Microsoft รายงานการพบกลุ่ม Hacker จากเกาหลีเหนือในชื่อ Moonstone Sleet ได้นำเพย์โหลดของ Qilin ransomware ไปใช้ในการโจมตีเป้าหมายอย่างต่อเนื่อง
ผู้เชี่ยวชาญด้านภัยคุกคามของ Microsoft สังเกตเห็น Moonstone Sleet ได้ติดตั้ง Qilin ransomware ในองค์กรเป้าหมายตั้งแต่ช่วงปลายเดือนกุมภาพันธ์ 2025 โดยที่ก่อนหน้านี้ได้ใช้ ransomware ของตัวเองในการโจมตี ซึ่งเป็นครั้งแรกที่ Moonstone Sleet ใช้ ransomware จากกลุ่ม Ransomware as a Service
ก่อนหน้านี้ Moonstone Sleet ถูกติดตามในชื่อ Storm-1789 โดยกิจกรรมของกลุ่มนี้เชื่อมโยงกับกลุ่ม Hacker อื่น ๆ จากเกาหลีเหนือ เช่น Diamond Sleet และ Onyx Sleet อย่างไรก็ตาม ต่อมากลุ่มนี้ได้เปลี่ยนมาใช้กลยุทธ์, เครื่องมือ และโครงสร้างพื้นฐานการโจมตีของตนเอง
Microsoft ระบุว่า กลุ่ม Moonstone Sleet กำลังมุ่งเป้าหมายการโจมตีไปยังองค์กรทางการเงิน โดยใช้ซอฟต์แวร์ที่เป็น trojan (เช่น PuTTY), custom malware loader, เกมที่เป็นอันตราย, npm packages และบริษัทพัฒนาซอฟต์แวร์ปลอม (เช่น CC Waterfall, StarGlow Ventures) ที่สร้างขึ้นเพื่อโต้ตอบกับเหยื่อบน LinkedIn, เครือข่ายฟรีแลนซ์ต่าง ๆ , Telegram หรือทางอีเมล์
นับตั้งแต่เปิดตัวในเดือนสิงหาคม 2022 ภายใต้ชื่อ "Agenda" กลุ่ม Qilin ransomware ได้เผยแพร่ข้อมูลที่มาจากการโจมตีเหยื่อไปแล้วกว่า 300 รายบน darkweb leak อย่างไรก็ตาม การปฏิบัติการแบบ Ransomware-as-a-Service (RaaS) แทบจะไม่ได้ถูกใช้งานเลย จนกระทั่งมีการโจมตีถึงจุดสูงสุดในช่วงเดือนธันวาคม 2023 กลุ่มพันธมิตรของ Qilin ได้เริ่มนำ advanced Linux encryptors ตัวหนึ่งมาใช้เพื่อกำหนดเป้าหมายการโจมตีไปยัง VMware ESXi virtual machines
จนถึงขณะนี้ BleepingComputer พบการเรียกค่าไถ่จาก Qilin ตั้งแต่ 25,000 ดอลลาร์ไปจนถึงหลายล้านดอลลาร์ ขึ้นอยู่กับขนาดของเหยื่อ โดย Qilin ได้เรียกค่าไถ่จากเหยื่อมากกว่า 310 รายนับตั้งแต่มีการค้นพบกลุ่มดังกล่าว รวมถึง Yangfeng ยักษ์ใหญ่ในอุตสาหกรรมยานยนต์, Lee Enterprises ผู้จัดพิมพ์หนังสือพิมพ์ของอเมริกา, Court Services Victoria ของออสเตรเลีย และ Synnovis ผู้ให้บริการด้านพยาธิวิทยา ซึ่งทำให้เกิดการหยุดให้บริการ และส่งผลกระทบต่อโรงพยาบาล NHS หลายแห่งในลอนดอน ซึ่งทำให้ต้องยกเลิกการผ่าตัด และการนัดหมายหลายร้อยรายการ
ในเดือนพฤษภาคม 2024 Microsoft ยังได้เชื่อมโยงกลุ่ม Moonstone Sleet เข้ากับกลุ่ม FakePenny หลังจากพบการโจมตีด้วย FakePenny ransomware สำเร็จ กลุ่ม Hacker จากเกาหลีเหนือถูกสังเกตเห็นว่าเรียกค่าไถ่เป็นเงิน 6.6 ล้านดอลลาร์ในรูปแบบ BTC
Moonstone Sleet ไม่ใช่กลุ่ม Hacker ที่ได้รับการสนับสนุนจากเกาหลีเหนือกลุ่มแรกที่มีความเชื่อมโยงกับการโจมตีด้วยแรนซัมแวร์ในช่วงไม่กี่ปีที่ผ่านมา ในเดือนพฤษภาคม 2017 รัฐบาลสหรัฐอเมริกาและสหราชอาณาจักรระบุว่า กลุ่ม Lazarus เป็นต้นเหตุของการโจมตี WannaCry ransomware ซึ่งเป็นต้นเหตุทำให้คอมพิวเตอร์ทั่วโลกเสียหายไปหลายแสนเครื่อง
หลายปีต่อมาในเดือนกรกฎาคม 2022 Microsoft และ FBI ได้เชื่อมโยงกลุ่ม Hacker ชาวเกาหลีเหนือเข้ากับกลุ่ม Holy Ghost ransomware และการโจมตี Maui ransomware ที่กำหนดเป้าหมายไปยังองค์กรด้านการดูแลสุขภาพ
ที่มา : bleepingcomputer
You must be logged in to post a comment.