การโจมตีของกลุ่ม Lazarus
กลุ่ม Lazarus ของเกาหลีเหนือกำลังใช้มัลแวร์ macOS ชื่อ “Mach-O Man” และการเชิญประชุมปลอมเพื่อแฮ็กผู้บริหารในวงการคริปโตและระดมทุนการโจมตี DeFi มูลค่าหมายเลขเก้า ตามรายงานของบริษัทความปลอดภัยบล็อกเชน CertiK.
วิธีการโจมตี
การดำเนินการที่เรียกว่า “Mach-O Man” ใช้การวิศวกรรมสังคมและ payload ระดับเทอร์มินัลเพื่อขโมยข้อมูลคริปโตและข้อมูลบริษัทที่ละเอียดอ่อน โดยเกือบจะไม่มีร่องรอยบนดิสก์.
“แคมเปญนี้ใช้เทคนิค ClickFix ซึ่งเหยื่อถูกล่อให้วางคำสั่งที่ดูเหมือน ‘ซ่อมแซม’ หรือ ‘ตรวจสอบ’ ลงใน macOS Terminal โดยตรงในระหว่างการสนับสนุนหรือการประชุมปลอม”
ในกรณีนี้ การล่อเหยื่อมาจากการเชิญประชุมออนไลน์ปลอมที่ “หลอกเหยื่อให้วางคำสั่งซ่อมแซมที่เป็นอันตรายลงในเทอร์มินัลของ Mac” โดยชุดเครื่องมือจะลบตัวเองหลังจากใช้งานเพื่อทำให้การตรวจสอบยากขึ้น.
การเชื่อมโยงกับหน่วย Famous Chollima
การวิเคราะห์ของ CertiK ระบุว่า ตามข้อมูลจากบริษัทข่าวกรองภัยคุกคาม SOC Prime โครงสร้าง “Mach-O Man” เชื่อมโยงกับหน่วย Famous Chollima ของ Lazarus และถูกแจกจ่ายผ่านบัญชี Telegram ที่ถูกแฮ็กและการเชิญประชุมปลอมที่มุ่งเป้าไปยังองค์กรคริปโตและการเงินที่มีมูลค่าสูง.
การโจมตีที่เกิดขึ้นในอดีต
ชุดเครื่องมือดังกล่าว ตามรายงานของ CoinDesk รวมถึงไฟล์ Mach-O หลายตัวที่ออกแบบมาเพื่อโปรไฟล์โฮสต์ สร้างความคงอยู่ และขโมยข้อมูลรับรองและข้อมูลเบราว์เซอร์ผ่านการควบคุมคำสั่งและการควบคุมที่ใช้ Telegram.
“แคมเปญนี้ใช้บัญชี Telegram ที่ถูกแฮ็ก การประชุม Zoom ปลอม และการหลอกลวงที่ใช้ AI เพื่อหลอกเหยื่อให้ดำเนินการคำสั่งเทอร์มินัลที่นำไปสู่การติดเชื้อ macOS”
นักวิจัยของ Mandiant เคยอธิบายแคมเปญ macOS ที่คล้ายกันซึ่งผสมผสาน ClickFix กับวิดีโอ Deepfake ที่ใช้ AI.
ผลกระทบจากการโจมตี
นักวิจัยของ CertiK, Natalie Newson, เชื่อมโยงคลื่น “Mach-O Man” ล่าสุดกับการผลักดันที่กว้างขึ้นของ Lazarus ซึ่งได้ขโมยเงินมากกว่า 500 ล้านดอลลาร์ จากแพลตฟอร์ม DeFi Drift และ KelpDAO ในเวลาเพียงสองสัปดาห์.
ในเหตุการณ์เหล่านั้น Lazarus ถูกกล่าวหาว่ารวมการวิศวกรรมสังคมกับบริษัทการค้าที่มีการแฮ็กข้ามสายที่ซับซ้อนซึ่งอนุญาตให้ผู้โจมตีสร้าง rsETH ประมาณ 116,500 ตัว และระบายมูลค่าประมาณ 292 ล้านดอลลาร์.
LayerZero ซึ่งให้โครงสร้างพื้นฐานสะพานที่ใช้โดย KelpDAO กล่าวว่า กลุ่ม Lazarus ของเกาหลีเหนือเป็น “ผู้กระทำที่น่าจะเป็น” เบื้องหลังการแฮ็ก rsETH และตำหนิการออกแบบการตรวจสอบจุดเดียวที่ล้มเหลวสำหรับการอนุญาตให้มีการส่งข้อความข้ามสายที่ปลอม.
การประเมินความเสี่ยงในอนาคต
Lazarus ได้มุ่งเป้าไปที่ระบบนิเวศของสกุลเงินดิจิทัลมาหลายปี ขโมยทรัพย์สินเสมือนประมาณ 2 พันล้านดอลลาร์ ในปี 2023 และ 2024.
สำนักข่าวความปลอดภัย SecurityWeek รายงาน โดยอ้างถึงแคมเปญที่ใช้ ClickFix ก่อนหน้านี้ ขณะนี้ DeFi กำลังประสบกับสิ่งที่สำนักวิจัยเรียกว่าเดือนที่เลวร้ายที่สุดในประวัติศาสตร์สำหรับการแฮ็ก.
ตลาดจึงกำลังประเมินความเสี่ยงในการแฮ็กอีกครั้งที่มีมูลค่ามากกว่า 100 ล้านดอลลาร์ ในปีนี้ ซึ่งเน้นย้ำว่าผู้โจมตีที่เชื่อมโยงกับรัฐเช่น Lazarus ได้กลายเป็นความเสี่ยงที่เป็นระบบต่อคริปโต.
