มีการเปิดเผยหลักฐานใหม่ ที่เกี่ยวข้องกับการโจมตีการแลกเปลี่ยนสกุลเงินดิจิทัลในช่วง 3 ปีที่ผ่านมา โดยคาดกันว่าแฮกเกอร์ได้รับการสนับสนุนจากประเทศเกาหลีเหนือ ซึ่งการโจมตีดังกล่าวมีความเป็นไปได้ที่จะเกี่ยวข้องกับกลุ่ม Lazarus (aka APT38 or Hidden Cobra)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ของอิสราเอล ClearSky กล่าวว่าแคมเปญนี้มีชื่อว่า "CryptoCore" ซึ่งกำหนดเป้าหมายการโจมตีเป็นการแลกเปลี่ยนคริปโตในอิสราเอล, ญี่ปุ่น, ยุโรปและสหรัฐอเมริกา ส่งผลให้มีการขโมยสกุลเงิน มูลค่าหลายล้านดอลลาร์ การค้นพบนี้เป็นผลมาจากการปะติดปะต่อจากรายงานที่คล้ายคลึงกันซึ่งมีรายละเอียดจากทาง F-Secure, CERT JPCERT / CC และ NTT Security ในช่วงไม่กี่เดือนที่ผ่านมา

นับตั้งแต่ปี 2552 กลุ่ม Hidden Cobra ได้ดำเนินการจารกรรมสกุลเงินดิจิทัล โดยมีการกำหนดเป้าหมายให้สอดคล้องกับผลประโยชน์ทางเศรษฐกิจและภูมิรัฐศาสตร์ของเกาหลีเหนือ ซึ่งส่วนใหญ่เน้นไปทางการเงินเพื่อหลีกเลี่ยงการคว่ำบาตรระหว่างประเทศ ซึ่งไม่กี่ปีที่ผ่านมาได้ขยายการโจมตีเพิ่มเติมไปที่อุตสาหกรรมการป้องกันและการบินและอวกาศ

CyptoCore หรือ CryptoMimic, Dangerous Password, CageyChameleon, และ Leery Turtle, ไม่ได้มีความแตกต่างกันมาก โดยกลุ่ม Lazarus ซึ่งมุ่งเน้นไปที่การขโมยสกุลเงินดิจิทัลเป็นหลักเช่นกัน ในปี 2018 มีการใช้ประโยชน์จาก spear-phishing เพื่อเป็นการขโมยรหัสผ่านและบัญชีของเหยื่อเพื่อทำการโอนเงินไปยังบัญชีของผู้โจมตี

ปัจจุบันกลุ่ม Lazarus มีการขโมยเงินไปแล้วประมาณ 200 ล้านดอลลาร์ตามรายงานของ ClearSky ที่เผยแพร่ในเดือนมิถุนายน 2020 ซึ่งเชื่อมโยง CryptoCore กับเหยื่อ 5 รายที่อยู่ในสหรัฐอเมริกา ญี่ปุ่น เมื่อรวมกับงานวิจัยล่าสุดแสดงให้เห็นว่าการดำเนินการดังกล่าวส่งผลกระทบเป็นวงกว้างมากกว่าที่บันทึกไว้ก่อนหน้านี้ รวมถึงมีการพัฒนาการโจมตีหลายส่วนไปพร้อม ๆ กันอีกด้วยในปัจจุบัน

ที่มา : thehackernews

กระทรวงยุติธรรมสหรัฐ (Department of Justice - DoJ) ได้แจ้งข้อหาแฮกเกอร์ชาวเกาหลีเหนือ 3 คนที่ถูกกล่าวหาว่าสมคบคิดกัน ขโมยและรีดไถเงินสดและเงินสกุลดิจิตอลกว่า 1.3 พันล้านดอลลาร์จากสถาบันการเงินและกลุ่มธุรกิจอื่น ๆ

จำเลยเป็นแฮกเกอร์ชาวเกาหลีเหนือที่ได้รับการสนับสนุนจากรัฐและเป็นสมาชิกของหน่วยลาดตระเวน (Reconnaissance General Bureau - RGB) หรือที่รู้จักกันในโลกไซเบอร์คือกลุ่ม Lazarus group, Hidden Cobra หรือ Advanced Persistent Threat 38 (APT 38) ซึ่งเป็นหน่วยข่าวกรองทางทหารของเกาหลีเหนือที่มีส่วนร่วมในปฏิบัติการอาชญากรรมทางไซเบอร์

จำเลยทั้งสามคือ Jon Chang Hyok (31 ปี), Kim Il (27 ปี); และ Park Jin Hyok (36 ปี) ถูกกล่าวหาว่าได้ทำการเข้าร่วมในการสมคบคิดทางอาชญากรรมทางไซเบอร์ เพื่อดำเนินการโจมตีทางไซเบอร์ในวงกว้างและเพื่อขโมยและรีดไถเงินสกุลเงินดิจิทัลมากกว่า 1.3 พันล้านดอลลาร์จากสถาบันการเงินและบริษัทต่าง ๆ ซึ่งสำนวนฟ้องดังกล่าวได้ขยายไปถึงข้อหาที่ฟ้องในปี 2018 ที่มีต่อ Park Jin Hyok ซึ่งเป็นหนึ่งในแฮกเกอร์ที่ถูกตั้งข้อหาเกี่ยวข้องกับการโจมตีทางอินเทอร์เน็ตในปี 2014 ที่ได้ทำการโจมตีบริษัท Sony Pictures Entertainment

ทั้งนี้ผู้ที่สนใจรายละเอียดสำนวนการฟ้องของกระทรวงยุติธรรมสหรัฐที่มีต่อเเฮกเกอร์ทั้งสามสามารถอ่านต่อได้ที่: justice

ที่มา: zdnet, bleepingcomputer, thehackernews

Google ออกแจ้งเตือนถึงกลุ่มแฮกเกอร์ชาวเกาหลีเหนือซึ่งได้กำหนดเป้าหมายการโจมตีไปยังนักวิจัยความปลอดภัยทางไซเบอร์ โดยการชักชวนให้เข้าร่วมในการวิจัยช่องโหว่ ซึ่งการโจมตีดังกล่าวได้รับการตรวจพบโดยทีม Google Threat Analysis Group (TAG) ซึ่งเป็นทีมรักษาความปลอดภัยของ Google ที่เชี่ยวชาญในการตามล่ากลุ่มภัยคุกคาม

ตามรายงานของ TAG ระบุว่ากลุ่มแฮกชาวเกาหลีเหนือได้ใช้เทคนิค Social engineering attack ในการโจมตีกลุ่มเป้าหมาย โดยการสร้างโปรไฟล์บนเครือข่าย Social ต่าง ๆ เช่น Twitter, LinkedIn, Telegram, Discord และ Keybase เพื่อติดต่อกับนักวิจัยด้านความปลอดภัยโดยใช้รูปและที่อยู่ของบุคคลปลอม หลังจากการสร้างความน่าเชื่อถือเบื้องต้นกลุ่มเเฮกเกอร์จะเชิญชวนให้นักวิจัยทำการช่วยเหลือในการวิจัยเกี่ยวกับช่องโหว่ ซึ่งภายในโครงการวิจัยช่องโหว่นั้นจะมีโค้ดที่เป็นอันตราย ซึ่งถูกสั่งให้ติดตั้งมัลแวร์บนระบบปฏิบัติการของนักวิจัยที่ตกเป็นเป้าหมาย จากนั้น มัลแวร์ทำหน้าที่เป็นแบ็คดอร์ในการรับคำสั่งระยะไกลจากเซิร์ฟเวอร์ Command and Control (C&C) ของกลุ่มแฮกเกอร์

ตามรายงานเพิ่มเติมระบุว่ามัลแวร์ที่ถูกติดตั้งนี้มีความเชื่อมโยงกับ Lazarus Group ซึ่งเป็นกลุ่มแฮกเกอร์ปฏิบัติการที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ นอกจากการแจกจ่ายโค้ดที่เป็นอันตรายแล้วในบางกรณีกลุ่มเเฮกเกอร์ได้ขอให้นักวิจัยด้านความปลอดภัยเยี่ยมชมบล็อกผลงานการวิจัยของกลุ่มคือ blog[.]br0vvnn[.]io ซึ่งภายในบล็อกมีโค้ดที่เป็นอันตรายซึ่งทำให้คอมพิวเตอร์ของนักวิจัยด้านความปลอดภัยติดไวรัสหลังจากเข้าถึงเว็บไซต์

ทั้งนี้ผู้ที่สนใจรายละเอียดของข้อมูลและ IOC ของกลุ่มเเฮกเกอร์ดังกล่าวสามารถดูเพิ่มเติมได้ที่: blog.

อ้างอิงจากบริษัทวิจัยด้านความปลอดภัย Trend Micro กลุ่ม Lazarus ซึ่งเป็น APT ที่เชื่อมโยงกับเกาหลีเหนือได้เล็งเป้าหมายไปที่กลุ่มธนาคารในละตินอเมริกา

กิจกรรมของกลุ่ม Lazarus เพิ่มขึ้นในปี 2014 และ 2015 ส่วนใหญ่สมาชิกของกลุ่มจะใช้มัลแวร์ที่ปรับแต่งเองในการโจมตี โดยกลุ่มนี้มีกิจกรรมย้อนกลับไปตั้งแต่ปี 2009 หรืออาจเป็นช่วงต้นปี 2007 และมีส่วนเกี่ยวข้องกับแคมเปญการสอดแนมทางไซเบอร์และกิจกรรมก่อวินาศกรรมที่มุ่งทำลายข้อมูลและทำลายระบบ กลุ่มนี้ถูกระบุว่าเป็นผู้รับผิดชอบการโจมตี WannaCry ransomware, การโจมตี SWIFT ในปี 2016 และการแฮกบริษัท Sony Pictures

เมื่อไม่นานมานี้กลุ่ม Lazarus เกี่ยวข้องกับการโจมตีตู้ ATM ในเอเชียและแอฟริกา โดยใช้โทรจันชื่อ FastCash โดยใช้มาอย่างน้อยตั้งแต่ปี 2016

ตอนนี้ผู้เชี่ยวชาญจากบริษัท Trend Micro ได้ค้นพบ backdoor ที่น่าจะเป็นของกลุ่ม Lazarus ในเครื่อง ATM ของสถาบันการเงินทั่วละตินอเมริกา โดยถูกติดตั้งตั้งแต่ 19 กันยายนที่ผ่านมา

ไฟล์ Backdoor ประกอบด้วย 3 ส่วน คือ
1 AuditCred.