Microsoft แจ้งเตือนกลุ่มแฮ็กเกอร์ BlueNoroff วางแผนการโจมตีเพื่อขโมยเงิน crypto ครั้งใหม่

Microsoft แจ้งเตือนกลุ่มแฮ็กเกอร์ BlueNoroff วางแผนการโจมตีเพื่อขโมยเงิน crypto ครั้งใหม่

Microsoft แจ้งเตือนกลุ่มแฮ็กเกอร์ BlueNoroff จากเกาหลีเหนือกำลังสร้างระบบในการโจมตีครั้งใหม่สำหรับแคมเปญ social engineering บน LinkedInกลุ่ม BlueNoroff (ถูกติดตามโดย Microsoft ในชื่อ Sapphire Sleet) ยังเคยมีประวัติการโจมตีเพื่อขโมย cryptocurrency ที่กำหนดเป้าหมายไปที่พนักงานภายในบริษัทที่เกี่ยวกับ cryptocurrency อีกด้วย

หลังจากเลือกเป้าหมายด้วยการติดต่อเบื้องต้นผ่านทาง LinkedIn กลุ่ม BlueNoroff จะพยายามติดตั้ง backdoor บนระบบของเป้าหมายด้วยการส่งมัลแวร์ที่ซ่อนอยู่ในเอกสารผ่านข้อความส่วนตัวบนโซเชียลเน็ตเวิร์กต่าง ๆ

ผู้เชี่ยวชาญด้านความปลอดภัยของ Microsoft Threat Intelligence ระบุว่า "กลุ่มแฮ็กเกอร์ที่ Microsoft ติดตามในชื่อ Sapphire Sleet ซึ่งเป็นที่รู้จักกันดีในการขโมย cryptocurrency ผ่านวิธีการ social engineering ได้สร้างเว็บไซต์ใหม่ในช่วงไม่กี่สัปดาห์ที่ผ่านมา เพื่อแอบอ้างเป็น skills assessment portals ซึ่งถือเป็นการเปลี่ยนแปลงกลยุทธ์ของกลุ่มแฮ็กเกอร์กลุ่มนี้"

Sapphire Sleet มักจะหาเป้าหมายบนแพลตฟอร์มโซเชียลมีเดียอย่าง LinkedIn และใช้เทคนิคการล่อลวงที่เกี่ยวข้องกับ skills assessment เมื่อติดต่อกับเป้าหมายได้สำเร็จแล้ว กลุ่มแฮ็กเกอร์จะย้ายการสื่อสารไปยังแพลตฟอร์มอื่น ๆ

ก่อนหน้านี้ แฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือกลุ่มนี้ เคยใช้ไฟล์แนบที่เป็นอันตรายโดยตรง หรือใช้ลิงก์ไปยังหน้าเว็บที่โฮสต์อยู่บนเว็บไซต์ที่ถูกต้อง เช่น GitHub

อย่างไรก็ตาม Microsoft เชื่อว่าการตรวจจับ และลบไฟล์ที่เป็นอันตรายของผู้โจมตีอย่างรวดเร็ว ได้กระตุ้นให้กลุ่ม BlueNoroff สร้างเว็บไซต์ของตัวเองเพื่อรองรับการโจมตีที่เป็นอันตราย

เว็บไซต์เหล่านี้ได้รับการป้องกันด้วยรหัสผ่านเพื่อป้องกันการวิเคราะห์ และปลอมตัวเป็น skills assessment portals โดยให้ผู้สมัครลงทะเบียนสำหรับการเข้าใช้งาน

BlueNoroff คือใคร

เมื่อต้นสัปดาห์นี้ นักวิจัยด้านความปลอดภัยของ Jamf Threat Labs ได้เชื่อมโยงกลุ่ม BlueNoroff กับมัลแวร์ ObjCShellz บน macOS ตัวใหม่ ที่ใช้ในการทำ backdoor บน Mac โดยการเปิด remote shells บนอุปกรณ์ที่ถูกโจมตี

ในช่วงไม่กี่ปีที่ผ่านมา Kaspersky ได้เชื่อมโยงกลุ่ม BlueNoroff กับการโจมตีหลายครั้งต่อบริษัท start-up ด้าน cryptocurrency และองค์กรการเงินทั่วโลก รวมถึงในสหรัฐอเมริกา, รัสเซีย, จีน, อินเดีย, สหราชอาณาจักร, ยูเครน, โปแลนด์, สาธารณรัฐเช็ก, สหรัฐอาหรับเอมิเรตส์, สิงคโปร์, เอสโตเนีย, เวียดนาม, มอลตา, เยอรมนี และฮ่องกง

นอกจากนี้ FBI ระบุว่ากลุ่มแฮ็กเกอร์ Lazarus และ BlueNoroff เป็นผู้โจมตีเครือข่าย Ronin ของ Axie Infinity ซึ่งถือเป็นการโจมตีระบบคริปโตเคอร์เรนซีที่มีมูลค่าสูงสุดในประวัติศาสตร์ โดยผู้โจมตีได้ขโมย Ethereum ออกไป 173,600 เหรียญ และ USDC tokens อีก 25.5 ล้านเหรียญ ซึ่งคิดเป็นมูลค่ากว่า 617 ล้านดอลลาร์

เมื่อสี่ปีที่แล้ว รายงานของสหประชาชาติ ระบุว่าแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ รวมถึง BlueNoroff ได้ขโมยเงินไปแล้วประมาณ 2 พันล้านดอลลาร์ ในการโจมตีทางไซเบอร์อย่างน้อย 35 ครั้ง ซึ่งมุ่งเป้าไปที่ธนาคาร และแพลตฟอร์มแลกเปลี่ยน cryptocurrency ในกว่าสิบสองประเทศ

ในปี 2019 กระทรวงการคลังสหรัฐฯ ได้ประกาศให้ลงโทษ BlueNoroff และกลุ่มแฮ็กเกอร์จากเกาหลีเหนืออีกสองกลุ่ม (Lazarus Group และ Andariel) เนื่องจากพบว่ามีการนำเงินที่ถูกขโมยไปยังรัฐบาลเกาหลีเหนือ

ที่มา : BLEEPINGCOMPUTER