Kaspersky แล็บด้านความปลอดภัยในโลกไซเบอร์กำลังส่งสัญญาณเตือนภัยเกี่ยวกับกลวิธีฟิชชิงที่ได้รับการปรับปรุงใหม่โดยกลุ่ม BlueNoroff แฮ็กเกอร์ได้รับการสนับสนุนจากเกาหลีเหนือซึ่งมีแรงจูงใจทางการเงินเพื่อแสวงหากำไรจากการโจมตีทางไซเบอร์ต่อบริษัทการเงิน รวมถึงหน่วยงานเข้ารหัสลับ
BlueNoroff ได้สร้างโดเมนปลอมกว่า 70 โดเมนที่ลอกเลียนแบบ ร่วมทุน บริษัทและธนาคาร ผู้แอบอ้างส่วนใหญ่แสดงตัวว่าเป็นบริษัทญี่ปุ่นที่มีชื่อเสียง ถึงกระนั้น บางคนอ้างว่ามาจากสหรัฐอเมริกาและเวียดนาม
กลุ่ม BlueNoroff มักจะฉีดมัลแวร์ผ่านเอกสารคำและไฟล์ทางลัด มัลแวร์ล่าสุดสามารถหลบเลี่ยงค่าสถานะ Mark-of-the-Web (MOTW) ได้
รายงานของ Kaspersky เปิดเผยว่ากลุ่ม BlueNoroff กำลังทดลองกับไฟล์ประเภทใหม่ๆ และวิธีการกระจายมัลแวร์อื่นๆ
เมื่อติดตั้งแล้ว มัลแวร์จะข้ามคำเตือนด้านความปลอดภัย MOTW ของ Windows เกี่ยวกับการดาวน์โหลดเนื้อหา หลังจากนั้นไวรัสจะสกัดกั้นขนาดใหญ่ cryptocurrency การโอน การเปลี่ยนที่อยู่กระเป๋าเงินของผู้รับ และเพิ่มจำนวนเงินโอนจนถึงขีดจำกัดสูงสุด การระบายบัญชีในธุรกรรมเดียว
Seongsu Park นักวิจัยของ Kaspersky สังเกตเห็นการโจมตีทางไซเบอร์ที่เพิ่มขึ้นอย่างรวดเร็วในปี 2023 Park เน้นย้ำถึงความจำเป็นที่ธุรกิจจะต้องมีความปลอดภัยมากขึ้นกว่าเดิมเมื่อมีแคมเปญที่เป็นอันตรายใหม่ๆ เกิดขึ้น
แฮ็กเกอร์ชาวเกาหลีเหนือกดดันเรื่องความปลอดภัย
พื้นที่ ภัยคุกคามจากเกาหลีเหนือ นักแสดงโจมตีธนาคารกลางบังคลาเทศเป็นครั้งแรกในปี 2016 และอยู่ในเรดาร์ของบริการรักษาความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกาในประเทศต่างๆ
สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ร่วมกับ Cybersecurity and Infrastructure Security Agency (CISA) แนะนำให้บริษัท cryptocurrency ในอเมริกาทุกแห่งเพิ่มความแข็งแกร่งให้กับสถาปัตยกรรมความปลอดภัยเพื่อป้องกันผู้โจมตีจากแฮกเกอร์ชาวเกาหลีเหนือ
รายงานความปลอดภัยของ Group-IB ber เมื่อเร็วๆ นี้ เปิดเผย ตั้งแต่ปี 2017 กว่า 882 ล้านดอลลาร์ถูกขโมยจากการแลกเปลี่ยน crypto โดยกลุ่ม Lazarus ที่สนับสนุนโดยรัฐ
กลุ่มนี้ถูกกล่าวหาว่าเป็นผู้รับผิดชอบในการใช้ประโยชน์จาก Ronin Bridge มูลค่า 600 ล้านดอลลาร์ในเดือนมีนาคม และเพิ่งถูกพบว่าใช้โดเมนมากกว่า 500 โดเมนเพื่อพยายามขโมยโทเค็นที่ไม่สามารถทำงานร่วมกันได้ (NFT)
น่าเสียดายที่การแลกเปลี่ยน crypto ไม่ได้เป็นเพียงความเสียหายของแฮ็กเกอร์ชาวเกาหลีเหล่านี้ รายงาน Group-IB ยังเปิดเผยด้วยว่ากว่า 10% ของเงินทุนจากแคมเปญการเสนอขายครั้งแรก (ICOs) ถูกขโมยไปตั้งแต่ปี 2017
เป็นส่วนหนึ่งของการดำเนินงานที่ใหญ่ขึ้น?
ห้อง 39 คือ ก องค์กรลับ ภายในรัฐบาลเกาหลีเหนือที่มีหน้าที่ผลิตเงินตราต่างประเทศจากแหล่งที่ผิดกฎหมายให้กับประเทศ มีหลักฐานว่ามีส่วนเกี่ยวข้องกับกิจกรรมที่ผิดกฎหมายหลายอย่าง รวมถึงการปลอมแปลงและการค้ายาเสพติด เช่นเดียวกับกิจการที่ผิดกฎหมายอื่นๆ เช่น การขายอาวุธ และการแฮ็ค
ผู้แปรพักตร์ชาวเกาหลีเหนือกล่าวว่าปฏิบัติการจากอาคารในเมืองหลวงเปียงยาง และกล่าวกันว่านำโดยสมาชิกตระกูลคิม ซึ่งกุมอำนาจในเกาหลีเหนือมาสามชั่วอายุคน
ลักษณะและขอบเขตที่แน่นอนของกิจกรรมของ Room 39 นั้นถูกปกคลุมไปด้วยความลึกลับ เนื่องจากมันดำเนินการอย่างลับๆ เนื่องจากลักษณะที่ผิดกฎหมายของการดำเนินการ มันน่าจะเป็นแหล่งเงินทุนสำคัญสำหรับการปกครองแบบเผด็จการของเกาหลีเหนือ และคิดว่ามีส่วนรับผิดชอบในการสร้างเงินมืดหลายร้อยล้านดอลลาร์ทุกปี
เชื่อว่าองค์กรนี้มีความสัมพันธ์ระหว่างประเทศอย่างกว้างขวางและ อาจส่งออกแรงงานทาส ไปยังชาติยุโรปเพื่อใช้ประโยชน์จากค่าแรงงานที่สูงขึ้นในสหภาพยุโรป เมื่อเทียบกับเอเชียตะวันออก
เกาหลีเหนืออยู่ภายใต้การคว่ำบาตรที่นำโดยสหรัฐฯ มาเป็นเวลานาน ซึ่งสร้างแรงกดดันต่อการเข้าถึงทุนสำรองเงินตราต่างประเทศ ด้วยการจัดการกับธุรกิจที่ผิดกฎหมายโดยใช้เงินสด ประเทศสามารถเข้าถึงกองทุนสภาพคล่องได้ ซึ่งอาจเป็นเหตุผลว่าทำไมแฮ็กเกอร์ชาวเกาหลีเหนือจึงมองหา crypto เพิ่มเติมในขณะนี้
ความเร่งรีบอีกครั้งสำหรับเกาหลีเหนือ
เป็นไปไม่ได้ที่จะรู้ว่า Room 39 อยู่เบื้องหลังการเจาะข้อมูลอย่างต่อเนื่องหรือไม่ แต่เกาหลีเหนือเป็นที่รู้จัก การติดต่อที่ร่มรื่น ที่เพิ่มสินทรัพย์สภาพคล่อง ธุรกิจผิดกฎหมายที่มีมาอย่างยาวนานอีกธุรกิจหนึ่งสำหรับเกาหลีเหนือคือการผลิตและส่งออกเมทแอมเฟตามีน ซึ่งผู้แปรพักตร์จากเกาหลีเหนืออ้างว่า ทำภายใต้คำสั่งโดยตรง ของคิมจองอิล.
มีการใช้ปรุงยาอย่างกว้างขวางโดยประชากรในท้องถิ่น ประมาณครึ่งหนึ่งของประชากรเกาหลีเหนือ ใช้ยาซึ่งส่งออกเป็นจำนวนมากด้วย ประเทศเพื่อนบ้านเช่นจีนเป็นตลาดส่งออกที่สำคัญ แต่ประเทศอื่น ๆ เช่นสหรัฐอเมริกาได้สกัดกั้นการขนส่งปรุงยาของเกาหลีเหนือ
เช่นเดียวกับการแฮ็ก crypto ธุรกิจที่ผิดกฎหมาย เช่น การผลิตยาเสพย์ติด มีแนวโน้มที่จะได้รับการสนับสนุนโดยรัฐของเกาหลีเหนือ ซึ่งทำให้เป็นไปได้ว่าพวกเขาจะดำเนินต่อไปโดยไม่มีข้อ จำกัด
ที่มา: https://crypto.news/kaspersky-north-korean-hackers-mimic-crypto-vcs-in-new-phishing-scheme/