“แคสเปอร์สกี้” เผย กลุ่ม Lazarus APT ใช้ช่องโหว่ zero-day ในเบราเซอร์ Chrome เพื่อขโมยเงินคริปโต ดึง AI พร้อมผสาน Generative AI เข้ากับปฏิบัติการเพิ่มความสำเร็จ
ทีมวิจัยและวิเคราะห์ระดับโลกของ แคสเปอร์สกี้ (GReAT) เปิดเผยว่า แคมเปญอันตรายที่ซับซ้อนโดยกลุ่ม ลาซารัส Lazarus APT (Advanced Persistent Threat) มีเป้าหมายเป็นนักลงทุนเงินคริปโตทั่วโลก
ผู้โจมตีใช้เว็บไซต์เกมคริปโตปลอมโดยใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ในเบราเซอร์ Google Chrome เพื่อติดตั้งสปายแวร์และขโมยข้อมูลประจำตัวของวอลเล็ต
เดือนพฤษภาคม 2024 ผู้เชี่ยวชาญของแคสเปอร์สกี้ได้วิเคราะห์เหตุการณ์ที่เกิดขึ้นภายใน Kaspersky Security Network และพบการโจมตีโดยใช้มัลแวร์ Manuscrypt ที่กลุ่ม Lazarus ใช้มาตั้งแต่ปี 2013
ทีม GReAT บันทึกแคมเปญได้มากกว่า 50 แคมเปญที่มีเป้าหมายโจมตีภาคอุตสาหกรรมต่างๆ การวิเคราะห์เพิ่มเติมจึงพบว่า เป็นแคมเปญอันตรายที่ซับซ้อนซึ่งพึ่งพาเทคนิค social engineering และ generative AI อย่างมากเพื่อพุ่งการโจมตีนักลงทุนเงินคริปโตโดยเฉพาะ
กลุ่ม Lazarus เป็นที่รู้จักด้านการโจมตีขั้นสูงบนแพลตฟอร์มเงินคริปโตและมีประวัติการใช้ช่องโหว่ซีโร่เดย์ แคมเปญที่เพิ่งค้นพบนี้ก็ดำเนินตามรูปแบบเดียวกัน
นักวิจัยของแคสเปอร์สกี้พบว่า ผู้ก่อภัยคุกคามใช้ประโยชน์จากช่องโหว่สองแห่ง รวมถึงบั๊กที่ทำให้สับสนอย่างที่ไม่เคยพบมาก่อนใน V8 ซึ่งเป็น JavaScript โอเพ่นซอร์สของ Google และเอ็นจิ้น WebAssembly
ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดตามต้องการ บายพาสคุณสมบัติความปลอดภัย และดำเนินกิจกรรมที่เป็นอันตรายต่างๆ ส่วนช่องโหว่อีกแห่งถูกใช้เพื่อบายพาสการป้องกันแซนด์บ็อกซ์ของ Google Chrome V8
ผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้ผ่านเว็บไซต์เกมปลอมที่ออกแบบมาอย่างพิถีพิถันเพื่อเชิญชวนผู้ใช้ให้แข่งขันกับรถถัง NFT ทั่วโลก ผู้โจมตีเน้นสร้างความรู้สึกไว้วางใจเพื่อเพิ่มประสิทธิภาพแคมเปญให้สูงสุด ออกแบบรายละเอียดเพื่อให้กิจกรรมส่งเสริมการขายดูสมจริงที่สุด ซึ่งรวมถึงการสร้างบัญชีโซเชียลมีเดียบน X (Twitter) และ LinkedIn เพื่อโปรโมตเกมเป็นเวลาหลายเดือน
โดยใช้รูปภาพที่สร้างโดยและผู้เชี่ยวชาญของแคสเปอร์สกี้คาดว่าผู้โจมตีจะคิดค้นการโจมตีที่ซับซ้อนยิ่งขึ้นโดยใช้เทคโนโลยีนี้
นอกจากนี้ ผู้โจมตียังพยายามติดต่ออินฟลูเอนเซอร์ด้านเงินคริปโตเพื่อโปรโมตการแข่งขัน โดยใช้ประโยชน์จากโซเชียลมีเดีย ซึ่งเป็นการแพร่กระจายภัยคุกคามและสามารถกำหนดเป้าหมายบัญชีเงินคริปโตของเหยื่อได้โดยตรงอีกด้วย
บอริส ลาริน ผู้เชี่ยวชาญด้านความปลอดภัย ทีม GReAT แคสเปอร์สกี้ กล่าวว่า แม้ว่าจะเคยเห็นอาชญากรไซเบอร์ขั้นสูง APT หาผลประโยชน์ทางการเงินมาก่อน แต่แคมเปญนี้ถือเป็นแคมเปญที่ไม่เหมือนใคร
ผู้โจมตีใช้กลวิธีที่เหนือกว่าวิธีปกติ ด้วยการใช้เกมที่มีฟังก์ชันครบถ้วนเป็นข้ออ้างในการใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ของ Google Chrome และแพร่ระบาดไปยังระบบเป้าหมาย
กลุ่มอาชญากรไซเบอร์ฉาวโฉ่อย่างกลุ่ม Lazarus นี้แม้แต่การกระทำที่ดูเหมือนไม่เป็นอันตราย เช่น การคลิกลิงก์บนโซเชียลเน็ตเวิร์กหรือในอีเมล ก็อาจส่งผลให้คอมพิวเตอร์ส่วนบุคคลหรือเครือข่ายองค์กรทั้งหมดถูกบุกรุกได้อย่างสมบูรณ์ การที่กลุ่ม Lazarus พยายามลงแรงอย่างมากกับแคมเปญนี้ แสดงให้เห็นว่ามีแผนการใหญ่ที่ทะเยอทะยาน และผลกระทบอาจขยายวงกว้างกว่านั้นมาก ซึ่งอาจส่งผลกระทบต่อผู้ใช้และองค์กรธุรกิจทั่วโลก
ผู้เชี่ยวชาญของแคสเปอร์สกี้ยังค้นพบเกมที่ถูกต้องซึ่งน่าจะเป็นต้นแบบของเกมเวอร์ชันของผู้โจมตี ไม่นานหลังจากที่ผู้โจมตีเปิดตัวแคมเปญเพื่อโปรโมตเกมของตน นักพัฒนาเกมตัวจริงอ้างว่ามีการโอนเงินคริปโตมูลค่า 20,000 ดอลลาร์ออกจากวอลเล็ตของตน
โลโก้และการออกแบบของเกมปลอมนั้นใกล้เคียงกับเกมต้นฉบับมาก ต่างกันเพียงการวางโลโก้และคุณภาพของภาพเท่านั้น เมื่อพิจารณาจากความคล้ายคลึงและการทับซ้อนของโค้ดเหล่านี้
จะเห็นได้ว่ากลุ่ม Lazarus พยายามอย่างเต็มที่เพื่อเพิ่มความน่าเชื่อถือให้กับการโจมตีนี้ ทั้งสร้างเกมปลอมโดยใช้โค้ดต้นฉบับที่ขโมยมา จัดวางโลโก้และระบุข้อมูลทั้งหมดจากเกมที่ถูกกฎหมาย เพื่อบดบังความจริงในเวอร์ชันที่แทบจะเหมือนกันทุกประการ
———————————————————————————————————————————————————————————
ที่มา : Bangkokbiznews / วันที่เผยแพร่ 25 ต.ค.67
Link : https://www.bangkokbiznews.com/tech/gadget/1150729