จับตาด่วน! Lazarus Group กลุ่มแฮกเกอร์เกาหลีเหนือ อัปเกรดคลังอาวุธไซเบอร์ เปิดตัวมัลแวร์ใหม่ 3 ตัวรวด มุ่งเป้าโจมตีองค์กร DeFi

 

กลุ่มแฮกเกอร์ชื่อดัง Lazarus Group ที่มีความเชื่อมโยงกับเกาหลีเหนือ กลับมาสร้างความเคลื่อนไหวในโลกไซเบอร์อีกครั้ง โดยล่าสุดมีรายงานจาก Fox-IT ในเครือ NCC Group ว่าได้ค้นพบแคมเปญการโจมตีด้วยเทคนิควิศวกรรมสังคม (Social Engineering) ที่ซับซ้อน เพื่อแพร่กระจายมัลแวร์ข้ามแพลตฟอร์มถึง 3 ชนิด ได้แก่ PondRAT, ThemeForestRAT และ RemotePE โดยมีเป้าหมายหลักคือองค์กรในแวดวงการเงินดิจิทัล (Decentralized Finance - DeFi)

การโจมตีที่ถูกตรวจพบในปี 2024 นี้ ประสบความสำเร็จในการเจาะเข้าระบบคอมพิวเตอร์ของพนักงานรายหนึ่งในองค์กรเป้าหมายได้สำเร็จ

"หลังจากที่แฮกเกอร์เข้ามาในเครือข่ายได้แล้ว พวกเขาได้ใช้มัลแวร์ประเภท RAT (Remote Access Trojan) หลายตัวร่วมกับเครื่องมืออื่นๆ เพื่อสำรวจเครือข่ายภายใน เช่น การขโมยข้อมูลยืนยันตัวตน (credentials) หรือการสร้างพร็อกซีเพื่อเชื่อมต่อ" Yun Zheng Hu และ Mick Koomen จาก Fox-IT กล่าว "จากนั้น แฮกเกอร์ได้เปลี่ยนไปใช้ RAT ที่ซ่อนตัวได้แนบเนียนยิ่งขึ้น ซึ่งน่าจะเป็นสัญญาณบ่งบอกถึงการโจมตีในขั้นต่อไป"

เส้นทางการโจมตี: จากการปลอมตัวสู่การยึดเครื่อง

เส้นทางการโจมตีเริ่มต้นจากการที่แฮกเกอร์ ปลอมตัวเป็นพนักงานของบริษัทคู่ค้า บนแอปพลิเคชัน Telegram และสร้างเว็บไซต์ปลอมที่เลียนแบบบริการนัดหมายยอดนิยมอย่าง Calendly และ Picktime เพื่อหลอกล่อให้เหยื่อนัดประชุม

แม้จะยังไม่ทราบแน่ชัดว่าแฮกเกอร์เจาะเข้าระบบในขั้นตอนแรกได้อย่างไร แต่หลังจากที่สามารถแฝงตัวเข้ามาได้แล้ว พวกเขาจะทำการติดตั้งตัวโหลดเดอร์ที่ชื่อว่า PerfhLoader เพื่อปล่อยมัลแวร์ตัวแรกที่ชื่อว่า PondRAT ซึ่งเป็นมัลแวร์เวอร์ชันดัดแปลงที่ลดทอนความสามารถลงมาจากมัลแวร์ตระกูล POOLRAT ที่เคยรู้จักกันดี นอกจากนี้ ทาง Fox-IT ยังพบหลักฐานที่ชี้ว่า แฮกเกอร์อาจใช้ ช่องโหว่ซีโร่เดย์ (zero-day exploit) ของเบราว์เซอร์ Chrome ที่ยังไม่เป็นที่รู้จักในขณะนั้นเป็นส่วนหนึ่งของการโจมตีด้วย

นอกเหนือจาก PondRAT แล้ว แฮกเกอร์ยังติดตั้งเครื่องมืออื่นๆ อีกหลายชนิด เช่น โปรแกรมดักจับภาพหน้าจอ, โปรแกรมบันทึกการกดคีย์บอร์ด (keylogger), เครื่องมือขโมยรหัสผ่านและคุกกี้จาก Chrome, และโปรแกรมพร็อกซีต่างๆ เพื่อช่วยในการโจมตี

เจาะลึกมัลแวร์ 3 พี่น้อง: จากเรียบง่ายสู่ความซับซ้อน

1.PondRAT: เป็นมัลแวร์ประเภท Remote Access Trojan (RAT) แบบพื้นฐาน ที่เปิดทางให้แฮกเกอร์สามารถอ่าน-เขียนไฟล์, สั่งรันโปรแกรม และสั่งรันโค้ดบนเครื่องของเหยื่อได้จากระยะไกล โดยแฮกเกอร์ใช้มัลแวร์ตัวนี้ร่วมกับ ThemeForestRAT เป็นเวลาประมาณ 3 เดือน ก่อนที่จะลบตัวเองทิ้งและติดตั้งมัลแวร์ที่ซับซ้อนกว่าอย่าง RemotePE

2.ThemeForestRAT: เป็น RAT ที่มีความสามารถสูงกว่า ถูกสั่งให้ทำงานบนหน่วยความจำ (RAM) โดยตรงผ่าน PondRAT ทำให้ตรวจจับได้ยากมาก มันสามารถรับคำสั่งจากเซิร์ฟเวอร์ควบคุม (C2) ได้ถึง 20 คำสั่ง ตั้งแต่การจัดการไฟล์, รันคำสั่ง, ไปจนถึงการฉีดโค้ดที่เป็นอันตรายเข้าสู่โปรแกรมอื่น ที่น่าสนใจคือ Fox-IT พบว่า ThemeForestRAT มีความคล้ายคลึงกับมัลแวร์ "RomeoGolf" ที่ Lazarus Group เคยใช้ในการโจมตีครั้งประวัติศาสตร์อย่าง Sony Pictures Entertainment ในปี 2014
3.RemotePE: เป็นมัลแวร์ RAT ที่เขียนด้วยภาษา C++ และถือเป็นเครื่องมือขั้นสูงที่สุดในบรรดา 3 ตัวนี้ คาดว่าถูกสงวนไว้ใช้กับเป้าหมายที่มีมูลค่าสูงโดยเฉพาะ

Fox-IT สรุปว่า "PondRAT ทำหน้าที่เป็นมัลแวร์ด่านแรกที่เรียบง่ายแต่บรรลุเป้าหมาย ส่วนงานที่ซับซ้อนขึ้น แฮกเกอร์จะใช้ ThemeForestRAT ที่มีความสามารถมากกว่าและหลบซ่อนตัวได้ดีกว่า เพราะมันทำงานในหน่วยความจำเท่านั้น"

การค้นพบครั้งนี้ชี้ให้เห็นว่า Lazarus Group ยังคงพัฒนาเทคนิคและเครื่องมือในการโจมตีอย่างไม่หยุดยั้ง ซึ่งเป็นภัยคุกคามร้ายแรงต่อองค์กรต่างๆ โดยเฉพาะในภาคการเงิน

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก