Kimsuky กลุ่มแฮ็กเกอร์ที่มีความเชื่อมโยงกับรัฐบาลเกาหลีเหนือ มีส่วนเกี่ยวข้องกับการโจมตีครั้งใหม่ที่กำหนดเป้าหมายไปที่เจ้าหน้าที่มหาวิทยาลัย, นักวิจัย และศาสตราจารย์ เพื่อวัตถุประสงค์ในการรวบรวมข้อมูลข่าวกรอง
บริษัทด้านการรักษาความปลอดภัยทางไซเบอร์ Resilience ระบุว่าพบการดำเนินการดังกล่าวในช่วงปลายเดือนกรกฎาคม 2024 หลังจากสังเกตเห็น error ในที่เกิดจากการดำเนินการของแฮ็กเกอร์ (OPSEC)
กลุ่ม Kimsuky ซึ่งรู้จักกันในชื่อ APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail และ Velvet Chollima เป็นหนึ่งในกลุ่มผู้โจมตีทางไซเบอร์มากมายที่ปฏิบัติการภายใต้การกำกับดูแลของรัฐบาล และกองทัพเกาหลีเหนือ
นอกจากนี้ยังมีการเคลื่อนไหว โดยมักใช้แคมเปญฟิชชิ่งแบบเจาะจงเป้าหมาย ซึ่งเป็นจุดเริ่มต้นในการส่งชุดเครื่องมือที่อาจนำไปใช้ตรวจสอบ ขโมยข้อมูล และสร้างการเข้าถึงจากระยะไกลไปยังเครื่องที่ถูกโจมตีได้ โดยการโจมตีนี้มีลักษณะเฉพาะคือใช้เครื่องที่ถูกโจมตีเป็นโครงสร้างพื้นฐานในการจัดเตรียมเพื่อใช้เว็บเชลล์ Green Dinosaur ในการดำเนินการ
สิทธิ์การเข้าถึงที่ Green Dinosaur ทำได้นั้นจะถูกนำมาใช้เพื่อการอัปโหลดหน้าฟิชชิ่งที่สร้างขึ้นไว้ล่วงหน้า ซึ่งออกแบบมาเพื่อเลียนแบบพอร์ทัลการเข้าสู่ระบบที่ถูกกฎหมายของ Naver และมหาวิทยาลัยต่าง ๆ เช่น Dongduk University, Korea University และ Yonsei University โดยมีเป้าหมายเพื่อเข้าถึงข้อมูล credentials ของพวกเขา
หลังจากนั้นเหยื่อจะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์อื่นที่นำไปยังเอกสาร PDF ที่โฮสต์บน Google Drive โดยแอบอ้างว่าเป็นคำเชิญเข้าร่วมฟอรั่มนโยบายสถาบันการศึกษาเดือนสิงหาคมของมหาวิทยาลัย
นักวิจัยของ Resilience ระบุเพิ่มเติมว่า "นอกจากนี้ในเว็บไซต์ฟิชชิ่งของ Kimsuky ยังมีชุดเครื่องมือฟิชชิ่งแบบไม่เจาะจงเป้าหมาย เพื่อรวบรวมบัญชี Naver อีกด้วย"
"ชุดเครื่องมือนี้เป็นพร็อกซีที่คล้ายกับ Evilginx สำหรับการขโมยคุกกี้ และข้อมูล credentials จากผู้เยี่ยมชม และจะแสดงป๊อปอัปที่แจ้งให้ผู้ใช้ทราบว่า จำเป็นต้องเข้าสู่ระบบใหม่อีกครั้งเนื่องจากการสื่อสารกับเซิร์ฟเวอร์หยุดชะงัก"
การวิเคราะห์ยังช่วยให้เข้าใจเครื่องมือ PHPMailer ที่ถูกสร้างขึ้นเองโดย Kimsuky ที่เรียกว่า SendMail ซึ่งใช้ในการส่งอีเมลฟิชชิ่งไปยังเป้าหมายโดยใช้บัญชี Gmail และ Daum Mail
แนะนำให้เปิดการใช้งานการยืนยันตัวตนหลายขั้นตอน(MFA) เพื่อป้องกันการฟิชชิ่ง และตรวจสอบ URL ก่อนเข้าสู่ระบบทุกครั้ง
ที่มา : Thehackernews
You must be logged in to post a comment.