แคมเปญการโจมตีทางไซเบอร์ใหม่จากแฮกเกอร์ชาวเกาหลีเหนือ
แฮกเกอร์ชาวเกาหลีเหนือได้เริ่มต้น แคมเปญการโจมตีทางไซเบอร์ใหม่ ที่มุ่งเป้าไปที่บริษัท cryptocurrency โดยการใช้มัลแวร์ที่ซับซ้อนซึ่งเรียกว่า NimDoor. มัลแวร์นี้ถูกออกแบบมาเพื่อแทรกซึมเข้าไปในอุปกรณ์ Apple โดยข้ามการป้องกันหน่วยความจำที่ติดตั้งมา เพื่อดึงข้อมูลที่ละเอียดอ่อนจากกระเป๋าเงินคริปโตและเบราว์เซอร์.
กลยุทธ์การโจมตี
การโจมตีเริ่มต้นด้วย กลยุทธ์การสร้างความเชื่อมั่น บนแพลตฟอร์มต่างๆ เช่น Telegram ซึ่งแฮกเกอร์จะแสร้งทำเป็นผู้ติดต่อที่เชื่อถือได้เพื่อมีส่วนร่วมในการสนทนากับเหยื่อ. จากนั้นพวกเขาจะเชิญเป้าหมายไปยังการประชุม Zoom ปลอมที่ปลอมตัวเป็นการประชุม Google Meet และส่งไฟล์ที่เลียนแบบการอัปเดต Zoom ที่ถูกต้อง.
ไฟล์นี้ทำหน้าที่เป็นวิธีการส่งมอบสำหรับมัลแวร์ที่เป็นอันตราย เมื่อถูกดำเนินการ มัลแวร์จะติดตั้ง NimDoor บนอุปกรณ์ของเหยื่อ ซึ่งจะเริ่มเก็บข้อมูลที่ละเอียดอ่อน โดยเฉพาะอย่างยิ่งมุ่งเป้าไปที่กระเป๋าเงิน cryptocurrency และข้อมูลรับรองที่เก็บไว้ในเบราว์เซอร์.
การวิเคราะห์มัลแวร์
นักวิจัยที่บริษัท SentinelLabs ได้ค้นพบกลยุทธ์ใหม่นี้ โดยสังเกตว่าการใช้ ภาษาโปรแกรม Nim ทำให้มัลแวร์นี้โดดเด่นออกไป. ไบนารีที่คอมไพล์ด้วย Nim มักไม่ค่อยพบที่มุ่งเป้าไปที่ macOS ทำให้มัลแวร์นี้ไม่เป็นที่รู้จักสำหรับเครื่องมือรักษาความปลอดภัยทั่วไปและอาจทำให้การวิเคราะห์และตรวจจับยากขึ้น.
นักวิจัยสังเกตว่าแฮกเกอร์ชาวเกาหลีเหนือเคยทดลองใช้ภาษาโปรแกรมเช่น Go และ Rust แต่การเปลี่ยนไปใช้ Nim สะท้อนถึง ข้อได้เปรียบทางยุทธศาสตร์ เนื่องจากความสามารถในการทำงานข้ามแพลตฟอร์ม ซึ่งช่วยให้โค้ดเดียวกันสามารถทำงานบน Windows, Linux และ macOS โดยไม่ต้องปรับเปลี่ยน.
ส่วนประกอบของมัลแวร์
ส่วนประกอบของมัลแวร์ที่เป็นอันตรายรวมถึงส่วนที่ขโมยข้อมูลรับรองที่ออกแบบมาเพื่อเก็บข้อมูลระดับเบราว์เซอร์และระบบอย่างเงียบ ๆ รวมข้อมูลและส่งไปยังผู้โจมตี. นอกจากนี้ นักวิจัยยังพบสคริปต์ภายในมัลแวร์ที่มุ่งเป้าไปที่ Telegram โดยการดึงฐานข้อมูลท้องถิ่นที่เข้ารหัสและกุญแจถอดรหัสที่เกี่ยวข้อง.
อย่างน่าสังเกตว่ามัลแวร์ใช้กลไกการเปิดใช้งานที่ล่าช้า รอเป็นเวลา 10 นาที ก่อนที่จะดำเนินการในความพยายามที่ชัดเจนในการหลบเลี่ยงเครื่องสแกนความปลอดภัย.
