BlueNoroff: ความเสี่ยงที่ซ่อนเร้น | กลุ่มภัยคุกคามโจมตีเครื่อง Mac ด้วยข่าวคริปโตปลอมและวิธีการฝังตัวที่แปลกใหม่
BlueNoroff ซึ่งเป็นกลุ่มภัยคุกคามในเครือของ Lazarus Group ได้กลับมาโจมตีอีกครั้ง โดยคราวนี้เป้าหมายหลักของพวกเขาคือ MacOS ผู้โจมตีใช้วิธีการหลอกลวงที่ซับซ้อน เช่น การปลอมตัวเป็นบริษัทคริปโตเคอร์เรนซีและการใช้ไฟล์อันตรายเพื่อหลอกให้ผู้ใช้งาน Mac ติดตั้งมัลแวร์ลงในระบบ กลุ่มภัยคุกคาม BlueNoroff ซึ่งเชื่อมโยงกับเกาหลีเหนือ ได้พุ่งเป้าโจมตีธุรกิจที่เกี่ยวข้องกับคริปโตเคอเรนซี โดยใช้มัลแวร์หลายขั้นตอนที่ซับซ้อน
วิธีการโจมตี
SentinelOne การโจมตีนี้เริ่มต้นด้วยการส่งอีเมลฟิชชิงที่มีลิงก์ไปยังแอปพลิเคชันที่ปลอมเป็นไฟล์ PDF ที่เกี่ยวข้องกับข่าวคริปโต เช่น “Hidden Risk Behind New Surge of Bitcoin Price” เมื่อผู้ใช้ดาวน์โหลดและเปิดแอปพลิเคชันดังกล่าว มัลแวร์จะถูกติดตั้งในระบบ
สิ่งที่น่าสังเกตคือการใช้กลไกการคงอยู่ใหม่ โดยการแก้ไขไฟล์การตั้งค่า Zsh (zshenv
) เพื่อให้มัลแวร์ทำงานทุกครั้งที่ผู้ใช้เปิดเทอร์มินัล กลยุทธ์นี้ช่วยให้มัลแวร์สามารถหลบเลี่ยงการตรวจจับและคงอยู่ในระบบได้อย่างมีประสิทธิภาพ
การโจมตีนี้แสดงให้เห็นถึงความซับซ้อนและความมุ่งมั่นของกลุ่ม BlueNoroff ในการพัฒนากลยุทธ์ใหม่ ๆ เพื่อโจมตีธุรกิจคริปโตเคอเรนซี องค์กรที่เกี่ยวข้องกับคริปโตควรเพิ่มความระมัดระวังและเสริมสร้างมาตรการความปลอดภัยเพื่อป้องกันการโจมตีที่ซับซ้อนเช่นนี้
BlueNoroff ใช้ไฟล์อันตรายที่ปลอมเป็นไฟล์งานหรือเอกสารที่เกี่ยวข้องกับคริปโต เพื่อหลอกเป้าหมายที่อยู่ในวงการนี้ ตัวอย่างไฟล์ที่พบเป็นเอกสาร Word หรือ PDF ที่ดูเหมือนปลอดภัย แต่ในความเป็นจริงกลับมีโค้ดอันตรายที่สามารถติดตั้งมัลแวร์บนเครื่อง Mac ของเหยื่อ
การหลอกลวงผ่านข่าวปลอม
หนึ่งในกลยุทธ์ของ BlueNoroff คือการสร้างข่าวปลอมเกี่ยวกับการลงทุนคริปโตหรือข่าวที่อ้างว่ามาจากบริษัทที่มีชื่อเสียงในวงการ ผู้ใช้งานที่ได้รับอีเมลหรือข้อความปลอมเหล่านี้อาจถูกล่อลวงให้คลิกลิงก์หรือดาวน์โหลดไฟล์อันตราย
เทคนิคการคงอยู่ (Persistence)
BlueNoroff ใช้เทคนิคการคงอยู่ในระบบที่ไม่เคยเห็นมาก่อนบน Mac โดยมัลแวร์ที่ติดตั้งในระบบจะสร้างวิธีการคงอยู่ให้รอดพ้นจากการตรวจจับ แม้ว่าเหยื่อจะพยายามลบมัลแวร์ออกไปก็ตาม
ความเสี่ยงต่อธุรกิจ
ธุรกิจที่เกี่ยวข้องกับคริปโต เช่น การแลกเปลี่ยนเงินคริปโต หรือบริษัทที่มีส่วนเกี่ยวข้องกับการพัฒนาบล็อกเชน อาจตกเป็นเป้าหมายของการโจมตีเหล่านี้ได้ การโจมตีอาจนำไปสู่การสูญเสียข้อมูลสำคัญหรือความเสียหายทางการเงินอย่างมาก
คำแนะนำ
- เพิ่มการป้องกัน MacOS – ตรวจสอบให้แน่ใจว่าระบบมีการอัปเดตแพตช์ความปลอดภัยล่าสุด
- หลีกเลี่ยงการดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ – โดยเฉพาะไฟล์ที่เกี่ยวข้องกับการลงทุนคริปโตหรือข่าวสาร
- ติดตั้งโซลูชันรักษาความปลอดภัย – ใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่สามารถตรวจจับภัยคุกคามใหม่ ๆ ได้
- เพิ่มการตรวจสอบทางไซเบอร์ – ระวังอีเมลหรือข้อความที่ดูผิดปกติ และฝึกอบรมพนักงานให้รู้เท่าทันกลโกงทางไซเบอร์
BlueNoroff ยังคงเป็นภัยคุกคามที่ต้องจับตามองในโลกไซเบอร์ การป้องกันและระมัดระวังเป็นสิ่งสำคัญที่สุดในการรับมือกับกลุ่มผู้โจมตีเหล่านี้
Sources for researching the origins of IOCs (Indicators of Compromise)
sentinelone
Fomodailys คือแหล่งข้อมูลข่าวสารที่ครบวงจรสำหรับ Cryptocurrency มุ่งเน้นการนำเสนอเนื้อหาที่น่าเชื่อถือและเข้าใจง่าย เพื่อช่วยให้ทุกคนสามารถก้าวเข้าสู่ยุคใหม่ของการเงินและเทคโนโลยี