กลุ่มแฮ็กเกอร์ Lazarus ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ได้ใช้ประโยชน์จากช่องโหว่ระดับ Critical (CVE-2022-47966) ใน ManageEngine ServiceDesk ของ Zoho เพื่อโจมตีผู้ให้บริการอินเทอร์เน็ต และองค์กรด้านการดูแลสุขภาพ

แคมเปญดังกล่าวเริ่มขึ้นเมื่อต้นปี 2023 และมุ่งเป้าไปที่การโจมตีหน่วยงานในสหรัฐอเมริกา และสหราชอาณาจักรเพื่อติดตั้งมัลแวร์ QuiteRAT และโทรจันที่ใช้ในการเข้าถึงจากระยะไกล (RAT) ตัวใหม่ ซึ่งนักวิจัยเรียกว่า CollectionRAT โดยได้รับความสนใจภายหลังจากที่นักวิจัยวิเคราะห์โครงสร้างพื้นฐานที่ถูกใช้แคมเปญการโจมตีนี้ ซึ่งผู้โจมตีเคยใช้สำหรับการโจมตีอื่น ๆ เช่นกัน

การโจมตีบริษัทอินเทอร์เน็ต

นักวิจัยของ Cisco Talos พบว่ากลุ่ม Lazarus ประสบความสำเร็จในการโจมตีผู้ให้บริการอินเทอร์เน็ตในสหราชอาณาจักรในช่วงต้นปี 2023 โดยใช้ประโยชน์จากช่องโหว่ CVE-2022-47966 ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ส่งผลกระทบต่อผลิตภัณฑ์ Zoho ManageEngine หลายรายการ

นักวิเคราะห์รายงานว่า Lazarus เริ่มใช้ช่องโหว่นี้เพียงห้าวันหลังจากที่มีการเปิดเผย Exploit ออกสู่สาธารณะ โดยพบแฮ็กเกอร์หลายรายใช้ประโยชน์จากช่องโหว่ดังกล่าวเช่นกัน จากรายงานที่ Rapid7, Shadowserver และ GreyNoise ตรวจพบ ทำให้ CISA ออกคำเตือนไปยังองค์กรต่าง ๆ ภายหลังจากการโจมตีสำเร็จ กลุ่ม Lazarus จะติดตั้งมัลแวร์ QuiteRAT จาก URL ภายนอกโดยใช้คำสั่ง curl

QuiteRAT ถูกพบในเดือนกุมภาพันธ์ 2023 ถูกระบุว่าเป็นโทรจันที่ใช้ในการเข้าถึงจากระยะไกลที่เรียบง่าย แต่ทรงประสิทธิภาพ ซึ่งดูเหมือนจะพัฒนาขึ้นมาจาก MagicRAT ซึ่งเป็นที่รู้จักกันดี โดยในช่วงครึ่งหลังของปี 2022 พบการกำหนดเป้าหมายไปยังผู้ให้บริการด้านพลังงานในสหรัฐอเมริกา, แคนาดา และญี่ปุ่น

มัลแวร์ Lazarus ตัวใหม่

ในรายงานฉบับอื่นของวันนี้ Cisco Talos ระบุว่า กลุ่ม Lazarus มีมัลแวร์ใหม่ที่ชื่อว่า collectionRAT โดยมัลแวร์ตัวนี้ถูกค้นพบภายหลังจากที่นักวิจัยได้ตรวจสอบโครงสร้างพื้นฐานที่แฮ็กเกอร์ใช้ในการโจมตีอื่น ๆ ซึ่งนักวิจัยระบุว่า CollectionRAT ดูเหมือนจะเกี่ยวข้องกับมัลแวร์ในตระกูล "EarlyRAT"

เมื่อต้นปีที่ผ่านมา Kaspersky ได้เชื่อมโยงความเกี่ยวข้องระหว่าง EarlyRAT กับ Andariel ("Stonefly") ซึ่งเชื่อกันว่าเป็นกลุ่มย่อยภายในทีมของ Lazarus ซึ่งความสามารถของ CollectionRAT ได้แก่ การดำเนินการคำสั่งตามผู้ใช้งาน, การจัดการไฟล์, การรวบรวมข้อมูลระบบ, การดึงข้อมูล และการสร้างเพย์โหลดใหม่ รวมถึงการลบตัวเองออกจากระบบ

องค์ประกอบที่น่าสนใจอีกประการหนึ่งใน CollectionRAT คือการรวมตัวกันของเฟรมเวิร์ก Microsoft Foundation Class (MFC) ซึ่งช่วยให้สามารถถอดรหัส และรันโค้ดได้ทันที, การหลีกเลี่ยงการตรวจจับ และขัดขวางการวิเคราะห์

สัญญาณเพิ่มเติมของวิวัฒนาการในกลยุทธ์ เทคนิค และขั้นตอนของกลุ่ม Lazarus ที่ Cisco Talos พบได้แก่ การใช้เครื่องมือ และเฟรมเวิร์กโอเพ่นซอร์ส เช่น Mimikatz สำหรับการขโมยข้อมูลประจำตัว, PuTTY Link (Plink) สำหรับการสร้าง remote tunneling และ DeimosC2 สำหรับ C2 Server โดยวิธีการเหล่านี้ช่วยให้ Lazarus แทบไม่ทิ้งร่องรอยการโจมตี จึงทำให้การติดตาม และการป้องกันทำได้ยากมากขึ้น

ที่มา: bleepingcomputer

นักวิเคราะห์ด้านความปลอดภัยพบ remote access trojan (RAT) ชื่อ 'EarlyRAT' ซึ่งถูกใช้งานโดย Andariel ซึ่งเป็นกลุ่มย่อยของกลุ่มแฮ็กเกอร์ Lazarus ของเกาหลีเหนือที่ได้รับการสนับสนุนโดยรัฐบาล

Andariel (หรือที่รู้จักในชื่อ Stonefly) เป็นส่วนหนึ่งของกลุ่มแฮ็กเกอร์ Lazarus ที่รู้จักกันในการใช้ (more…)

Kaspersky ออกรายงานเกี่ยวกับความเคลื่อนไหวล่าสุดของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Lazarus Group ซึ่งพุ่งเป้าโจมตีธุรกิจในกลุ่มผู้ผลิตอาวุธและเทคโนโลยีป้องกันประเทศในช่วงปี 2020 โดยมีเป้าหมายในการขโมยข้อมูลลับ ด้วยมัลแวร์ตัวใหม่ที่ถูกเรียกว่า ThreatNeedle

ในการโจมตีนั้น ผู้โจมตีจะทำการเข้าถึงระบบของเป้าหมายโดยอีเมลฟิชชิ่งที่มีลักษณะของเนื้อหาแอบอ้างสถานการณ์ COVID-19 จากนั้นจะมีการติดตั้งมัลแวร์ ThreatNeedle ซึ่งเคยมีประวัติในการถูกใช้เพื่อโจมตีธุรกิจในกลุ่ม Cryptocurrency ในปี 2018

มัลแแวร์ ThreatNeedle มีฟังก์ชันที่ครบเครื่อง ตัวมัลแวร์สามารถทำการยกระดับสิทธิ์ในระบบได้ด้วยตัวเอง มีการแยกส่วนของตัว Launcher และโค้ดของมัลแวร์ออกจากกันโดยส่วน Launcher จะเป็นตัวถอดรหัสและโหลดโค้ดของมัลแวร์จริง ๆ ไปทำงานในหน่วยความจำ

Kaspersky ยังค้นพบด้วยว่าผู้โจมตีมีการเข้าถึงระบบภายในผ่าน ThreatNeedle เพื่อเข้ามาแก้ไขการตั้งค่าของ Router ภายใน ในกรณีที่มีการทำ Network segmentation โดยแฮกเกอร์จะสร้าง Tunnel ด้วยโปรโตคอล SSH เพื่อส่งข้อมูลที่ขโมยมา กลับไปยังเซิร์ฟเวอร์ที่ถูกแฮกในเกาหลีใต้

ผู้ที่สนใจข้อมูลเพิ่มเติมสามารถดู Security advisory ได้จากรายงานของ Kaspersky ที่ ics-cert

ที่มา: .bleepingcomputer

กลุ่มเเฮกเกอร์ Lazarus กำหนดเป้าหมายการโจมตีในบริษัท Cryptocurrency โดยทำการโจมตีผ่านข้อความ LinkedIn

นักวิจัยด้านความปลอดภัยจาก F-Secure Labs ได้เปิดเผยถึงแคมเปญใหม่จากกลุ่มแฮกเกอร์เกาหลีเหนือ “Lazarus” หรือที่รู้จักในชื่อ HIDDEN COBRA ทำการใช้ LinkedIn ในทำแคมเปญการโจมตีด้วย Spear phishing โดยเป้าหมายของแคมเปญครั้งนี้คือกลุ่มบริษัทที่ทำธุรกรรมประเภท Cryptocurrency และสกุลเงินดิจิทัลที่อยู่ในประเทศสหรัฐอเมริกา, สหราชอาณาจักร, เยอรมนี, สิงคโปร์, เนเธอร์แลนด์, ญี่ปุ่นและประเทศอื่น ๆ

นักวิจัยด้านความปลอดภัยกล่าวว่าแคมเปญการโจมตีของกลุ่ม Lazarus นั้นได้พุ่งเป้าโจมตีบริษัท Cryptocurrency โดยการแนบ Microsoft Word ที่ฝังโค้ดมาโครไว้ จากนั้นส่งผ่านบริการ LinkedIn ไปยังเป้าหมาย เมื่อเป้าหมายเปิดเอกสาร ลิงค์ของ bit[.]ly ที่ฝังอยุ่จะทำงานและทำการดาวน์โหลดมัลแวร์และทำการติดต่อ C&C เพื่อใช้ในการควมคุมเหยื่อ ซึ่งเมื่อสามารถเข้าควบคุมเครื่องของเหยื่อได้แล้ว กลุ่มเเฮกเกอร์จะทำการปิด Credential Guard จากนั้นจะใช้ Mimikatz เพื่อรวบรวม Credential ของผู้ใช้และทำการใช้ข้อมูลดังกล่าวเพื่อเข้าสู่ระบบและหาประโยชน์ต่อไป

ทั้งนี้ผู้ใช้งานควรทำการตรวจสอบไฟล์ที่เเนบมากับลิงค์หรืออีเมลทุกครั้งที่ทำการเปิดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย ซึ่งอาจจะทำให้เกิดความเสียหายต่อระบบและอาจต้องสูญเสียทรัพย์สิน

ที่มา:

bleepingcomputer.

บทนำ
ถ้าพูดถึงกลุ่มก่อการร้ายทางไซเบอร์ที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ชื่อแรกที่ทุกคนนึกถึงคงจะเป็นกลุ่ม Lazarus Group หรือที่เป็นที่รู้จักในชื่อ HIDDEN COBRA และ Guardians of Peace ที่เพิ่งมีประกาศแจ้งเตือนจาก US-CERT ให้ระวังแคมเปญการโจมตีไปเมื่อไม่นานมานี้ รวมทั้งเชื่อว่าเป็นต้นเหตุของการปล่อย WannaCry ransomware ในปี 2017 การโจมตีธนาคารต่างๆ และการโจมตีบริษัท Sony Pictures ในปี 2014 แต่เมื่อวันที่ 3 ตุลาคม 2018 ที่ผ่านมา FireEye ได้ออกรายงานชิ้นใหม่เปิดเผยข้อมูลว่าแท้จริงแล้วผลงานของกลุ่มก่อการร้ายที่ถูกสื่อเรียกรวมกันว่าเป็นผลงานของ Lazarus Group เพียงกลุ่มเดียวนั้น แท้จริงแล้วเป็นผลงานของกลุ่มก่อการร้ายถึงสามกลุ่ม แบ่งออกเป็นกลุ่มที่มีเป้าหมายก่อการร้ายทางไซเบอร์สองกลุ่ม คือ TEMP.Hermit และ Lazarus Group กับกลุ่มที่มีเป้าหมายโจมตีสถาบันการเงิน คือ APT38 โดยรายงานฉบับดังกล่าวมีชื่อว่า APT38: Un-usual Suspects เน้นให้รายละเอียดของกลุ่ม APT 38 ที่แตกต่างจากกลุ่ม TEMP.Hermit และ Lazarus Group

รายละเอียด
ตั้งแต่มีการโจมตีบริษัท Sony Pictures ในปี 2014 ทั่วโลกต่างรับรู้ว่ามีกลุ่มก่อการร้ายทางไซเบอร์ที่เชื่อว่าได้รับการสนับสนุนจากเกาหลีเหนือ โดยเหตุการณ์โจมตีต่างๆ ที่น่าจะเกี่ยวข้องกับเกาหลีเหนือต่างถูกเรียกรวมกันว่าเป็นฝีมือของ Lazarus Group แต่ FireEye ซึ่งเป็นบริษัทให้บริการด้านความปลอดภัยทางไซเบอร์ไม่เชื่อเช่นนั้น จากการวิเคราะห์เหตุการณ์การโจมตีต่างๆ ที่เกิดขึ้นโดยวิเคราะห์จากทั้งเป้าหมายในการโจมตี เครื่องมือที่ใช้ในการโจมตี ไปจนถึงมัลแวร์ที่ถูกใช้ในการโจมตี FireEye เชื่อว่าเหตุการณ์ทั้งหมดเกิดจากกลุ่มก่อการร้ายสามกลุ่ม ประกอบไปด้วยกลุ่มที่มีเป้าหมายก่อการร้ายทางไซเบอร์สองกลุ่ม คือ TEMP.Hermit และ Lazarus Group กับกลุ่มที่มีเป้าหมายโจมตีสถาบันการเงิน คือ APT38

เนื่องจากมีการจับตาและการให้ข้อมูลเกี่ยวกับกลุ่ม TEMP.Hermit และ Lazarus Group แล้ว FireEye จึงออกรายงาน APT38: Un-usual Suspects เพื่อให้รายละเอียดโดยเฉพาะเกี่ยวกับกลุ่ม APT38

FireEye ระบุว่ากลุ่ม APT38 เริ่มดำเนินการมาตั้งแต่ปี 2014 โดยมีเป้าหมายเพียงอย่างเดียวคือการโจรกรรมโดยโจมตีสถาบันทางการเงินต่างๆ ทั่วโลก ซึ่งกลุ่ม APT38 ได้มีความพยายามในการโจรกรรมรวมมูลค่าแล้วกว่า 1.1 พันล้านดอลลาร์สหรัฐฯ และได้เงินไปแล้วกว่า 100 ล้านดอลลาร์สหรัฐฯ

FireEye ระบุ timeline ของ APT38 ไว้ดังนี้

เดือนธันวาคม ปี 2015 โจมตี TPBank ในเวียดนาม
เดือนมกราคม ปี 2016 โจมตี Bangladesh Bank โดยเป็นการโจมตีระบบ SWIFT ภายใน
เดือนตุลาคม ปี 2017 โจมตี Far Eastern International Bank ในไต้หวัน โดยเป็นการโจมตีเพื่อถอนเงินจำนวนมากออกจาก ATM (ATM cash-out scheme)
เดือนมกราคม ปี 2018 โจมตี Bancomext ในเม็กซิโก
เดือนพฤษภาคม ปี 2018 โจมตี Banco de Chile ในชิลี

ซึ่ง FireEye เชื่อว่ากลุ่ม APT38 เริ่มต้นโจมตีเป้าหมายในเอเชียตะวันออกเฉียงใต้ในช่วงแรกของการก่อตั้ง (2014) และค่อยๆ ขยายการดำเนินการไปทั่วโลกในปัจจุบัน
เทคนิคการโจมตีของ APT38
FireEye ระบุว่าการโจมตีของ APT38 ประกอบด้วยแบบแผนที่มีลักษณะดังนี้

Information Gathering รวบรวมข้อมูล: โดยทำการค้นคว้าข้อมูลของเป้าหมาย เช่น บุคลากรภายใน และค้นคว้าข้อมูลของผู้รับเหมาที่เกี่ยวข้องกับเป้าหมายเพื่อหาทางแทรกซึมเข้าไปในระบบ SWIFT
Initial Compromise เริ่มต้นการโจมตี: โจมตีแบบซุ่มดักเหยื่อตามแหล่งน้ำ (Watering Hole Attack) และโจมตีช่องโหว่ที่ไม่ได้รับการอัปเดตของ Apache Struts2 เพื่อส่งคำสั่งไปยังระบบ
Internal Reconnaissance สำรวจระบบ: ปล่อยมัลแวร์เพื่อรวบรวม credentials, สำรวจระบบเน็ตเวิร์ค และใช้เครื่องมือที่มีอยู่ในระบบของเป้าหมายในการแสกนระบบ เช่น ใช้ Sysmon เพื่อดูข้อมูล
Pivot to Victim Servers Used for SWIFT Transactions  ค้นหาเซิร์ฟเวอร์สำหรับระบบ SWIFT: ปล่อยมัลแวร์เพิ่ม โดยเป็นมัลแวร์สำหรับค้นหาและติดตั้ง backdoor บนเซิร์ฟเวอร์สำหรับระบบ SWIFT เพื่อให้สามารถส่งคำสั่งได้โดยไม่โดนตรวจจับ
Transfer funds ขโมยเงินออกไป: ปล่อยมัลแวร์สำหรับส่งคำสั่ง SWIFT ปลอมเพื่อโอนเงินออกและแก้ไขประวัติการทำธุรกรรม โดยมักจะเป็นการโอนเงินไปยังหลายๆ บัญชีเพื่อฟอกเงิน
Destroy Evidence ทำลายหลักฐาน: ลบ log, ปล่อยมัลแวร์เพื่อลบข้อมูลในฮาร์ดดิส และอาจปล่อย ransomware ที่เป็นที่รู้จักเพื่อขัดขวางกระบวนการสอบสวนและทำลายหลักฐาน

 

โดยผู้ที่สนใจสามารถอ่านรายละเอียดเพิ่มเติมของกลุ่ม APT38 ซึ่งรวมไปถึงมัลแวร์ต่างๆ ที่ใช้ได้จาก APT38: Un-usual Suspects
ที่มา

https://content.

สรุปย่อ
วันที่ 2 ตุลาคม 2018 US-CERT ได้ออกประกาศแจ้งเตือนแคมเปญการโจมตีใหม่จากกลุ่ม HIDDEN COBRA หรือกลุ่ม Lazarus Group จากเกาหลีเหนือ แคมเปญดังกล่าวถูกตั้งชื่อว่า FASTCash เป็นการมุ่งโจมตีเพื่อทำการนำเงินออกจากเครื่อง ATM โดยหน่วยงานต่างๆ ของรัฐบาลสหรัฐฯ ได้แก่ กระทรวงความมั่นคงแห่งมาตุภูมิ กระทรวงการคลังสหรัฐฯ และสำนักงานสอบสวนกลาง (FBI) ได้ร่วมกันระบุมัลแวร์และ indicators of compromise (IOCs) ที่ถูกใช้ในแคมเปญ FASTCash ดังกล่าว และได้ระบุ IOCs ไว้ในประกาศแจ้งเตือน ซึ่ง FBI มีความมั่นใจอย่างมากว่ากลุ่ม HIDDEN COBRA กำลังใช้ IOCs เหล่านั้นเพื่อฝังตัวเข้าไปในระบบเน็ตเวิร์คของเหยื่อและโจมตีระบบเน็ตเวิร์คอยู่ในขณะนี้

รายละเอียด
กลุ่ม HIDDEN COBRA ที่เป็นที่รู้จักในชื่อ Lazarus Group และ Guardians of Peace เป็นกลุ่มที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ กลุ่ม HIDDEN COBRA เป็นต้นเหตุของการปล่อย WannaCry ransomware ในปี 2017 และการโจมตีบริษัท Sony Pictures ในปี 2014

US-CERT กล่าวว่ากลุ่ม HIDDEN COBRA ได้ใช้แคมเปญ FASTCash ในการโจมตีธนาคารในทวีปแอฟริกาและเอเชียมาตั้งแต่ปี 2016 โดยในปี 2017 HIDDEN COBRA ได้โจมตีเพื่อถอนเงินจาก ATM กว่า 30 ประเทศ และในปี 2018 HIDDEN COBRA ได้โจมตีเพื่อถอนเงินจาก ATM แบบเดียวกันไปกว่า 23 ประเทศ จากการคาดการกลุ่ม HIDDEN COBRA ได้เงินไปแล้วกว่าสิบล้านดอลลาร์สหรัฐฯ และในเวลาที่ออกประกาศฉบับนี้ (2 ตุลาคม 2018) ทางการสหรัฐฯยังไม่พบการโจมตี FASTCash ในประเทศสหรัฐอเมริกา

FASTCash เป็นการโจมตีจากระยะไกลโดยมุ่งโจมตีเพื่อยึดครอง payment switch application server ภายในธนาคารเพื่อทำธุรกรรมปลอม ทางการสหรัฐประเมินว่า HIDDEN COBRA จะใช้ FASTCash โจมตีระบบการชำระเงินรายย่อย (Retail Payment Systems) ถัดไปจากการโจมตีธนาคาร

วิธีการโจมตีของ HIDDEN COBRA จะเริ่มจากการยึด switch application server และส่งคำสั่งที่เหมือนคำสั่งปกติทั่วไปเพื่อตอบกลับคำสั่งร้องขอต่างๆ ด้วยข้อความตอบรับปลอม ขณะนี้ยังไม่ทราบวิธีที่กลุ่ม HIDDEN COBRA ใช้แพร่มัลแวร์เพื่อยึดเครื่อง payment switch application server แต่เครื่องที่เคยถูกยึดทั้งหมดใช้ระบบปฏิบัติการ IBM Advanced Interactive eXecutive (AIX) รุ่นที่ยกเลิกการ support แล้ว แต่ทั้งนี้ยังไม่มีหลักฐานว่า HIDDEN COBRA ใช้การโจมตีผ่านช่องโหว่ในระบบปฏิบัติการ AIX กลุ่ม HIDDEN COBRA มีความรู้ด้าน ISO 8583 ซึ่งเป็นมาตราฐานการรับส่งธุรกรรมการเงิน โดยมีการใช้ความรู้รวมถึง library ที่เกี่ยวกับ ISO 8583 ในการโจมตี
รายละเอียดทางเทคนิค
จากการวิเคราะห์ log และระบบที่ถูกโจมตีพบว่ากลุ่ม HIDDEN COBRA มักจะใช้มัลแวร์ที่ทำงานบน Windows ในการโจมตี ขณะนี้ยังไม่ทราบชัดเจนว่ากลุ่ม HIDDEN COBRA แพร่มัลแวร์ดังกล่าวอย่างไร แต่นักวิเคราะห์คาดว่าน่าจะเป็นการใช้ spear-phishing อีเมลไปยังพนักงานของธนาคาร เมื่อพนักงานหลงเชื่อและติดมัลแวร์ กลุ่ม HIDDEN COBRA จะทำการค้นหา switch application server และยึดเครื่องดังกล่าว

นอกจากการใช้มัลแวร์แล้ว กลุ่ม HIDDEN COBRA ยังใช้ไฟล์ AIX executable ที่เป็นไฟล์ปกติทั่วไปในระบบในการส่งคำสั่งไปยัง switch application server ที่ถูกโจมตีอีกด้วย

หลังจากยึดเครื่อง switch application server สำเร็จแล้ว กลุ่่ม HIDDEN COBRA จะส่งคำสั่งที่เหมือนคำสั่งปกติทั่วไปผ่าน command-line เพื่อปลอมแปลงพฤติกรรม เมื่อ server พบคำสั่งร้องขอต่างๆ ที่มี primary account numbers (PANs) ของกลุ่ม HIDDEN COBRA แล้วจะเกิดคำสั่งตอบสนองพิเศษเฉพาะคำสั่งร้องขอที่มีเลข PAN นั้นๆ ซึ่งแสดงในรูปที่ 1 ทำให้สร้างคำสั่งธุรกรรมปลอมเพื่อเบิกเงินออกจากเครื่อง ATM ได้

ทั้งนี้ผู้ที่สนใจสามารถอ่านรายงานการวิเคราะห์ไฟล์มัลแวร์ที่กลุ่ม HIDDEN COBRA ใช้อย่างละเอียดได้จาก MAR-10201537 – HIDDEN COBRA FASTCash-Related Malware
ผลกระทบที่อาจเกิดขึ้น
การโจมตีระบบเน็ตเวิร์คสำเร็จจะทำให้เกิดผลกระทบร้ายแรงโดยเฉพาะเมื่อระบบที่ถูกโจมตีเผยแพร่ต่อสาธารณะ องค์กรอาจจะได้รับผลกระทบดังนี้

ถูกขโมยข้อมูลที่เป็นความลับ
การดำเนินการหยุดชะงัก
เสียงบประมาณในการฟื้นฟูความเสียหาย
สูญเสียชื่อเสียงขององค์กร

วิธีตรวจจับรับมือและคำแนะนำเพิ่มเติม

แนะนำให้ผู้ดูแลระบบตรวจสอบ bash history log ของผู้ใช้งานระบบที่มีสิทธิ root ทั้งหมด ซึ่งสามารถใช้บอกได้หากมีการใช้คำสั่งใดๆ บน switch application server ผู้ดูแลระบบควรเก็บ log และตรวจสอบคำสั่งทั้งหมด
ผู้ดูแลระบบเน็ตเวิร์คควรศึกษารายงาน MAR-10201537 และตรวจสอบ IOCs ที่เกี่ยวข้องกับแคมเปญ FASTCash ของกลุ่ม HIDDEN COBRA ในระบบเน็ตเวิร์ค
มีการตรวจสอบความถูกต้องของรหัสชิปและ PIN บนบัตรเดบิต
มีการตรวจสอบว่าบัตรเดบิตนั้นออกอย่างถูกต้องหรือไม่ก่อนทำธุรกรรม
มีการใช้ระบบการยืนยันตัวสองชั้นในการเข้าถึง switch application server
ป้องกันไม่ให้เครื่องที่มีการต่ออินเตอร์เน็ตภายนอกเข้าถึงระบบเน็ตเวิร์คภายในที่มี switch application server
ป้องกันไม่ให้เครื่องที่ไม่ได้รับอนุญาตเข้าถึงระบบ
ใช้ไฟร์วอล
ใช้ Access Control Lists (ACLs) เพื่อควบคุม traffic
เข้ารหัสข้อมูลเมื่อส่งข้อมูล
คอยตรวจสอบพฤติกรรมที่ไม่ปกติ มีการ audit ธุรกรรมและ log ของระบบ สร้าง baseline ของจำนวนธุรกรรม ความถี่ของธุรกรรม เวลาในการทำธุรกรรมและคอยตรวจสอบในกรณีที่มีความผิดจาก baseline

Indicator of Compromise

IP

75.99.63.27

SHA256

10ac312c8dd02e417dd24d53c99525c29d74dcbc84730351ad7a4e0a4b1a0eba
3a5ba44f140821849de2d82d5a137c3bb5a736130dddb86b296d94e6b421594c
4a740227eeb82c20286d9c112ef95f0c1380d0e90ffb39fc75c8456db4f60756
820ca1903a30516263d630c7c08f2b95f7b65dffceb21129c51c9e21cf9551c6
a9bc09a17d55fc790568ac864e3885434a43c33834551e027adb1896a463aafc
ab88f12f0a30b4601dc26dbae57646efb77d5c6382fb25522c529437e5428629
ca9ab48d293cc84092e8db8f0ca99cb155b30c61d32a1da7cd3687de454fe86c
d465637518024262c063f4a82d799a4e40ff3381014972f24ea18bc23c3b27ee
e03dc5f1447f243cf1f305c58d95000ef4e7dbcc5c4e91154daa5acd83fea9a8
f3e521996c85c0cdb2bfb3a0fd91eb03e25ba6feef2ba3a1da844f1b17278dd
1f2cd2bc23556fb84a51467fedb89cbde7a5883f49e3cfd75a241a6f08a42d6
9ddacbcd0700dc4b9babcd09ac1cebe23a0035099cb612e6c85ff4dffd087a26

References

https://www.

กลุ่มแฮกเกอร์เกาหลีเหนือ Lazarus Group อาจเป็นผู้อยู่เบื้องหลังการโจมตีตลาดแลกเปลี่ยน Cryptocurrency สัญชาติเกาหลีใต้ "Bithumb"

บริษัทด้านความปลอดภัย AlienVault เปิดเผยรายงานการวิเคราะห์ไฟล์เอกสารซึ่งเชื่อกันว่าเป็นไฟล์เอกสารที่ถูกใช้ในการโจมตีเว็บไซต์ตลาดแลกเปลี่ยน Cryptocurrency สัญชาติเกาหลีใต้ "Bithumb" ส่งผลให้มีเงินสูญหายกว่า 30 ล้านดอลลาร์สหรัฐฯ

ไฟล์เอกสารนี้เป็นไฟล์เอกสารที่ถูกจัดทำโดยโปรแกรม Hangul Word Processor ซึ่งเป็นโปรแกรมแก้ไขเอกสารจากเกาหลีใต้ ไฟล์เอกสารถูกระบุชื่อแตกต่างกันออกไป อาทิ "국제금융체제 실무그룹 회의결과.hwp หรือ Results of the international financial system working group meeting, "금융안정 컨퍼런스 개최결과.hwp หรือ 금융안정 컨퍼런스 개최결과.hwp" เมื่อไฟล์เอกสารถูกเปิดออก มัลแวร์ Manuscrypt จะถูกดาวโหลดมาติดตั้งในระบบ

อ้างอิงจากรายงานข่าวของสำนักข่าว KBS ซึ่งรายงานรายละเอียดตรงกันว่าการโจมตี Bithumb นั้นมีจุดเริ่มต้นในลักษณะที่คล้ายกันคือการได้รับไฟล์เอกสาร HWP ก่อนที่การโจมตีจะเกิดขึ้นและพบตัวอย่างมัลแวร์ที่ลักษณะคล้ายคลึงกันอีกด้วย

ที่มา: darkreading