แฮกเกอร์ชาวเกาหลีเหนือตั้งเป้านักพัฒนาอิสระเพื่อหลอกลวงการทำงานด้วยมัลแวร์

นักพัฒนาซอฟต์แวร์อิสระเป็นเป้าหมายของแคมเปญต่อเนื่องที่ใช้การล่อใจที่เกี่ยวข้องกับการสัมภาษณ์งานเพื่อส่งมอบมัลแวร์ข้ามแพลตฟอร์มที่รู้จักกันในชื่อ BeaverTail และ InvisibleFerret

กิจกรรมดังกล่าวซึ่งเชื่อมโยงกับเกาหลีเหนือมีชื่อรหัสว่า DeceptiveDevelopment ซึ่งทับซ้อนกับคลัสเตอร์ที่ติดตามภายใต้ชื่อContagious Interview (หรือCL-STA-0240 ), DEV#POPPER, Famous Chollima, PurpleBravo และ Tenacious Pungsan แคมเปญนี้ดำเนินไปอย่างต่อเนื่องตั้งแต่ช่วงปลายปี 2023 เป็นอย่างน้อย

บริษัทด้านความปลอดภัยทางไซเบอร์ ESET กล่าวในรายงานที่แบ่งปันกับ The Hacker News ว่า”DeceptiveDevelopment กำหนดเป้าหมายนักพัฒนาซอฟต์แวร์อิสระผ่านการฟิชชิ่งแบบเจาะจงบนเว็บไซต์หางานและฟรีแลนซ์ โดยมีเป้าหมายเพื่อขโมยกระเป๋าสตางค์สกุลเงินดิจิทัลและข้อมูลการเข้าสู่ระบบจากเบราว์เซอร์และตัวจัดการรหัสผ่าน”

 

 

ในเดือนพฤศจิกายน 2024 ESET ได้ยืนยันกับ The Hacker News ถึงการทับซ้อนระหว่าง DeceptiveDevelopment และ Contagious Interview โดยจัดให้เป็นกิจกรรมใหม่ของ Lazarus Groupที่ทำขึ้นเพื่อจุดประสงค์ในการขโมยสกุลเงินดิจิทัล

ลักษณะการโจมตีนั้นโดดเด่นด้วยการใช้โปรไฟล์ผู้คัดเลือกคนเข้าทำงานปลอมบนโซเชียลมีเดียเพื่อเข้าถึงเป้าหมายที่มีแนวโน้มเป็นไปได้ และแบ่งปันฐานโค้ดโทรจันที่โฮสต์อยู่บน GitHub, GitLab หรือ Bitbucket ที่พวกเขาใช้แบ็กดอร์ภายใต้ข้ออ้างของกระบวนการสัมภาษณ์งาน
ความปลอดภัยทางไซเบอร์

 

 

แคมเปญรุ่นต่อๆ มาได้ขยายขอบเขตไปยังแพลตฟอร์มหางานอื่นๆ เช่น Upwork, Freelancer.com, We Work Remotely, Moonlight และ Crypto Jobs List ตามที่เน้นไว้ก่อนหน้านี้ความท้าทายในการจ้างงานเหล่านี้โดยทั่วไปเกี่ยวข้องกับการแก้ไขข้อบกพร่องหรือเพิ่มคุณสมบัติใหม่ให้กับโครงการที่เกี่ยวข้องกับคริปโต

นอกเหนือจากการทดสอบการเข้ารหัสแล้ว โครงการปลอมเหล่านี้ยังปลอมตัวเป็นโครงการสกุลเงินดิจิทัล เกมที่มีฟังก์ชันบล็อคเชน และแอปการพนันที่มีฟีเจอร์สกุลเงินดิจิทัล โดยส่วนใหญ่แล้วโค้ดที่เป็นอันตรายจะฝังอยู่ในส่วนประกอบที่ไม่เป็นอันตรายในรูปแบบบรรทัดเดียว

นอกจากนี้ พวกเขายังได้รับคำสั่งให้สร้างและดำเนินการโครงการเพื่อทดสอบ ซึ่งเป็นจุดที่การโจมตีเริ่มต้นเกิดขึ้น” นักวิจัยด้านความปลอดภัย Matěj Havránek กล่าว “ที่เก็บข้อมูลที่ใช้มักจะเป็นแบบส่วนตัว ดังนั้น vic-m จะถูกขอให้ระบุ ID บัญชีหรือที่อยู่อีเมลก่อนเพื่อให้ได้รับสิทธิ์ในการเข้าถึง ซึ่งส่วนใหญ่ก็เพื่อปกปิดกิจกรรมที่เป็นอันตรายจากนักวิจัย”

 

 

วิธีที่สองที่ใช้ในการประนีประนอมเบื้องต้นคือการหลอกเหยื่อให้ติดตั้งแพลตฟอร์มการประชุมทางวิดีโอที่มีมัลแวร์เช่นMiroTalkหรือFreeConference

แม้ว่า BeaverTail และ InvisibleFerret จะมาพร้อมความสามารถในการขโมยข้อมูล แต่ BeaverTail ทำหน้าที่เป็นตัวดาวน์โหลดสำหรับ InvisibleFerret นอกจากนี้ BeaverTail ยังมีอีกสองรูปแบบ ได้แก่ รูปแบบ JavaScript ที่สามารถวางไว้ในโปรเจ็กต์ที่มีโทรจัน และรูปแบบเนทีฟที่สร้างโดยใช้แพลตฟอร์ม Qt ซึ่งปลอมตัวมาเป็นซอฟต์แวร์การประชุมทางไกล

 

 

InvisibleFerret คือมัลแวร์ Python แบบโมดูลาร์ที่ดึงและดำเนินการส่วนประกอบเพิ่มเติมสามส่วน

จ่ายเงินซึ่งรวบรวมข้อมูลและทำหน้าที่เป็นประตูหลังที่สามารถรับคำสั่งระยะไกลจากเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตีเพื่อบันทึกการกดแป้นพิมพ์ จับเนื้อหาของคลิปบอร์ด เรียกใช้คำสั่งเชลล์ ดึงไฟล์และข้อมูลจากไดรฟ์ที่ติดตั้ง รวมถึงติดตั้ง AnyDesk และโมดูลเบราว์เซอร์ และรวบรวมข้อมูลจากส่วนขยายเบราว์เซอร์และตัวจัดการรหัสผ่าน
โบว์ซึ่งรับผิดชอบในการขโมยข้อมูลการเข้าสู่ระบบ ข้อมูลการกรอกอัตโนมัติ และข้อมูลการชำระเงินที่เก็บไว้ในเบราว์เซอร์ที่ใช้ Chromium เช่น Chrome, Brave, Opera, Yandex และ Edge
adcซึ่งทำหน้าที่เป็นกลไกการคงอยู่โดยติดตั้งซอฟต์แวร์เดสก์ท็อประยะไกล AnyDesk

 

 

ESET กล่าวว่าเป้าหมายหลักของแคมเปญนี้คือผู้พัฒนาซอฟต์แวร์ที่ทำงานในโครงการสกุลเงินดิจิทัลและการเงินแบบกระจายอำนาจทั่วโลก โดยมีรายงานความเข้มข้นที่สำคัญในฟินแลนด์ อินเดีย อิตาลี ปากีสถาน สเปน แอฟริกาใต้ รัสเซีย ยูเครน และสหรัฐอเมริกา

“ผู้โจมตีไม่แยกแยะตามที่ตั้งทางภูมิศาสตร์ และมุ่งหมายที่จะโจมตีเหยื่อให้ได้มากที่สุด เพื่อเพิ่มโอกาสในการดึงเงินและข้อมูลสำเร็จ”

สิ่งนี้ยังได้รับการพิสูจน์จากแนวทางการเขียนโค้ดที่ไม่ดีอย่างเห็นได้ชัดซึ่งผู้ปฏิบัติงานใช้ ตั้งแต่ความล้มเหลวในการลบบันทึกการพัฒนาไปจนถึงที่อยู่ IP ในเครื่องที่ใช้สำหรับการพัฒนาและการทดสอบ ซึ่งบ่งชี้ว่ากลุ่มผู้บุกรุกไม่กังวลเกี่ยวกับการแอบซ่อน

ที่น่าสังเกตก็คือ การใช้กลลวงสัมภาษณ์งานเป็นกลยุทธ์คลาสสิกที่กลุ่มแฮกเกอร์ในเกาหลีเหนือต่างๆ ใช้ โดยกลยุทธ์ที่โด่งดังที่สุดคือแคมเปญที่ดำเนินมายาวนานที่มีชื่อว่าOperation Dream Job

นอกจากนี้ ยังมีหลักฐานที่บ่งชี้ว่าผู้ก่อให้เกิดภัยคุกคามยังมีส่วนเกี่ยวข้องกับแผนการหลอกลวงพนักงานไอทีโดยที่พลเมืองเกาหลีเหนือสมัครงานในต่างประเทศโดยใช้ตัวตนปลอมเพื่อรับเงินเดือนประจำเพื่อเป็นช่องทางในการระดมทุนเพื่อสนับสนุนภารกิจสำคัญของระบอบการปกครอง

 

 

การทับซ้อนนี้รวมถึงการติดตามซึ่งกันและกันระหว่างบัญชี GitHub ที่ควบคุมโดยผู้โจมตีและบัญชีที่มี CV ปลอมที่ใช้โดยพนักงานไอทีของเกาหลีเหนือ ปัจจุบันหน้า GitHub ที่เกี่ยวข้องบางส่วนถูกปิดลงแล้ว

“คลัสเตอร์ DeceptiveDevelopment เป็นส่วนเสริมของแผนการสร้างรายได้ที่มีอยู่แล้วจำนวนมากซึ่งใช้โดยผู้ที่สนับสนุนเกาหลีเหนือ และสอดคล้องกับแนวโน้มที่กำลังเปลี่ยนแปลงโฟกัสจากเงินแบบดั้งเดิมไปสู่สกุลเงินดิจิทัล” ESET กล่าว

“ระหว่างการวิจัยของเรา เราพบว่ามีการเปลี่ยนจากเครื่องมือและเทคนิคแบบดั้งเดิมไปเป็นมัลแวร์ขั้นสูงและมีประสิทธิภาพมากขึ้น รวมถึงเทคนิคที่ทันสมัยยิ่งขึ้นในการล่อเหยื่อและปล่อยมัลแวร์”

 

แหล่งที่มา : thehackernews

ถ้าหากสนใจสามารถติดต่อได้ที่เบอร์ข้างล่างนี้ได้เลยครับ

รายละเอียดเพิ่มเติม : https://www.wizberry.biz

ขอบคุณครับ

บริษัท a2network (Thailand ) จำกัด

ติดต่อ : 02-261-3020 , 062-590-1693