กลุ่มแฮกเกอร์เกาหลีเหนือ UNC1069 ได้เพิ่มความรุนแรงในการโจมตีภาคการเงินและสกุลเงินดิจิทัล โดยใช้มัลแวร์ใหม่และเทคโนโลยี AI เพื่อขโมยข้อมูลรับรอง (credentials) และข้อมูลเซสชัน (session data) กลุ่มนี้ทำงานมาตั้งแต่ปี 2018 และพัฒนาเทคนิคการโจมตีอย่างต่อเนื่อง จากการฟิชชิ่งทั่วไปเป็นการเจาะระบบที่มุ่งเป้าไปที่นักพัฒนาซอฟต์แวร์และบริษัทร่วมลงทุน การโจมตีล่าสุดของพวกเขามุ่งเน้นไปที่การรวบรวมข้อมูลสำคัญเพื่อการโจรกรรมทางการเงิน
Severity: สูง
System Impact:
- ภาคการเงิน
- ภาคสกุลเงินดิจิทัล
- นักพัฒนาซอฟต์แวร์
- บริษัทร่วมลงทุน
- ระบบคอมพิวเตอร์ที่ถูกบุกรุก
- กระเป๋าเงินดิจิทัล
- ข้อมูลระบุตัวตน
Technical Attack Steps:
- เริ่มต้นการติดต่อผ่านแพลตฟอร์มส่งข้อความสำหรับมืออาชีพ (เช่น Telegram) โดยปลอมเป็นผู้สรรหาบุคลากรหรือผู้บริหารที่น่าเชื่อถือ
- สร้างความไว้วางใจกับเหยื่อเป้าหมาย
- นำเหยื่อไปยังการประชุมทางวิดีโอปลอมโดยใช้ลิงก์การประชุมที่ถูกปลอมแปลง
- ใช้ Deepfake ที่สร้างโดย AI ของ CEO บริษัทระหว่างการโทรเพื่อเพิ่มความน่าเชื่อถือของการหลอกลวง
- จำลองปัญหาเสียงทางเทคนิคระหว่างการประชุมปลอม
- หลอกลวงเหยื่อด้วยเทคนิค ‘ClickFix’ โดยบังคับให้เหยื่อเข้าสู่เว็บไซต์ที่เป็นอันตรายเพื่อแก้ไขปัญหา
- หลอกให้เหยื่อคัดลอกและรันคำสั่ง Terminal ที่ให้มาบนเว็บไซต์ที่เป็นอันตราย โดยอ้างว่าจะแก้ไขข้อผิดพลาด
- คำสั่งที่ถูกรันจะดาวน์โหลดและติดตั้งมัลแวร์เริ่มต้น (WAVESHAPER หรือ SUGARLOADER) อย่างลับๆ
- มัลแวร์จะสร้างการเชื่อมต่อไปยัง Command-and-Control (C2) Server ของผู้โจมตี และปรับใช้เครื่องมือเก็บข้อมูลเพิ่มเติม เช่น CHROMEPUSH หรือ DEEPBREATH เพื่อขโมยข้อมูลรับรอง, Session Token และข้อมูลเบราว์เซอร์
Recommendations:
Short Term:
- ระวังการติดต่อจากผู้ที่ไม่รู้จักหรือไม่คาดคิด โดยเฉพาะบนแพลตฟอร์มโซเชียลมืออาชีพ
- ตรวจสอบความถูกต้องของลิงก์การประชุมและผู้เข้าร่วมอย่างระมัดระวัง
- ห้ามรันคำสั่ง Terminal ที่ไม่รู้จักหรือไม่น่าเชื่อถือที่ได้รับจากแหล่งภายนอก หรือจากการแนะนำในสถานการณ์ที่น่าสงสัย
- ใช้โซลูชันป้องกันมัลแวร์และอัปเดตอย่างสม่ำเสมอ
- เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับทุกบัญชี
Long Term:
- ให้การฝึกอบรมพนักงานเกี่ยวกับการตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ โดยเน้นเรื่อง Social Engineering, Deepfake และการตรวจสอบความถูกต้องของข้อมูล
- ใช้โซลูชันตรวจจับและตอบสนองต่อภัยคุกคามบน Endpoint (EDR) เพื่อตรวจจับและบล็อกมัลแวร์ขั้นสูง
- ใช้การตรวจสอบสิทธิ์แบบ Zero Trust และควบคุมการเข้าถึงระบบที่สำคัญ
- สำรองข้อมูลสำคัญอย่างสม่ำเสมอและตรวจสอบแผนการกู้คืนข้อมูล
- ตรวจสอบบันทึกกิจกรรมเครือข่ายและระบบอย่างต่อเนื่องเพื่อหาสัญญาณของการบุกรุก
- อัปเดตซอฟต์แวร์และระบบปฏิบัติการให้เป็นปัจจุบันอยู่เสมอ
Source: https://cybersecuritynews.com/unc1069-hackers-attacking-finance-sector-with-new-tools/
Share this content: