แฮกเกอร์เกาหลีเหนือใช้มัลแวร์ Backdoor ตัวใหม่ "AkdoorTea" โจมตีนักพัฒนาคริปโตทั่วโลก
กลุ่มแฮกเกอร์ที่เชื่อมโยงกับเกาหลีเหนือ ซึ่งเป็นที่รู้จักจากแคมเปญโจมตี "Contagious Interview" ถูกพบว่ากำลังใช้มัลแวร์ประเภท Backdoor ตัวใหม่ที่ยังไม่เคยถูกเปิดเผยมาก่อนในชื่อ AkdoorTea ควบคู่ไปกับเครื่องมืออื่นๆ อย่าง TsunamiKit และ Tropidoor เพื่อพุ่งเป้าโจมตีนักพัฒนาซอฟต์แวร์ทั่วโลก
ESET บริษัทความปลอดภัยทางไซเบอร์จากสโลวาเกีย ซึ่งติดตามกิจกรรมของกลุ่มนี้ภายใต้ชื่อรหัส "DeceptiveDevelopment" รายงานว่า แคมเปญนี้มุ่งเป้าไปที่นักพัฒนาซอฟต์แวร์บนทุกระบบปฏิบัติการ ทั้ง Windows, Linux และ macOS โดยเฉพาะอย่างยิ่งผู้ที่ทำงานในแวดวงสกุลเงินดิจิทัล (Cryptocurrency) และโครงการ Web3
กลลวงเสนองาน สู่การติดตั้งมัลแวร์
นักวิจัยจาก ESET เปิดเผยว่า กลยุทธ์หลักของกลุ่มแฮกเกอร์คือการปลอมตัวเป็นนายหน้าจัดหางาน และติดต่อเป้าหมายผ่านแพลตฟอร์มชื่อดังอย่าง LinkedIn, Upwork, Freelancer และ Crypto Jobs List เพื่อเสนอตำแหน่งงานที่ดูน่าสนใจและให้ผลตอบแทนสูง
เมื่อเป้าหมายแสดงความสนใจ คนร้ายจะลวงให้ทำแบบทดสอบ 2 รูปแบบ:
- ทดสอบผ่านวิดีโอ: ส่งลิงก์ให้เป้าหมายเพื่อทำการประเมินผ่านวิดีโอ แต่เว็บไซต์จะแสดงข้อผิดพลาดปลอมๆ ว่า "กล้องหรือไมโครโฟนถูกบล็อก" จากนั้นจะหลอกให้ทำตามคำแนะนำเพื่อ "แก้ไข" ปัญหา โดยให้เหยื่อคัดลอกและวางคำสั่งลงใน Command Prompt (สำหรับ Windows) หรือ Terminal (สำหรับ macOS/Linux) ซึ่งแท้จริงแล้วเป็นคำสั่งติดตั้งมัลแวร์
- ทดสอบเขียนโค้ด: ส่งโปรเจกต์ที่โฮสต์อยู่บน GitHub ให้เป้าหมายดาวน์โหลดไปทำ ซึ่งในโปรเจกต์นั้นได้แฝงมัลแวร์ไว้ และจะถูกติดตั้งลงบนเครื่องของเหยื่อทันทีที่เปิดใช้งาน
คลังแสงมัลแวร์ที่หลากหลาย
ไม่ว่าจะใช้วิธีใด เป้าหมายสุดท้ายคือการติดตั้งมัลแวร์หลายชนิดลงบนเครื่องของเหยื่อ เช่น BeaverTail, InvisibleFerret, OtterCookie และ WeaselStore ซึ่งมัลแวร์เหล่านี้ถูกออกแบบมาเพื่อขโมยข้อมูลสำคัญจากเบราว์เซอร์และกระเป๋าเงินดิจิทัล (Crypto Wallets) โดยเฉพาะ WeaselStore ที่นอกจากจะขโมยข้อมูลแล้ว ยังทำหน้าที่เป็น RAT (Remote Access Trojan) เพื่อรอรับคำสั่งเพิ่มเติมจากแฮกเกอร์ได้อีกด้วย
นอกจากนี้ ยังมีการใช้เครื่องมืออื่นๆ ที่น่าสนใจ ได้แก่:
- TsunamiKit: ชุดเครื่องมือมัลแวร์ที่ใช้ขโมยข้อมูลและขุดเหรียญคริปโต
- Tropidoor: มัลแวร์ที่มีความซับซ้อนสูง ซึ่ง ESET พบว่ามีการแชร์โค้ดบางส่วนกับ "LightlessCan" ซึ่งเป็นเครื่องมือของ Lazarus Group กลุ่มแฮกเกอร์ระดับสูงของเกาหลีเหนือ
- AkdoorTea: มัลแวร์ Backdoor ตัวล่าสุดที่ถูกค้นพบ ถูกส่งผ่านสคริปต์ที่อ้างว่าเป็นการอัปเดตไดรเวอร์ของการ์ดจอ NVIDIA ซึ่งมีความเชื่อมโยงกับมัลแวร์ Akdoor ที่เป็นหนึ่งในเวอร์ชันของ NukeSped ซึ่งเป็นเครื่องมือของ Lazarus Group เช่นกัน
ไม่ใช่แค่การโจมตี แต่เป็นภัยคุกคามแบบผสมผสาน
ESET วิเคราะห์ว่า แม้เทคนิคของกลุ่ม DeceptiveDevelopment อาจไม่ซับซ้อนเท่ากลุ่มอื่น แต่พวกเขาชดเชยด้วยปริมาณการโจมตีที่มหาศาล และความคิดสร้างสรรค์ในการใช้เทคนิคหลอกลวงทางสังคม (Social Engineering) โดยนำเครื่องมือโอเพนซอร์สและโปรเจกต์จากเว็บมืดมาปรับใช้
ที่น่ากังวลไปกว่านั้นคือ แคมเปญนี้มีความเชื่อมโยงกับ "ขบวนการส่งออกแรงงานไอทีปลอม" (WageMole) ของเกาหลีเหนือ โดยข้อมูลที่ขโมยมาได้จากการแฮก จะถูกนำไปใช้สร้างตัวตนปลอมเพื่อสมัครงานในบริษัทต่างๆ ทั่วโลก ซึ่งเป็นวิธีการหาเงินเข้าประเทศที่ผสมผสานระหว่างอาชญากรรมไซเบอร์และการฉ้อโกงแบบดั้งเดิม
ล่าสุด บริษัท Trellix ได้เปิดเผยกรณีของบุคคลที่ใช้ชื่อ "Kyle Lankford" ซึ่งเชื่อว่าเป็นเจ้าหน้าที่ไอทีของเกาหลีเหนือที่แฝงตัวมาสมัครงานตำแหน่งวิศวกรซอฟต์แวร์อาวุโสในบริษัทด้านการดูแลสุขภาพของสหรัฐฯ ซึ่งตอกย้ำให้เห็นว่าภัยคุกคามจากเกาหลีเหนือเป็นภัยคุกคามแบบผสมผสานที่ซับซ้อนและส่งผลกระทบในวงกว้าง
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก