การล่อลวงจากงาน IT ฟรีแลนซ์ของแฮกเกอร์ชาวเกาหลีเหนือ
กลุ่มแฮกเกอร์ชาวเกาหลีเหนือกำลังใช้การล่อลวงจากงาน IT ฟรีแลนซ์เพื่อเข้าถึงระบบคลาวด์และขโมยสกุลเงินดิจิทัลมูลค่าหลายล้านดอลลาร์ ตามการวิจัยจาก Google Cloud และบริษัทความปลอดภัย Wiz รายงาน H2 2025 Cloud Threat Horizons ของ Google Cloud เปิดเผยว่า Google Threat Intelligence Group “กำลังติดตาม” UNC4899 หน่วยแฮกเกอร์ชาวเกาหลีเหนือที่แฮกบริษัทสองแห่งได้สำเร็จหลังจากติดต่อพนักงานผ่านโซเชียลมีเดีย
วิธีการของ UNC4899
ในทั้งสองกรณี UNC4899 ได้มอบหมายงานให้พนักงาน ซึ่งส่งผลให้พนักงานรันมัลแวร์บนเครื่องทำงานของตน ทำให้กลุ่มแฮกเกอร์สามารถสร้างการเชื่อมต่อระหว่างศูนย์ควบคุมและบริษัทเป้าหมายที่ใช้ระบบคลาวด์ได้ ผลที่ตามมาคือ UNC4899 สามารถสำรวจสภาพแวดล้อมคลาวด์ของเหยื่อได้ รับวัสดุข้อมูลประจำตัว และในที่สุดก็ระบุโฮสต์ที่รับผิดชอบในการประมวลผลธุรกรรมคริปโต
ผลกระทบจากการโจมตี
ขณะที่เหตุการณ์แต่ละเหตุการณ์แยกกันนั้นมุ่งเป้าไปที่บริษัทที่แตกต่างกัน (ซึ่งไม่ได้ระบุชื่อ) และบริการคลาวด์ที่แตกต่างกัน (Google Cloud และ AWS) แต่ทั้งสองเหตุการณ์ส่งผลให้เกิดการขโมย “มูลค่าหลายล้านของคริปโต”
การใช้เทคโนโลยีใหม่
“พวกเขามักจะแสร้งทำเป็นผู้สรรหางาน นักข่าว ผู้เชี่ยวชาญเฉพาะด้าน หรืออาจารย์มหาวิทยาลัยเมื่อทำการติดต่อเป้าหมาย”
เจมี่ คอลลิเยร์ ที่ปรึกษาด้านข่าวกรองภัยคุกคามหลักสำหรับยุโรปที่ Google Threat Intelligence Group กล่าวกับ Decrypt โดยเสริมว่าพวกเขามักจะสื่อสารกันไปมาหลายครั้งเพื่อสร้างความสัมพันธ์กับเป้าหมาย
การพัฒนาของกลุ่ม TraderTraitor
บริษัทความปลอดภัยคลาวด์ Wiz ยังรายงานเกี่ยวกับการกระทำของ UNC4899 โดยระบุว่ากลุ่มนี้ยังถูกเรียกโดยชื่อ TraderTraitor, Jade Sleet และ Slow Pisces TraderTraitor แสดงถึงกิจกรรมภัยคุกคามประเภทหนึ่งมากกว่ากลุ่มเฉพาะ โดยมีหน่วยงานที่สนับสนุนจากเกาหลีเหนือ เช่น Lazarus Group, APT38, BlueNoroff และ Stardust Chollima อยู่เบื้องหลังการกระทำของ TraderTraitor ที่เป็นที่นิยม
การโจมตีที่สำคัญ
ในการวิเคราะห์ UNC4899/TraderTraitor ของ Wiz ระบุว่าการรณรงค์เริ่มต้นขึ้นในปี 2020 และตั้งแต่เริ่มต้น กลุ่มแฮกเกอร์ที่รับผิดชอบได้ใช้การล่อลวงจากงานเพื่อชักชวนพนักงานให้ดาวน์โหลดแอปคริปโตที่เป็นอันตรายซึ่งสร้างขึ้นบน JavaScript และ Node.js โดยใช้เฟรมเวิร์ก Electron
การโจมตีในปี 2024
กลุ่ม TraderTraitor เป็นผู้รับผิดชอบการแฮกมูลค่า 305 ล้านดอลลาร์ของ DMM Bitcoin ในญี่ปุ่น และการแฮกมูลค่า 1.5 พันล้านดอลลาร์ของ Bybit ในช่วงปลายปี 2024 ซึ่งการแลกเปลี่ยนได้เปิดเผยในเดือนกุมภาพันธ์ของปีนี้
การมุ่งเป้าสู่ระบบคลาวด์
ตามที่ Wiz กล่าว ระบบดังกล่าวแสดงถึงช่องโหว่ที่สำคัญสำหรับคริปโต “เรามีความเชื่อว่า TraderTraitor มุ่งเน้นไปที่การแฮกและเทคนิคที่เกี่ยวข้องกับคลาวด์เพราะนั่นคือที่ที่ข้อมูลและเงินอยู่” เบนจามิน รีด ผู้อำนวยการด้านข่าวกรองภัยคุกคามเชิงกลยุทธ์ของ Wiz กล่าวกับ Decrypt
การลงทุนของเกาหลีเหนือ
สุดท้าย การลงทุนดังกล่าวทำให้เกาหลีเหนือกลายเป็นผู้นำในการแฮกคริปโต โดยรายงาน TRM Labs ในเดือนกุมภาพันธ์สรุปว่าประเทศนี้คิดเป็น 35% ของเงินที่ถูกขโมยทั้งหมดในปีที่แล้ว
อนาคตของการแฮกคริปโต
“นักแสดงภัยคุกคามชาวเกาหลีเหนือเป็นกำลังที่มีพลศาสตร์และคล่องตัวที่ปรับตัวอย่างต่อเนื่องเพื่อตอบสนองต่อวัตถุประสงค์ทางยุทธศาสตร์และการเงินของระบอบ”
คอลลิเยร์จาก Google กล่าว โดยย้ำว่าแฮกเกอร์ชาวเกาหลีเหนือกำลังใช้ AI มากขึ้นเรื่อย ๆ คอลลิเยร์อธิบายว่าการใช้ดังกล่าวช่วยให้เกิด “การเพิ่มพลัง” ซึ่งทำให้แฮกเกอร์สามารถขยายการกระทำของตนได้
“เราไม่เห็นหลักฐานว่าพวกเขาจะชะลอตัวลงและคาดว่าการขยายตัวนี้จะยังคงดำเนินต่อไป” เขากล่าว.
