สำนักงานตำรวจแห่งชาติเกาหลีใต้ออกคำเตือนเร่งด่วนเกี่ยวกับกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือที่มุ่งเป้าไปที่หน่วยงานในอุตสาหกรรมการป้องกันประเทศเพื่อขโมยข้อมูลด้านเทคโนโลยีที่มีความสำคัญ (more…)
กลุ่มแฮ็กเกอร์ DPRK โจมตีผู้รับเหมาด้านกลาโหมของเกาหลีใต้
พบกลุ่ม Hacker ชาวเกาหลีเหนือใช้ Chrome extension ในการขโมย Gmail ของเป้าหมาย [EndUser]
สำนักงานปกป้องรัฐธรรมนูญแห่งสหพันธรัฐเยอรมัน (BfV) และหน่วยข่าวกรองแห่งชาติของสาธารณรัฐเกาหลี (NIS) แจ้งเตือนการพบการโจมตีของกลุ่ม Hacker ชาวเกาหลีเหนือที่รู้จักกันในชื่อ Kimsuky โดยการใช้ Chrome extension และแอปพลิเคชันใน Android เพื่อขโมยข้อมูล Gmail ของเป้าหมาย
Kimsuky (หรือที่รู้จักกันในชื่อ Thallium, Velvet Chollima) เป็นกลุ่ม Hacker จากเกาหลีเหนือที่มักใช้วิธีการ Phishing ในการโจมตีทางไซเบอร์ ซึ่งมีเป้าหมายการโจมตีไปยังนักการทูต นักข่าว หน่วยงานรัฐบาล อาจารย์มหาวิทยาลัย และนักการเมือง โดยเป้าหมายการโจมตีส่วนใหญ่อยู่ในเกาหลีใต้ แต่ต่อมาได้มีการกำหนดเป้าหมายเพิ่มเติมไปยังหน่วยงานในสหรัฐอเมริกา และยุโรป
การขโมยข้อมูล Gmail
การโจมตีจะเริ่มจากการส่ง Phishing Email เพื่อหลอกล่อให้เยื่อทำการติดตั้ง Chrome extension ที่เป็นอันตราย ซึ่งจะติดตั้งในเบราว์เซอร์ที่ใช้ Chromium base เช่น Microsoft Edge หรือ Brave ซึ่ง extension จะมีชื่อว่า 'AF' สามารถดูได้ในรายการ extension เมื่อทำการใส่ "(chrome|edge| Brave)://extensions" ในแถบของเบราว์เซอร์
ซึ่งเมื่อเหยื่อทำการเข้า Gmail ผ่านเบราว์เซอร์ extension จะเปิดใช้งานโดยอัตโนมัติเพื่อขโมยเนื้อหาอีเมลของเหยื่อ โดย extension บนเบราว์เซอร์นี้ถูกสร้างขึ้นด้วย devtools API (developer tools API) เพื่อส่งข้อมูลที่ถูกขโมยไปยัง relay server ของ Hacker โดยไม่จำเป็นต้องหลบหลีกการตรวจสอบ หรือการยืนยันตัวตน ซึ่งได้พบค่า hash จากไฟล์ที่เป็นอันตรายในการโจมตีครั้งล่าสุด คือ
012D5FFE697E33D81B9E7447F4AA338B (manifest.
เกาหลีเหนือใช้ประโยชน์จากช่องโหว่ VPN เพื่อแฮกสถาบันวิจัยนิวเคลียร์ของเกาหลีใต้
สถาบันวิจัยพลังงานปรมาณูเกาหลี (KAERI) ของรัฐบาลเกาหลีใต้เปิดเผยเมื่อวันศุกร์ว่าเครือข่ายภายในของบริษัทถูกบุกรุกโดยผู้ต้องสงสัยที่คาดว่ามาจากเกาหลีเหนือ
การบุกรุกเกิดขึ้นเมื่อวันที่ 14 พฤษภาคม ผ่านช่องโหว่ของ VPN (โดยยังไม่มีการระบุว่าเป็นของผู้ให้บริการรายใด) และมี IP Address ของผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ทั้งหมด 13 IP โดยหนึ่งในนั้นคือ IP "27.102.114[.]89" ซึ่งมีประวัติการเชื่อมโยงกับกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือชื่อว่า Kimsuky
KAERI ก่อตั้งขึ้นในปี 2502 ในเมืองแดจอน เป็นสถาบันวิจัยที่ได้รับทุนสนับสนุนจากรัฐบาลซึ่งออกแบบ และพัฒนาเทคโนโลยีนิวเคลียร์ที่เกี่ยวข้องกับเครื่องปฏิกรณ์ แท่งเชื้อเพลิง การหลอมรวมของรังสี และความปลอดภัยของนิวเคลียร์
หลังจากการบุกรุก KAERI กล่าวว่าได้ดำเนินการตามขั้นตอนเพื่อบล็อก IP Address ของผู้โจมตี และอัพเดทแพตซ์ของ VPN ที่มีช่องโหว่เรียบร้อยแล้ว โดยสถาบันฯกำลังสืบสวนรายละเอียดผลกระทบจากการบุกรุก และมูลค่าความเสียหายที่เกิดขึ้น
จากรายงานของสำนักข่าว SISA ของเกาหลีใต้ซึ่งเปิดเผยถึงเหตุการณ์การบุกรุกในครั้งนี้ โดยสำนักข่าวอ้างว่า KAERI พยายามปกปิดการโจมตี โดยพยายามปฏิเสธการโจมตีที่เกิดขึ้น ซึ่ง KAERI อ้างว่าเป็นเพียงความผิดพลาดจากพนักงานระดับปฏิบัติการเท่านั้น
ตั้งแต่ปี 2012 Kimsuky (หรือที่รู้จักในชื่อ Velvet Chollima, Black Banshee หรือ Thallium) เป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่รู้จักในแคมเปญจารกรรมทางอินเทอร์เน็ตที่กำหนดเป้าหมายไปยังสถาบันวิจัย และปฏิบัติการพลังงานนิวเคลียร์ในเกาหลีใต้
เมื่อช่วงต้นเดือนที่ผ่านมา บริษัทผู้เชี่ยวชาญทางด้าน Cyber Security อย่าง Malwarebytes ได้เปิดเผยถึงการโจมตีไปยังเจ้าหน้าที่ระดับสูงของรัฐบาลเกาหลีใต้ โดยใช้วิธีการติดตั้ง Backdoor บนระบบปฏิบัติการ Android และ Windows ที่ชื่อว่า AppleSeed โดยมีเป้าหมายเพื่อรวบรวมข้อมูลที่มีความสำคัญ
โดยมีเป้าหมายคือหน่วยงานที่เกี่ยวข้องกับกระทรวงการต่างประเทศ เอกอัครราชทูตศรีลังกาประจำประเทศ เจ้าหน้าที่ความมั่นคงทางนิวเคลียร์ของสำนักงานพลังงานปรมาณูระหว่างประเทศ (IAEA) และรองกงสุลใหญ่ประจำสถานกงสุลเกาหลีใต้ในฮ่องกง โดยมี IP Address ของ command-and-control (C2) ที่ตรงกัน
ยังไม่มีข้อมูลว่าช่องโหว่ VPN ที่ถูกใช้ในการโจมตีที่เกิดขึ้นเป็นของผู้ให้บริการรายใด แต่ที่ผ่านมามีหลายองค์กรที่ถูกโจมตีด้วยช่องโหว่ของ VPN จากผู้ให้บริการต่างๆเช่น Pulse Secure, SonicWall, Fortinet FortiOS และ Citrix หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา
ที่มา : thehackernews
CISA ออกประกาศแจ้งเตือนกลุ่มแฮกเกอร์เกาหลีเหนือ Kimsuky พร้อมรายละเอียดพฤติกรรมและมัลแวร์
CISA ออกประกาศรหัส AA20-301A เมื่อวันที่ 27 ที่ผ่านมาโดยมีเนื้อหาสำคัญถึงการพูดถึงพฤติกรรมและความเคลื่อนไหวของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Kimsuky ซึ่งมีเป้าหมายการโจมตีอยู่ทั่วโลก
จากรายงานที่เผยแพร่ออกมา กลุ่ม Kimsuky เริ่มการเคลื่อนไหวตั้งแต่ปี 2012 โดยถูกควบคุมและสั่งการจากรัฐบาลเกาหลีเพื่อการสืบหาข่าวกรอง เป้าหมายของการโจมตีโดยส่วนใหญ่เป็นบุคคลและองค์กรในเกาหลีใต้ ญี่ปุ่นและสหรัฐอเมริกา พฤติกรรมของกลุ่มไม่มีความแตกต่างเท่าใดนักหากเทียบกับแฮกเกอร์กลุ่มอื่น โดย Kimsuky จะโจมตีเป้าหมายโดยวิธีการแบบ Social engineering และ Watering hole ก่อนจะเข้าถึงและเคลื่อนย้ายตัวเองในเครือข่ายของเป้าหมาย เมื่อถึงจุดหนึ่ง กลุ่ม Kimsuky จะรวบรวมข้อมูลและลักลอบส่งออกมาทั้งทางอีเมลหรือติดต่อไปยัง C&C
CISA มีการระบุถึงพฤติกรรมเชิงลึกของกลุ่มพร้อมกับ TTP และ IOC ข้อมูลเพื่อช่วยในลดความเสี่ยงที่จะถูกโจมตีเหล่านี้สามารถดูเพิ่มเติมได้จากแหล่งที่มา
ที่มา: us-cert.