แคสเปอร์สกี้เปิดโปงกลุ่ม APT พุ่งเป้าองค์กรในอาเซียนและเกาหลี

รายงานด้านความปลอดภัยทางไซเบอร์จากแคสเปอร์สกี้ประจำไตรมาสที่ 3 ปี 2562 ชี้ผู้บุกรุก (Attackers) ไล่ล่าข้อมูลสำคัญ ความลับ ข่าวกรองจากบรรดาธนาคารสถาบันการเงิน หน่วยงานราชการภาครัฐ ภาคการเงิน และองค์กรด้านทหารและความมั่นคง

แอนดรอยด์มัลแวร์ที่แฝงตัวมาในรูปแอปส่งข้อความโมบาย หรือแอปเงินดิจิทัล (cryptocurrency app) มีเป้าหมายคือกลุ่มคนและองค์กรที่ซื้อขายเงินดิจิทัล (cryptocurrency trader) โดยกลุ่มอาชญากรรมที่ใช้ APT (Advanced Persistent Threat) นี้จะเปลี่ยนทูลอยู่บ่อยๆ เพื่อสกัดกั้นไม่ให้สถาบันการเงินจับได้ไล่ทัน เกิดเป็นช่องโหว่ นอกจากนี้ยังมีกลุ่มย่อยของลาซารัส (Lazarus) ที่ก็ใช้ CVE-2017-10271 เพื่อเป็นตัวเจาะเข้าเวนเดอร์ด้านไซเบอร์ซิเคียวริตี้เพิ่มขึ้นมาอีกด้วย

 

กลุ่มอาชญากรเหล่านี้มีเป้าหมายหลากหลายแตกต่างกัน แต่ทุกกลุ่มใช้ภาษาเกาหลี (Korean-speaking actors) เป็นตัวนำร่องลุยก่ออาชญากรรมในคาบสมุทรเกาหลีและภูมิภาคเอเชียตะวันออกเฉียงใต้ รายละเอียดฉบับเต็มสามารถอ่านได้ที่ Kaspersky’s APT Trends Reports Q3 2019

 

# KONNI และแก๊งก่อกวนคริปโตเคอเรนซี่แถบคาบสมุทรเกาหลี
 


นักวิจัยของแคสเปอร์สกี้ตรวจพบความเคลื่อนไหวคึกคักทีเดียวของแอนดรอยด์มัลแวร์ ที่ใช้การแฝงตัวเป็นแอปส่งข้อความโมบาย หรือแอปพลิเคชั่นเกี่ยวกับคริปโตเคอเรนซี่

 

แคสเปอร์สกี้จับมือกับทีม CERT ของเกาหลี ร่วมกันโค่นเซิร์ฟเวอร์ของอาชญากรลงได้เป็นผลสำเร็จ และตรวจสอบมัลแวร์ตัวใหม่นี้ จึงได้พบความเชื่อมโยงกับคอนนิ (KONNI) ซึ่งเป็นสายพันธุ์ของวินโดวส์มัลแวร์ที่เคยพบกันมาแล้ว ตอนนั้นได้ก่อกวนองค์กรด้านสิทธิ์มนุษยชน บุคคลมีชื่อเสียงที่เกี่ยวข้องหรือแสดงความสนใจกิจการด้านคาบสมุทรเกาหลี

 

นอกจากนี้เป้าหมายที่ชัดเจนคือคริปโตเคอเรนซี่ พอได้เหยื่อจะติดตั้งฟังก์ชั่นที่มีฟีเจอร์ครบทุกสิ่งที่ผู้ร้ายต้องการทันที จากนั้นเข้าควบคุมเครื่องแอนดรอยด์ของเหยื่อ และดูดข้อมูลคริปโตเคอเรนซี่ส่วนตัวไปได้ง่ายๆ

 
# BlueNoroff และสถาบันการเงินในเอเชียตะวันออกเฉียงใต้

 

แคสเปอร์สกี้จับตาดูบลูโนรอฟฟ (BlueNoroff) ซึ่งกลุ่ม APT อันอื้อฉาวที่ชื่อ ลาซารัส ใช้เป็นตัวเจาะเข้าสถาบันการเงิน โดยเมื่อไตรมาสที่ 3 ของปีนี้ มีธนาคารในเมียนมาร์เป็นเหยื่อไปแล้ว

 

จากการที่บริษัทด้านไซเบอร์ซิเคียวริตี้ได้แจ้งเตือนสถาบันการเงิน ธนาคารต่างๆ จึงช่วยให้นักวิจัยได้เบาะแสที่มีประโยชน์ ชี้วิธีการที่ผู้เจาะเข้าระบบใช้ในการเคลื่อนย้ายตัวเมื่อเข้าระบบของสถาบันการเงินมาได้ โดยจะมุ่งหาโฮสต์ที่เก็บข้อมูลอันมีค่า ที่ทางธนาคารใช้ติดต่อ ทำธุรกรรมโอนเงินกับ SWIFT เป็นต้น

ข่าวอื่นๆ ที่น่าสนใจ