่อสร้างภาพลวงตาของการโทรสด
- 5. การส่งมัลแวร์ (ClickFix-style): มีข้อความแสดงข้อผิดพลาดเกี่ยวกับ ‘ปัญหาเสียง’ ปลอมปรากฏขึ้น กระตุ้นให้เหยื่อดาวน์โหลดและรันคำสั่งแก้ไขปัญหาแบบ ‘ClickFix’
- 6. การติดตั้ง Payload (macOS): สำหรับ macOS คำสั่งจะเรียกใช้ AppleScript ที่ติดตั้งไบนารี Mach-O ที่เป็นอันตรายชื่อ WAVESHAPER
- 7. การรวบรวมข้อมูลระบบและการติดตั้ง Downloader: WAVESHAPER รวบรวมข้อมูลระบบและติดตั้ง HYPERCALL (downloader ที่ใช้ Go)
- 8. การติดตั้ง Payload เพิ่มเติม (HYPERCALL): HYPERCALL ติดตั้ง: HIDDENCALL (แบ็คดอร์ Golang สำหรับเข้าถึงระบบ) ซึ่งจะติดตั้ง DEEPBREATH (ตัวขุดข้อมูล Swift) และ SUGARLOADER (downloader C++) ซึ่งจะติดตั้ง CHROMEPUSH
- 9. การขโมยข้อมูล (DEEPBREATH): DEEPBREATH จัดการฐานข้อมูล TCC ของ macOS เพื่อเข้าถึงระบบไฟล์ และขโมยข้อมูลรับรอง iCloud Keychain รวมถึงข้อมูลจาก Google Chrome, Brave, Microsoft Edge, Telegram และ Apple Notes
- 10. การขโมยข้อมูล (CHROMEPUSH): CHROMEPUSH (ส่วนขยายเบราว์เซอร์) ถูกติดตั้งบน Chrome และ Brave เพื่อบันทึกการกดแป้นพิมพ์ ตรวจจับการป้อนชื่อผู้ใช้และรหัสผ่าน และดึงคุกกี้เบราว์เซอร์
- 11. การติดตั้ง Backdoor (SILENCELIFT): SUGARLOADER ยังติดตั้ง SILENCELIFT (แบ็คดอร์ C/C++ แบบเรียบง่าย) เพื่อส่งข้อมูลระบบไปยังเซิร์ฟเวอร์ C2
Recommendations:
Short Term:
- ระมัดระวังอย่างสูงต่อข้อความที่ไม่พึงประสงค์ โดยเฉพาะที่เกี่ยวข้องกับโอกาสทางการเงิน หรือที่ต้องดาวน์โหลดซอฟต์แวร์ แม้จากผู้ติดต่อที่ดูน่าเชื่อถือ (เนื่องจากอาจเป็นบัญชีที่ถูกบุกรุก)
- ตรวจสอบการนัดหมายประชุมและ URL โดยตรงกับผู้ส่งผ่านช่องทางการสื่อสารอื่นที่เชื่อถือได้ (ไม่ใช่ผ่านลิงก์ในข้อความนั้นๆ)
- ห้ามดาวน์โหลดหรือรันไฟล์ ‘แก้ไขปัญหา’ หรือ ‘SDK’ ใดๆ ที่แจ้งเตือนจากการประชุมออนไลน์หรือคำขอที่ไม่คาดคิด
- เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) ที่แข็งแกร่งสำหรับทุกบัญชี โดยเฉพาะแพลตฟอร์มคริปโตเคอร์เรนซีและอีเมล
- ตรวจสอบและเพิกถอนสิทธิ์สำหรับส่วนขยายเบราว์เซอร์และแอปพลิเคชันอย่างสม่ำเสมอ
- อัปเดตระบบปฏิบัติการและซอฟต์แวร์ทั้งหมด (รวมถึงเบราว์เซอร์และแอปการสื่อสาร) ให้เป็นเวอร์ชันล่าสุดเพื่อแก้ไขช่องโหว่
Long Term:
- ฝึกอบรมพนักงานทุกคนเกี่ยวกับความตระหนักด้านความปลอดภัยอย่างเข้มงวด โดยเน้นที่วิศวกรรมสังคม, ฟิชชิ่ง, การรับรู้วิดีโอ deepfake และความเสี่ยงที่เกี่ยวข้องกับคริปโตเคอร์เรนซี
- ติดตั้งและดูแลรักษาระบบ Endpoint Detection and Response (EDR) ขั้นสูงบนระบบ Windows และ macOS ทั้งหมด
- ใช้การกำหนดค่าเบราว์เซอร์ที่ปลอดภัยและพิจารณาเทคโนโลยีการแยกเบราว์เซอร์สำหรับกิจกรรมที่มีความเสี่ยงสูง
- ใช้การควบคุมการเข้าถึงที่เข้มงวดและหลักการสิทธิ์ขั้นต่ำ (Principle of Least Privilege)
- ดำเนินการตรวจสอบความปลอดภัยและการทดสอบการเจาะระบบเป็นประจำ
- พัฒนากลยุทธ์และฝึกซ้อมแผนการตอบสนองต่อเหตุการณ์ โดยเฉพาะสำหรับสถานการณ์การขโมยข้อมูลและการฉ้อโกงทางการเงิน
- ตรวจสอบทราฟฟิกเครือข่ายเพื่อหากิจกรรมที่ผิดปกติหรือการเชื่อมต่อไปยังเซิร์ฟเวอร์ C2 ที่รู้จัก
- ใช้โซลูชัน Identity and Access Management (IAM) ระดับองค์กรที่มีนโยบายการยืนยันตัวตนที่แข็งแกร่ง
Source: https://thehackernews.com/2026/02/north-korea-linked-unc1069-uses-ai.html
Share this content: