กลุ่มแฮ็กเกอร์ DPRK โจมตีผู้รับเหมาด้านกลาโหมของเกาหลีใต้

สำนักงานตำรวจแห่งชาติเกาหลีใต้ออกคำเตือนเร่งด่วนเกี่ยวกับกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือที่มุ่งเป้าไปที่หน่วยงานในอุตสาหกรรมการป้องกันประเทศเพื่อขโมยข้อมูลด้านเทคโนโลยีที่มีความสำคัญ (more…)

กลุ่ม Lazarus ใช้ช่องโหว่ Zero-Day ใน Windows เพื่อรับสิทธิ์ Kernel

กลุ่ม Lazarus ใช้ช่องโหว่ Zero-Day ใน Windows เพื่อรับสิทธิ์ Kernel

กลุ่ม Hacker ชาวเกาหลีเหนือกลุ่ม Lazarus Group ได้ใช้ช่องโหว่ Zero-Day ในไดรเวอร์ Windows AppLocker (appid.

กลุ่มแฮ็กเกอร์ Lazarus ติดตั้งมัลแวร์ RAT ตัวใหม่ ผ่านช่องโหว่ Log4j ที่มีมากว่า 2 ปี

กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือชื่อดังที่รู้จักกันในชื่อ Lazarus ยังคงใช้ประโยชน์จากช่องโหว่ CVE-2021-44228 หรือที่รู้จักในชื่อ "Log4Shell" โดยในครั้งนี้เป็นการใช้มัลแวร์ซึ่งเขียนด้วยภาษา D (D Programming Language: DLang) สามตัวที่ไม่เคยถูกพบมาก่อน

(more…)

Microsoft เผย กลุ่ม Lazarus โจมตี CyberLink ด้วยการโจมตีแบบ supply chain attack

Microsoft ระบุว่ากลุ่ม Lazarus ** กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือได้โจมตีบริษัท CyberLink บริษัทซอฟต์แวร์ของไต้หวัน และติดตั้งโทรจันเพื่อใช้ในการโจมตีแบบ supply chain attack กับเหยื่อรายใหญ่ ๆ ทั่วโลก จากข้อมูลของ Microsoft Threat Intelligence พฤติกรรมต้องสงสัยเกี่ยวข้องกับไฟล์ติดตั้งของ CyberLink ที่ถูกเปลี่ยนแปลงแก้ไข ซึ่งเกิดขึ้นตั้งแต่วันที่ 20 ตุลาคม 2023

(more…)

กลุ่ม Lazarus กำหนดเป้าหมายไปยัง Windows IIS web servers เพื่อการเข้าถึงระบบ

Lazarus เป็นกลุ่ม Hacker จากเกาหลีเหนือที่ได้รับการสนับสนุนจากรัฐบาล โดยมีแรงจูงใจทางการเงินเป็นหลัก และมีส่วนร่วมในปฏิบัติการจารกรรมหลายครั้ง

ล่าสุดพบว่ามีกลยุทธ์ในการกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Windows Internet Information Services (IIS) ที่มีช่องโหว่เพื่อเข้าถึงระบบเครือข่ายขององค์กร ซึ่งถูกค้นพบโดยนักวิจัยชาวเกาหลีใต้จาก AhnLab Security Emergency Response Center (ASEC) (more…)

Axie Infinity ถูกแฮ็ก เหตุเกิดจากพนักงานหนึ่งคนถูกหลอกผ่านข้อเสนองานปลอมบน LinkedIn

รายละเอียดการโจมตี

เมื่อช่วงปลายมีนาคมที่ผ่านมา แพลตฟอร์ม Ronin Bridge ที่ใช้สำหรับโอนเหรียญของเกมส์ Axie Infinity ถูกแฮ็ก ส่งผลให้เกิดความเสียหาย 540 ล้านดอลลาร์

ส่วนสาเหตุทั้งหมดตามรายงานของ The Block เกิดจากอดีตพนักงานคนหนึ่งของบริษัทที่ถูกหลอกผ่านข้อเสนองานปลอมบน LinkedIn ซึ่งอ้างว่าเป็นการสัมภาษณ์หลายรอบ โดยมีค่าตอบแทนที่สูงมาก จากนั้นจึงให้พนักงานคนดังกล่าวทำการโหลดเอกสารสมัครงานที่เป็นไฟล์ .PDF ที่แฝงสคริปอันตรายมาด้วย ทำให้ผู้ไม่หวังดีเข้าถึงเครือข่ายได้ในที่สุด ซึ่งข้อมูลต่างๆของพนักงานที่เป็นเป้าหมายนั้น ถูกหามาจากช่องทาง Social Media ต่างๆ หลังจากเหตุการณ์ดังกล่าวส่งผลให้พนักงานคนนี้ถูกไล่ออก

ในรายงานภัยคุกคาม T1 ของ ESET ประจำปี 2565 ได้ระบุว่ากลุ่มแฮกเกอร์ Lazarus ได้ใช้ข้อเสนองานปลอมผ่านโซเชียลมีเดีย เช่น LinkedIn มากขึ้น นอกจากนี้ กลุ่ม Lazarus ก็ถูกสงสัยว่าอยู่เบื้องหลังการขโมย altcoin มูลค่า 100 ล้านดอลลาร์จาก Harmony Horizon Bridge เช่นกัน

แนวทางการป้องกัน

ตรวจสอบไฟล์ที่ได้รับมาทุกครั้งก่อนทำการดาวน์โหลด หรือเปิดใช้งาน
หลีกเลี่ยงการโพสต์ข้อมูลส่วนตัวลงในพื้นที่สาธารณะ เช่น Social Media

ที่มา : thehackernews

กลุ่ม Lazarus แฮ็กเกอร์ มุ่งเป้าโจมตี VMware servers ด้วยช่องโหว่ Log4Shell

กลุ่มแฮ็กเกอร์สัญชาติเกาหลีเหนือ ที่เป็นรู้จักกันในชื่อกลุ่ม Lazarus ได้ปฏิบัติการโจมตีโดยใช้ช่องโหว่ Log4J เพื่อวาง backdoor รวมถึง payload ที่ใช้สำหรับขโมยข้อมูลบนระบบ VMware Horizon servers

โดยช่องโหว่ CVE-2021-44228 หรือที่เรียกว่า Log4Shell ที่เกิดขึ้นเมื่อปีแล้วนั้น ส่งผลกระทบต่อผลิตภัณฑ์จำนวนมาก ซึ่ง VMware Horizon ก็เป็นหนึ่งในระบบที่ได้รับผลกระทบเช่นกัน

นักวิเคราะห์ที่ ASEC ของ Ahnlab ระบุว่ากลุ่ม Lazarus ได้กำหนดเป้าหมายการโจมตีรอบใหม่ไปยัง VMware Horizon ที่มีช่องโหว่ผ่าน Log4Shell ตั้งแต่เดือนเมษายน 2565 ซึ่งจริงๆแล้วช่องโหว่นี้ ถูกพบตั้งแต่เดือนมกราคม 2565 แต่ผู้ดูแลระบบจำนวนมากยังไม่ได้ทำการอัปเดตแพตช์

รายละเอียดการโจมตี

กลุ่ม Lazraus จะโจมตีโดยใช้ประโยชน์จากช่องโหว่ของ Log4j ผ่าน Apache Tomcat ของ VMware Horizon เพื่อดำเนินการรันคำสั่งบน PowerShell ในการติดตั้ง Backdoor ที่ชื่อว่า NukeSped

ซึ่ง NukeSped (หรือ NukeSpeed) เป็นมัลแวร์ที่เกี่ยวข้องกับแฮ็กเกอร์กลุ่ม DPRK ถูกพบครั้งแรกในฤดูร้อนปี 2561 และเชื่อมโยงกับแคมเปญในปี 2563 ที่ Lazarus จัดเตรียมไว้

หลังจาก NukeSped ถูกติดตั้ง มันจะทำการบันทึกกิจกรรมต่างๆของเครื่องที่ถูกติดตั้ง เช่น การจับภาพหน้าจอ บันทึกการกดปุ่ม การเข้าถึงไฟล์ ฯลฯ นอกจากนี้ NukeSped สามารถบันทึกข้อมูลที่พิมพ์บน Command Line ได้อีกด้วย

ล่าสุดมีรายงานว่า NukeSped มีการขโมยข้อมูลบน USB และยังสามารถเข้าถึงกล้องบน Labtop ได้อีกด้วย

ข้อมูลเพิ่มเติม

นอกจากนี้มีรายงานจากการวิเคราะห์ข้อมูลของ ASEC พบว่า Backdoor นี้ยังสามารถขโมยข้อมูลดังต่อไปนี้ได้อีกด้วย

ข้อมูลบัญชี และประวัติการเข้าใช้งานที่จัดเก็บไว้ใน Google Chrome, Mozilla Firefox, Internet Explorer, Opera และ Naver Whale
ข้อมูลบัญชีอีเมลที่เก็บไว้ใน Outlook Express, MS Office Outlook และ Windows Live Mail
ชื่อไฟล์ที่ใช้ล่าสุดจาก MS Office (PowerPoint, Excel และ Word) และ Hancom 2010
ในบางกรณี พบว่า Lazarus กำลังติดตั้ง Jin Miner แทน NukeSped โดยใช้ประโยชน์จาก Log4Shell ในการทำ cryptocurrency mining
แนวทางการป้องกัน

เพื่อเป็นการป้องกัน ผู้ดูแลระบบควรตรวจสอบ และอัปเดตอุปกรณ์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ และหมั่นติดตามข่าวสารอย่างใกล้ชิด

ที่มา : bleepingcomputer.

