พบแคมเปญการโจมตีใหม่ในชื่อ “Dev Popper” ซึ่งกำหนดเป้าหมายไปยัง software developers ด้วยการส่งนัดสัมภาษณ์งานปลอม โดยการส่ง job interview เพื่อให้เป้าหมายติดตั้ง Python Remote Access Trojan (RAT)
ซึ่ง developer จะถูกขอให้ทำสิ่งต่าง ๆ ระหว่างการสัมภาษณ์ เช่น การดาวน์โหลด และเรียกใช้โค้ดจาก GitHub เพื่อทำให้กระบวนการทั้งหมดดูปกติ แต่เป้าหมายของ Hacker คือการให้เป้าหมายทำการดาวน์โหลดซอฟต์แวร์ที่เป็นอันตรายซึ่งจะทำการรวบรวมข้อมูลของระบบ และเปิดใช้งานการเข้าถึงเครื่องจากระยะไกล
จากการวิเคราะห์ของของ Securonix ระบุว่า จากวิธีการโจมตีแคมเปญการโจมตีดังกล่าวน่าจะมีที่มาจาก Hacker ชาวเกาหลีเหนือ แม้ว่าข้อมูลอาจจะยังไม่เพียงพอที่จะสามารถระบุแหล่งที่มาได้
การโจมตีแบบ Multi-stage infection chain
การโจมตี “Dev Popper” เป็นรูปแบบ multi-stage infection chain โดยอาศัยวิธีการ social engineering ซึ่งออกแบบมาเพื่อหลอกลวงเป้าหมายผ่านกระบวนการอย่างต่อเนื่อง
Hacker เริ่มต้นการติดต่อโดยสวมรอยเป็นนายจ้างที่เสนอตำแหน่ง developer ซึ่งในระหว่างการสัมภาษณ์ ผู้สมัครจะถูกขอให้ดาวน์โหลด และเรียกใช้งาน present ที่เป็น standard coding task จาก GitHub repository
ตัวอย่างไฟล์ ZIP ที่มี NPM package ซึ่งมี README.md รวมถึง frontend และ backend directory
เมื่อ developer รัน NPM package ไฟล์ JavaScript ที่อันตราย (“imageDetails.js”) ที่ซ่อนอยู่ใน backend directory จะถูกเปิดใช้งาน โดยเรียกใช้คำสั่ง 'curl' ผ่าน Node.js process เพื่อดาวน์โหลดไฟล์เพิ่มเติม (“p.zi”) จากเซิร์ฟเวอร์ภายนอก
ภายในไฟล์คือเพย์โหลดสำหรับขั้นตอนถัดไป ซึ่งเป็นสคริปต์ Python ที่ใช้สร้างความสับสน (“npl”) ซึ่งทำหน้าที่เป็น RAT
เมื่อ RAT ทำงานบนระบบของเหยื่อ มันจะรวบรวมข้อมูล และส่งข้อมูลระบบพื้นฐานไปยัง command and control (C2) server ซึ่งรวมไปถึงประเภทของระบบปฏิบัติการ ชื่อโฮสต์ และข้อมูลเครือข่ายของเป้าหมาย
Securonix รายงานว่า RAT มีความสามารถดังต่อไปนี้ :
- การเชื่อมต่อแบบแฝงตัวในเครื่องของเป้าหมายเพื่อการควบคุมอย่างต่อเนื่อง
- เรียกใช้คำสั่ง File system เพื่อค้นหา และขโมยไฟล์ หรือข้อมูลเฉพาะ
- ความสามารถในการดำเนินการคำสั่งจากระยะไกลสำหรับการโจมตีเพิ่มเติม หรือเรียกใช้มัลแวร์
- ขโมยข้อมูล FTP โดยตรงจากโฟลเดอร์ที่มีชื่อน่าสนใจ เช่น ‘Documents’ และ ‘Downloads’
- การบันทึก Clipboard และการกดแป้นพิมพ์ เพื่อตรวจสอบการใช้งานของผู้ใช้ และการบันทึกข้อมูล credentials
แม้จะยังไม่รู้ว่า Hacker ได้ทำการโจมตีด้วย Dev Popper ไปมากแค่ไหน แต่กลยุทธ์ในการใช้เหยื่อล่อดังกล่าว ยังคงถูกใช้งานอย่างแพร่หลาย ดังนั้นจึงควรระมัดระวังความเสี่ยงในการถูกโจมตี
ทั้งนี้พบว่ากลุ่ม Hacker ชาวเกาหลีเหนือใช้กลยุทธ์ "fake job offer" ในการดำเนินงานหลายครั้งในช่วงหลายปีที่ผ่านมาเพื่อเข้าควบคุมเครื่องเป้าหมายบนแพลตฟอร์มต่าง ๆ
รวมถึงมีรายงานจำนวนมากในปี 2023 เกี่ยวกับกลุ่ม Hacker ชาวเกาหลีเหนือที่ใช้ "fake job offer" เพื่อติดต่อ และหลอกลวงนักวิจัยด้านความปลอดภัย องค์กรสื่อ นักพัฒนาซอฟต์แวร์ (โดยเฉพาะสำหรับแพลตฟอร์ม DeFi) หรือพนักงานของบริษัทการบิน และอวกาศ ซึ่งในการโจมตีแบบ spear-phishing attack กลุ่ม Hacker ชาวเกาหลีเหนือได้ปลอมตัวเป็นนักข่าวเพื่อรวบรวมข้อมูลจากนักวิจัย ศูนย์กลางการวิจัย และองค์กรวิชาการต่าง ๆ
ที่มา : bleepingcomputer
You must be logged in to post a comment.