นักวิจัยด้านความปลอดภัยของ Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยรายงานการพบกลุ่ม Hacker ชาวเกาหลีเหนือในชื่อ APT43 ที่เพิ่งถูกค้นพบ ได้มีการโจมตีโดยมีเป้าหมายไปยัง องค์กรรัฐบาล นักวิชาการ และศูนย์วิจัย ในสหรัฐอเมริกา ยุโรป ญี่ปุ่น และเกาหลีใต้ตั้งแต่ปี 2018
APT43 เป็นกลุ่มผู้โจมตีทางไซเบอร์ ที่มีเป้าหมายในการโจมตีเป็นการเรียกเงินค่าไถ่จากเหยื่อ รวมไปถึงยังพบว่ากลุ่ม APT 43 มีความเกี่ยวข้อง และได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ เนื่องจากเป้าหมายในโจมตีมีความสอดคล้องกับเป้าหมายทางภูมิรัฐศาสตร์ของรัฐบาลเกาหลีเหนือ ของ North Korean Reconnaissance General Bureau (RGB) ซึ่งเป็นหน่วยข่าวกรองต่างประเทศ โดยค้นพบการโจมตีมาตั้งแต่ปี 2018
การโจมตีของกลุ่ม APT43
กลุ่ม APT43 เริ่มต้นการโจมตีโดยการใช้ phishing email ที่ปลอมแปลงเป็นบุคล หรือหน่วยงานที่เกี่ยวข้อง เพื่อให้เป้าหมายทำการกรอกข้อมูลบัญชีลงไปในเว็บไซต์ของ Hacker เพื่อขโมยข้อมูล หลังจากที่ได้ข้อมูลบัญชีแล้ว ก็จะนำข้อมูลเหล่านั้นไปทำการโจมตี phishing email ต่อไปภายในระบบของเป้าหมาย ด้วยข้อมูลรายชื่อที่ได้มา
โดยกลุ่ม APT43 ได้มุ่งเป้าหมายการโจมตีหลักไปทีฐานข้อมูลที่พัฒนา และจัดเก็บภายในกองทัพ และรัฐบาลสหรัฐฯ ฐานอุตสาหกรรมกลาโหม (DIB) และนโยบายการวิจัย และความมั่นคงที่พัฒนาโดยสถาบันการศึกษา และศูนย์วิจัยในสหรัฐฯ ที่มุ่งเน้นนโยบายความมั่นคงนิวเคลียร์ นอกจากนี้ยังพบการมุ่งเป้าหมายไปที่อุตสาหกรรมที่คล้ายคลึงกันในเกาหลีใต้ โดยเฉพาะองค์กรไม่แสวงหากำไร และมหาวิทยาลัยที่มุ่งเน้นไปที่นโยบายระดับโลก และระดับภูมิภาค เช่นเดียวกับภาคธุรกิจ เช่น การผลิต ที่สามารถให้ข้อมูลเกี่ยวกับสินค้าที่ถูกจำกัดการส่งออกไปยังเกาหลีเหนือ เช่น อาวุธ ยานพาหนะสำหรับการขนส่ง เครื่องจักร เชื้อเพลิง และโลหะ
รวมถึงนักวิจัยได้ตั้งข้อสังเกตุถึงการเปลี่ยนเป้าหมายการโจมตีของ APT43 ไปยังสำนักงานรัฐบาล องค์กรทางการทูต องค์กรด้านการวิจัย มหาวิทยาลัยที่จ้างศาสตราจารย์ที่เชี่ยวชาญในเรื่องคาบสมุทรเกาหลี และองค์กรสำคัญอื่น ๆ ในเกาหลีใต้ สหรัฐอเมริกา ยุโรป และญี่ปุ่น อีกด้วย
แหล่งเงินทุนของกลุ่ม APT43
Mandiant พบว่ากลุ่ม APT43 ได้ใช้แอปพลิเคชันที่เป็นอันตรายบน Android ซึ่งได้กำหนดเป้าหมายไปยังผู้ใช้งานชาวจีนที่ต้องการรับเงินกู้ cryptocurrency และ cryptocurrency ที่ได้จากการโจมตีทางไซเบอร์
โดยกลุ่ม APT43 จะทำการนำ cryptocurrency ที่ได้จากการโจมตีทางไซเบอร์ ไปทำการฟอกผ่านการให้เช่าแฮช และบริการขุดบนคลาวด์โดยใช้นามแฝง ที่อยู่ และวิธีการชำระเงิน เพื่อไม่ให้สามารถตรวจสอบย้อนกลับที่มาของ cryptocurrency ได้ ซึ่งเป็นวิธีการหาเงินทุนแบบเดียวกับ Hacker กลุ่มอื่น ๆ ของเกาหลีเหนือที่ใช้กัน
ความเกี่ยวข้องของ Malware ที่ใช้โดยกลุ่ม APT43
นักวิจัยได้ค้นพบการโจมตีของกลุ่ม APT43 ในอดีต ซึ่งส่วนใหญ่เกิดจากมัลแวร์ Kimsuky หรือ Thalium โดยพบว่าในช่วงการระบาดของ COVID-19 กลุ่มแฮ็กเกอร์ Lazarus ก็ได้ใช้มัลแวร์ดังกล่าวเช่นกัน รวมไปถึงกลุ่ม Lonejogger ที่เกี่ยวข้องกับ UNC1069 ซึ่งน่าจะเกี่ยวข้องกับ APT38 เช่นเดียวกัน
นอกจากนี้ยังพบว่า กลุ่ม APT43 ได้ใช้มัลแวร์ที่สร้างขึ้นเอง เช่น downloader ในชื่อ Pencildown, Pendown,Venombite, Egghatch ชุดเครื่องมือโจมตีในชื่อ Logcabin, Lateop (BabyShark) และ backdoor ในชื่อ Hangman รวมถึงใช้มัลแวร์ที่เปิดเผยต่อสาธารณะ เช่น gh0st RAT, QuasarRAT และ Amadey
ที่มา : bleepingcomputer
You must be logged in to post a comment.