นักวิจัยเชื่อมโยงการโจมตี CryptoCore ในการแลกเปลี่ยน Cryptocurrency กับ เกาหลีเหนือ

มีการเปิดเผยหลักฐานใหม่ ที่เกี่ยวข้องกับการโจมตีการแลกเปลี่ยนสกุลเงินดิจิทัลในช่วง 3 ปีที่ผ่านมา โดยคาดกันว่าแฮกเกอร์ได้รับการสนับสนุนจากประเทศเกาหลีเหนือ ซึ่งการโจมตีดังกล่าวมีความเป็นไปได้ที่จะเกี่ยวข้องกับกลุ่ม Lazarus (aka APT38 or Hidden Cobra)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ของอิสราเอล ClearSky กล่าวว่าแคมเปญนี้มีชื่อว่า "CryptoCore" ซึ่งกำหนดเป้าหมายการโจมตีเป็นการแลกเปลี่ยนคริปโตในอิสราเอล, ญี่ปุ่น, ยุโรปและสหรัฐอเมริกา ส่งผลให้มีการขโมยสกุลเงิน มูลค่าหลายล้านดอลลาร์ การค้นพบนี้เป็นผลมาจากการปะติดปะต่อจากรายงานที่คล้ายคลึงกันซึ่งมีรายละเอียดจากทาง F-Secure, CERT JPCERT / CC และ NTT Security ในช่วงไม่กี่เดือนที่ผ่านมา

นับตั้งแต่ปี 2552 กลุ่ม Hidden Cobra ได้ดำเนินการจารกรรมสกุลเงินดิจิทัล โดยมีการกำหนดเป้าหมายให้สอดคล้องกับผลประโยชน์ทางเศรษฐกิจและภูมิรัฐศาสตร์ของเกาหลีเหนือ ซึ่งส่วนใหญ่เน้นไปทางการเงินเพื่อหลีกเลี่ยงการคว่ำบาตรระหว่างประเทศ ซึ่งไม่กี่ปีที่ผ่านมาได้ขยายการโจมตีเพิ่มเติมไปที่อุตสาหกรรมการป้องกันและการบินและอวกาศ

CyptoCore หรือ CryptoMimic, Dangerous Password, CageyChameleon, และ Leery Turtle, ไม่ได้มีความแตกต่างกันมาก โดยกลุ่ม Lazarus ซึ่งมุ่งเน้นไปที่การขโมยสกุลเงินดิจิทัลเป็นหลักเช่นกัน ในปี 2018 มีการใช้ประโยชน์จาก spear-phishing เพื่อเป็นการขโมยรหัสผ่านและบัญชีของเหยื่อเพื่อทำการโอนเงินไปยังบัญชีของผู้โจมตี

ปัจจุบันกลุ่ม Lazarus มีการขโมยเงินไปแล้วประมาณ 200 ล้านดอลลาร์ตามรายงานของ ClearSky ที่เผยแพร่ในเดือนมิถุนายน 2020 ซึ่งเชื่อมโยง CryptoCore กับเหยื่อ 5 รายที่อยู่ในสหรัฐอเมริกา ญี่ปุ่น เมื่อรวมกับงานวิจัยล่าสุดแสดงให้เห็นว่าการดำเนินการดังกล่าวส่งผลกระทบเป็นวงกว้างมากกว่าที่บันทึกไว้ก่อนหน้านี้ รวมถึงมีการพัฒนาการโจมตีหลายส่วนไปพร้อม ๆ กันอีกด้วยในปัจจุบัน

ที่มา : thehackernews

กลุ่มเเฮกเกอร์ Lazarus กำหนดเป้าหมายการโจมตีในบริษัท Cryptocurrency โดยทำการโจมตีผ่านข้อความ LinkedIn

กลุ่มเเฮกเกอร์ Lazarus กำหนดเป้าหมายการโจมตีในบริษัท Cryptocurrency โดยทำการโจมตีผ่านข้อความ LinkedIn

นักวิจัยด้านความปลอดภัยจาก F-Secure Labs ได้เปิดเผยถึงแคมเปญใหม่จากกลุ่มแฮกเกอร์เกาหลีเหนือ “Lazarus” หรือที่รู้จักในชื่อ HIDDEN COBRA ทำการใช้ LinkedIn ในทำแคมเปญการโจมตีด้วย Spear phishing โดยเป้าหมายของแคมเปญครั้งนี้คือกลุ่มบริษัทที่ทำธุรกรรมประเภท Cryptocurrency และสกุลเงินดิจิทัลที่อยู่ในประเทศสหรัฐอเมริกา, สหราชอาณาจักร, เยอรมนี, สิงคโปร์, เนเธอร์แลนด์, ญี่ปุ่นและประเทศอื่น ๆ

นักวิจัยด้านความปลอดภัยกล่าวว่าแคมเปญการโจมตีของกลุ่ม Lazarus นั้นได้พุ่งเป้าโจมตีบริษัท Cryptocurrency โดยการแนบ Microsoft Word ที่ฝังโค้ดมาโครไว้ จากนั้นส่งผ่านบริการ LinkedIn ไปยังเป้าหมาย เมื่อเป้าหมายเปิดเอกสาร ลิงค์ของ bit[.]ly ที่ฝังอยุ่จะทำงานและทำการดาวน์โหลดมัลแวร์และทำการติดต่อ C&C เพื่อใช้ในการควมคุมเหยื่อ ซึ่งเมื่อสามารถเข้าควบคุมเครื่องของเหยื่อได้แล้ว กลุ่มเเฮกเกอร์จะทำการปิด Credential Guard จากนั้นจะใช้ Mimikatz เพื่อรวบรวม Credential ของผู้ใช้และทำการใช้ข้อมูลดังกล่าวเพื่อเข้าสู่ระบบและหาประโยชน์ต่อไป

ทั้งนี้ผู้ใช้งานควรทำการตรวจสอบไฟล์ที่เเนบมากับลิงค์หรืออีเมลทุกครั้งที่ทำการเปิดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย ซึ่งอาจจะทำให้เกิดความเสียหายต่อระบบและอาจต้องสูญเสียทรัพย์สิน

ที่มา:

bleepingcomputer.

Lazarus hackers deploy ransomware, steal data using MATA malware

กลุ่มแฮกเกอร์ Lazarus ปล่อย Ransomware ขโมยข้อมูลโดยใช้ MATA Malware
เฟรมเวิร์กมัลแวร์ที่ถูกค้นพบเมื่อเร็ว ๆ นี้ที่รู้จักกันในชื่อ MATA เชื่อมโยงกับกลุ่มแฮกเกอร์จากเกาหลีเหนือที่รู้จักกันในชื่อ Lazarus โดยนำ MATA มาใช้ในการโจมตีเป้าหมายหลายๆองค์กรตั้งแต่เดือนเมษายน 2018

MATA คือโมดูลเฟรมเวิร์กที่ประกอบไปด้วยหลายๆอย่าง อย่างเช่น Loader, orchestrator และ Plugin อีกหลายๆตัว สามารถใช้แพร่กระจายมัลแวร์ได้ทั้ง Windows, Linux และ macOS

ระหว่างการโจมตี แฮกเกอร์สามารถใช้ MATA เพื่อทำการโหลดพวกปลั๊กอินเพื่อเรียกใช้ Command จากเครื่องที่ติดเชื้อผ่าน หน่วยความจำของระบบ, จัดการกับไฟล์และโปรเซสต่างๆ Inject DDLs ไฟล์ลงไป แล้วทำการสร้าง HTTP proxies ไว้เป็นช่องทางในการเข้าออกบนเครื่อง

MATA ยังช่วยให้แฮกเกอร์สามารถสแกนหาเป้าหมายใหม่บนเครื่อง macOS และ Linux (เราเตอร์ไฟร์วอลล์หรืออุปกรณ์ IoT) นอกจากนี้บนแพลตฟอร์ม macOS MATA ยังสามารถโหลดโมดูล plugin_socks ที่สามารถใช้เพื่อกำหนดค่า Proxy server ได้อีกด้วย และเมื่อ MATA ถูกแพร่ไปยังเครื่องเหยื่อสำเร็จ มันจะทำการค้นหาข้อมูลสำคัญๆ อย่างข้อมูลลูกค้า หรือข้อมูลทางธุรกิจแล้วขโมยออกมาได้ รวมถึงอาจมีการใช้เพื่อแพร่ Ransomware โดยสามารถอ่านรายงานโดยละเอียดและศึกษา IOC ได้จาก https://securelist.