North Korean Hackers Used ‘Torisma’ Spyware in Job Offers-based Attacks

กลุ่มแฮกเกอร์เกาหลีเหนือใช้ Spyware ชนิดใหม่ Torisma ทำการโจมตีผู้ใช้โดยการแนบไปกับอีเมลรับสมัครงาน

นักวิจัยด้านความปลอดภัย Christiaan Beek และ Ryan Sherstibitoff จาก McAfee ได้เปิดเผยถึงแคมเปญการปฏิบัติการทางไซเบอร์ใหม่และมีการเชื่อมโยงกับกลุ่ม Hidden Cobra ซึ่งเป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือและใช้โค้ดเนมการปฏิบัติการว่า "Operation North Star”

แคมเปญ Operation North Star เป็นแคมเปญการโจมตีและการสอดแนมเหยื่อที่เป็นเป้าหมาย โดยการโจมตีนี้ถูกกำหนดเป้าหมายเป็น IP address ของผู้ให้บริการ Internet service providers (ISP) ในประเทศออสเตรเลีย, อิสราเอล, รัสเซียและผู้ให้บริการการป้องกันประเทศที่อยู่ในรัสเซียและอินเดีย โดยเครื่องมือที่ถูกใช้นั้นเป็น Spyware ที่ยังไม่เคยตรวจพบมาก่อนซึ่งมีชื่อว่า “Torisma”

จากการวิเคราะห์เบื้องต้นของ McAfee ชี้ให้เห็นว่ากลุ่มเฮกเกอร์ได้ใช้ประโยชน์จากเว็บไซต์ job recruitment ที่เป็นที่ยอดนิยมในสหรัฐฯ และอิตาลีทำการโจมตีในลักษณะ spear phishing โดยส่งอีเมลเพื่อล่อลวงเหยื่อให้เปิดไฟล์แนบภายในอีเมล ภายในไฟล์จะมีโค้ดที่ใช้ดำเนินการต่อเพื่อประเมินข้อมูลระบบของเหยื่อเช่น วันที่, ที่อยู่ IP, User-Agent เป็นต้น จากนั้นจะทำการตรวจเช็ค IP ที่เป็นเป้าหมายกลับ IP ผู้ที่ตกเป็นเป้าหมาย ถ้าหากตรงกัน กลุ่มเฮกเกอร์จะทำการติดตั้งมัลแวร์ Torisma เพื่อใช้ในการสอดแนมเหยื่อ

ทั้งนี้กลุ่มเเฮกเกอร์ยังใช้โดเมนของเว็บไซต์การประมูล, เว็บไซต์บริษัทการพิมพ์ และ เว็บไซต์บริษัทฝึกอบรมด้านไอทีในการส่งอีเมล spear-phishing เพื่อหลีกเลี่ยงการตรวจจับมาตรการรักษาความปลอดภัยของบางองค์กรได้อีกด้วย

ผู้ใช้ควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการคลิกลิงก์และเปิดไฟล์แนบในอีเมลเพื่อป้องกันการฟิชชิ่งด้วยอีเมล

ที่มา: thehackernews