กลุ่มแฮกเกอร์ Librarian Ghouls
กลุ่มแฮกเกอร์ Librarian Ghouls ได้เข้าถึงอุปกรณ์ของผู้ใช้งานในรัสเซียหลายร้อยเครื่อง และใช้พวกมันในการ ขุดคริปโต ในกรณีที่ชัดเจนของการขโมยการเข้าถึงข้อมูล (cryptojacking) ตามการรายงานของบริษัทความปลอดภัยไซเบอร์ Kaspersky.
วิธีการเข้าถึงระบบ
กลุ่มแฮกเกอร์นี้ซึ่งเป็นที่รู้จักในชื่อ Rare Werewolf สามารถเข้าถึงระบบต่าง ๆ ได้ผ่าน อีเมลฟิชชิ่ง ที่มีมัลแวร์ ซึ่งแอบแฝงมาในรูปแบบข้อความจากองค์กรที่ถูกต้องตามกฎหมาย เช่น เอกสารทางการหรือใบสั่งชำระเงิน.
Kaspersky กล่าวในรายงานเมื่อวันจันทร์ว่า แฮกเกอร์ได้ตรวจสอบข้อมูลอุปกรณ์ก่อนที่จะทำการขุด. เมื่อคอมพิวเตอร์ติดไวรัสจากมัลแวร์ แฮกเกอร์สามารถเชื่อมต่อระยะไกลและ ปิดใช้งานระบบรักษาความปลอดภัย เช่น Windows Defender.
การขโมยข้อมูลการล็อกอิน
“เราประเมินว่าผู้โจมตีใช้เทคนิคนี้เพื่อปิดบังร่องรอยของพวกเขา ทำให้ผู้ใช้ไม่ทราบว่ามีการแฮ็กอุปกรณ์ของพวกเขา”
หลังจากนั้นพวกเขาขโมยข้อมูลการล็อกอินและเก็บข้อมูลเกี่ยวกับ RAM ที่มีอยู่ในอุปกรณ์ รวมถึงจำนวน คอร์ CPU และ GPU เพื่อตั้งค่าครีปโตไมเนอร์อย่างเหมาะสม.
กลยุทธ์การโจมตี
ในขณะที่ไมเนอร์กำลังทำงาน แฮกเกอร์จะรักษาการเชื่อมต่อกับพูลการขุด โดยส่งคำขอทุก ๆ 60 วินาที. Kaspersky กล่าวเพิ่มเติมว่า:
“เราสังเกตเห็นว่าผู้โจมตีได้ปรับปรุงกลยุทธ์ของตนอย่างต่อเนื่อง รวมถึงไม่เพียงแค่การขโมยข้อมูล แต่ยังรวมถึงการใช้งานเครื่องมือเข้าถึงระยะไกลและการใช้เว็บไซต์ฟิชชิ่งเพื่อเข้าถึงบัญชีอีเมล.”
ผลกระทบ
บริษัทรายงานว่าแคมเปญการขโมยข้อมูลนี้เริ่มขึ้นตั้งแต่ปี 2024 จนถึงปัจจุบัน และส่งผลกระทบต่อผู้ใช้งานในรัสเซียหลายร้อยคน โดยเฉพาะบริษัทใน ภาคอุตสาหกรรม และ โรงเรียนวิศวกรรม. นอกจากนี้ยังมีผู้เสียหายในเบลารุสและคาซัคสถานด้วย.
แหล่งที่มาของกลุ่มนี้ยังไม่ได้รับการยืนยัน แต่ Kaspersky ระบุว่าอีเมลฟิชชิ่ง “ถูกเขียนเป็นภาษารัสเซียและรวมเอกสารในภาษารัสเซียที่เกี่ยวข้อง” ซึ่งบ่งชี้ว่ากลุ่มเป้าหมายหลักของแคมเปญนี้มีแนวโน้มที่จะอยู่ในรัสเซียหรือพูดภาษารัสเซีย.
แนวโน้มของกลุ่มแฮกเกอร์
Kaspersky กล่าวว่ากลุ่ม Librarian Ghouls อาจเป็นกลุ่มแฮกทิววิสต์ โดยคาดการณ์ว่ากลุ่มนี้อาจใช้การแฮกระบบเป็นรูปแบบหนึ่งของการฝ่าฝืนกฎหมายเพื่อส่งเสริมวาระทางการเมือง.
Kaspersky ยังกล่าวเพิ่มเติมว่า “ลักษณะเด่นของภัยคุกคามนี้คือผู้โจมตีชอบใช้ ซอฟต์แวร์ที่ถูกต้องตามกฎหมาย จากบุคคลที่สามมากกว่าการพัฒนาซอฟต์แวร์ที่เป็นอันตรายด้วยตนเอง.”
ยังไม่เป็นที่ทราบแน่ชัดว่ากลุ่มนี้มีการดำเนินการมานานแค่ไหน แต่บริษัทความปลอดภัยไซเบอร์อีกแห่งหนึ่งจากรัสเซีย BI. ZONE ได้รายงานในวันที่ 23 พฤศจิกายนที่ผ่านมาว่า Rare Werewolf มีมาอย่างน้อยตั้งแต่ปี 2019.
