BlueNoroff Hidden Risk Threat Actor Targets Macs with Fake Crypto News and Novel Persistence

BlueNoroff: ความเสี่ยงที่ซ่อนเร้น | กลุ่มภัยคุกคามโจมตีเครื่อง Mac ด้วยข่าวคริปโตปลอมและวิธีการฝังตัวที่แปลกใหม่


BlueNoroff ซึ่งเป็นกลุ่มภัยคุกคามในเครือของ Lazarus Group ได้กลับมาโจมตีอีกครั้ง โดยคราวนี้เป้าหมายหลักของพวกเขาคือ MacOS ผู้โจมตีใช้วิธีการหลอกลวงที่ซับซ้อน เช่น การปลอมตัวเป็นบริษัทคริปโตเคอร์เรนซีและการใช้ไฟล์อันตรายเพื่อหลอกให้ผู้ใช้งาน Mac ติดตั้งมัลแวร์ลงในระบบ กลุ่มภัยคุกคาม BlueNoroff ซึ่งเชื่อมโยงกับเกาหลีเหนือ ได้พุ่งเป้าโจมตีธุรกิจที่เกี่ยวข้องกับคริปโตเคอเรนซี โดยใช้มัลแวร์หลายขั้นตอนที่ซับซ้อน

วิธีการโจมตี
SentinelOne การโจมตีนี้เริ่มต้นด้วยการส่งอีเมลฟิชชิงที่มีลิงก์ไปยังแอปพลิเคชันที่ปลอมเป็นไฟล์ PDF ที่เกี่ยวข้องกับข่าวคริปโต เช่น “Hidden Risk Behind New Surge of Bitcoin Price” เมื่อผู้ใช้ดาวน์โหลดและเปิดแอปพลิเคชันดังกล่าว มัลแวร์จะถูกติดตั้งในระบบ

สิ่งที่น่าสังเกตคือการใช้กลไกการคงอยู่ใหม่ โดยการแก้ไขไฟล์การตั้งค่า Zsh (zshenv) เพื่อให้มัลแวร์ทำงานทุกครั้งที่ผู้ใช้เปิดเทอร์มินัล กลยุทธ์นี้ช่วยให้มัลแวร์สามารถหลบเลี่ยงการตรวจจับและคงอยู่ในระบบได้อย่างมีประสิทธิภาพ

การโจมตีนี้แสดงให้เห็นถึงความซับซ้อนและความมุ่งมั่นของกลุ่ม BlueNoroff ในการพัฒนากลยุทธ์ใหม่ ๆ เพื่อโจมตีธุรกิจคริปโตเคอเรนซี องค์กรที่เกี่ยวข้องกับคริปโตควรเพิ่มความระมัดระวังและเสริมสร้างมาตรการความปลอดภัยเพื่อป้องกันการโจมตีที่ซับซ้อนเช่นนี้

BlueNoroff ใช้ไฟล์อันตรายที่ปลอมเป็นไฟล์งานหรือเอกสารที่เกี่ยวข้องกับคริปโต เพื่อหลอกเป้าหมายที่อยู่ในวงการนี้ ตัวอย่างไฟล์ที่พบเป็นเอกสาร Word หรือ PDF ที่ดูเหมือนปลอดภัย แต่ในความเป็นจริงกลับมีโค้ดอันตรายที่สามารถติดตั้งมัลแวร์บนเครื่อง Mac ของเหยื่อ

การหลอกลวงผ่านข่าวปลอม

หนึ่งในกลยุทธ์ของ BlueNoroff คือการสร้างข่าวปลอมเกี่ยวกับการลงทุนคริปโตหรือข่าวที่อ้างว่ามาจากบริษัทที่มีชื่อเสียงในวงการ ผู้ใช้งานที่ได้รับอีเมลหรือข้อความปลอมเหล่านี้อาจถูกล่อลวงให้คลิกลิงก์หรือดาวน์โหลดไฟล์อันตราย

เทคนิคการคงอยู่ (Persistence)

BlueNoroff ใช้เทคนิคการคงอยู่ในระบบที่ไม่เคยเห็นมาก่อนบน Mac โดยมัลแวร์ที่ติดตั้งในระบบจะสร้างวิธีการคงอยู่ให้รอดพ้นจากการตรวจจับ แม้ว่าเหยื่อจะพยายามลบมัลแวร์ออกไปก็ตาม

ความเสี่ยงต่อธุรกิจ

ธุรกิจที่เกี่ยวข้องกับคริปโต เช่น การแลกเปลี่ยนเงินคริปโต หรือบริษัทที่มีส่วนเกี่ยวข้องกับการพัฒนาบล็อกเชน อาจตกเป็นเป้าหมายของการโจมตีเหล่านี้ได้ การโจมตีอาจนำไปสู่การสูญเสียข้อมูลสำคัญหรือความเสียหายทางการเงินอย่างมาก

คำแนะนำ

  1. เพิ่มการป้องกัน MacOS – ตรวจสอบให้แน่ใจว่าระบบมีการอัปเดตแพตช์ความปลอดภัยล่าสุด
  2. หลีกเลี่ยงการดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ – โดยเฉพาะไฟล์ที่เกี่ยวข้องกับการลงทุนคริปโตหรือข่าวสาร
  3. ติดตั้งโซลูชันรักษาความปลอดภัย – ใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่สามารถตรวจจับภัยคุกคามใหม่ ๆ ได้
  4. เพิ่มการตรวจสอบทางไซเบอร์ – ระวังอีเมลหรือข้อความที่ดูผิดปกติ และฝึกอบรมพนักงานให้รู้เท่าทันกลโกงทางไซเบอร์

BlueNoroff ยังคงเป็นภัยคุกคามที่ต้องจับตามองในโลกไซเบอร์ การป้องกันและระมัดระวังเป็นสิ่งสำคัญที่สุดในการรับมือกับกลุ่มผู้โจมตีเหล่านี้

Sources for researching the origins of IOCs (Indicators of Compromise)
sentinelone

ที่มา
darkreading
securelist