การโจมตีของแฮกเกอร์ที่เชื่อมโยงกับเกาหลีเหนือ
แฮกเกอร์ที่เชื่อมโยงกับ เกาหลีเหนือ ยังคงใช้การโทรวิดีโอสด รวมถึงการสร้าง Deepfake ด้วย AI เพื่อหลอกล่อผู้พัฒนาและผู้ทำงานด้านคริปโตให้ติดตั้งซอฟต์แวร์ที่เป็นอันตรายลงในอุปกรณ์ของตน ในกรณีล่าสุดที่เปิดเผยโดย Martin Kuchař ผู้ร่วมก่อตั้ง BTC Prague แฮกเกอร์ได้ใช้บัญชี Telegram ที่ถูกแฮกและการโทรวิดีโอที่จัดฉากเพื่อส่งมัลแวร์ที่ปลอมตัวเป็นการแก้ไขเสียง Zoom
“แคมเปญการแฮกระดับสูงดูเหมือนจะมุ่งเป้าไปที่ผู้ใช้ Bitcoin และคริปโต”
Kuchař เปิดเผยเมื่อวันพฤหัสบดีบน X ว่า แฮกเกอร์จะติดต่อเหยื่อและตั้งค่าการโทร Zoom หรือ Teams ในระหว่างการโทร พวกเขาจะใช้วิดีโอที่สร้างด้วย AI เพื่อปรากฏตัวเป็นคนที่เหยื่อรู้จัก จากนั้นพวกเขาจะอ้างว่ามีปัญหาเสียงและขอให้เหยื่อติดตั้งปลั๊กอินหรือไฟล์เพื่อแก้ไข
เมื่อถูกติดตั้งแล้ว มัลแวร์จะให้การเข้าถึงระบบเต็มรูปแบบแก่แฮกเกอร์ ทำให้พวกเขาสามารถขโมย Bitcoin ยึดบัญชี Telegram และใช้บัญชีเหล่านั้นในการโจมตีผู้อื่น
การหลอกลวงที่ขับเคลื่อนด้วย AI
ข้อมูลจากบริษัทวิเคราะห์บล็อกเชน Chainalysis ระบุว่า การหลอกลวงที่ขับเคลื่อนด้วย AI ได้ผลักดันให้การสูญเสียที่เกี่ยวข้องกับคริปโตสูงถึง 17 พันล้านดอลลาร์ ในปี 2025 โดยแฮกเกอร์ใช้วิดีโอ Deepfake การสร้างเสียง และตัวตนปลอมเพื่อหลอกล่อเหยื่อและเข้าถึงเงินทุน
การโจมตีที่ Kuchař อธิบายตรงกับเทคนิคที่บริษัทความปลอดภัยไซเบอร์ Huntress รายงานเมื่อเดือนกรกฎาคมปีที่แล้วว่า แฮกเกอร์เหล่านี้ล่อผู้ทำงานด้านคริปโตเป้าหมายให้เข้าร่วมการโทร Zoom ที่จัดฉากหลังจากการติดต่อครั้งแรกบน Telegram โดยมักใช้ลิงก์การประชุมปลอมที่โฮสต์บนโดเมน Zoom ปลอม
วิธีการโจมตี
ในระหว่างการโทร แฮกเกอร์จะอ้างว่ามีปัญหาเสียงและสั่งให้เหยื่อติดตั้งสิ่งที่ดูเหมือนจะเป็นการแก้ไขที่เกี่ยวข้องกับ Zoom ซึ่งจริงๆ แล้วเป็น AppleScript ที่เป็นอันตรายที่เริ่มการติดเชื้อ macOS หลายขั้นตอน
ตามที่ Huntress รายงาน เมื่อดำเนินการแล้ว สคริปต์จะปิดการบันทึกประวัติ shell ตรวจสอบหรือติดตั้ง Rosetta 2 (ชั้นการแปล) บนอุปกรณ์ Apple Silicon และเรียกร้องให้ผู้ใช้ป้อนรหัสผ่านระบบซ้ำแล้วซ้ำเล่าเพื่อให้ได้สิทธิ์ที่สูงขึ้น
การศึกษาได้พบว่ามัลแวร์จะติดตั้งหลายพาเลต รวมถึงประตูหลังที่คงอยู่ เครื่องบันทึกกุญแจ และเครื่องมือคลิปบอร์ด รวมถึงเครื่องมือขโมยกระเป๋าเงินคริปโต ซึ่งเป็นลำดับที่คล้ายกันที่ Kuchař ชี้ให้เห็นเมื่อเขาเปิดเผยเมื่อวันจันทร์ว่าบัญชี Telegram ของเขาถูกแฮกและถูกใช้เพื่อโจมตีผู้อื่นในลักษณะเดียวกัน
การเชื่อมโยงกับกลุ่ม Lazarus
นักวิจัยด้านความปลอดภัยที่ Huntress ได้ระบุการบุกรุกนี้ด้วยความมั่นใจสูงว่าเป็นภัยคุกคามที่ยั่งยืนที่เชื่อมโยงกับ เกาหลีเหนือ ที่ติดตามในชื่อ TA444 หรือที่รู้จักกันในชื่อ BlueNoroff และชื่ออื่นๆ อีกหลายชื่อที่ดำเนินการภายใต้กลุ่ม Lazarus ซึ่งเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐที่มุ่งเน้นการขโมยคริปโตตั้งแต่ปี 2017
“การโจมตีล่าสุดต่อ Kuchař อาจเชื่อมโยงกับแคมเปญที่กว้างขึ้นจากกลุ่ม Lazarus”
เมื่อถูกถามเกี่ยวกับเป้าหมายการดำเนินงานของแคมเปญเหล่านี้และว่าพวกเขาคิดว่ามีความสัมพันธ์หรือไม่ Shān Zhang หัวหน้าฝ่ายความปลอดภัยข้อมูลที่บริษัทความปลอดภัยบล็อกเชน Slowmist กล่าวกับ Decrypt ว่า “มีการนำกลับมาใช้ซ้ำอย่างชัดเจนในแคมเปญต่างๆ เรามักจะเห็นการมุ่งเป้าไปที่กระเป๋าเงินเฉพาะและการใช้สคริปต์การติดตั้งที่คล้ายกันมาก”
David Liberman ผู้ร่วมสร้างเครือข่ายการคอมพิวเตอร์ AI แบบกระจาย Gonka กล่าวกับ Decrypt ว่า ภาพและวิดีโอ “ไม่สามารถถือเป็นหลักฐานที่เชื่อถือได้อีกต่อไป” และเนื้อหาดิจิทัล “ควรมีลายเซ็นทางดิจิทัลจากผู้สร้าง และลายเซ็นดังกล่าวควรต้องการการอนุญาตหลายปัจจัย”
เรื่องราวในบริบทเช่นนี้ได้กลายเป็น “สัญญาณที่สำคัญในการติดตามและตรวจจับ” เนื่องจากการโจมตีเหล่านี้ “อิงจากรูปแบบทางสังคมที่คุ้นเคย” เขากล่าว
กลุ่ม Lazarus ของเกาหลีเหนือมีความเชื่อมโยงกับแคมเปญที่โจมตีบริษัทคริปโต ผู้ทำงาน และนักพัฒนา โดยใช้มัลแวร์ที่ปรับแต่งและการวิศวกรรมสังคมที่ซับซ้อนเพื่อขโมยสินทรัพย์ดิจิทัลและข้อมูลรับรองการเข้าถึง
