ผู้หางานด้าน Crypto ในอินเดียกำลังเผชิญกับภัยคุกคามจากมัลแวร์ตัวใหม่จากแฮกเกอร์ที่มีความเชื่อมโยงกับเกาหลีเหนือ

แฮกเกอร์ที่เชื่อมโยงกับรัฐบาลเกาหลีเหนือกำลังกำหนดเป้าหมายไปที่ผู้เชี่ยวชาญด้านสกุลเงินดิจิทัลในอินเดียด้วยแคมเปญมัลแวร์ใหม่ที่มีเป้าหมายชัดเจน บริษัทรักษาความปลอดภัยทางไซเบอร์ Cisco Talos.กลุ่มผู้โจมตีซึ่งระบุตัวว่าเป็นกลุ่มที่เรียกว่า ชอลลิม่าชื่อดังกำลังใช้การสัมภาษณ์งานปลอมและเว็บไซต์ทดสอบทักษะปลอมเพื่อแพร่เชื้อ Remote Access Trojan (RAT) ใหม่ที่ใช้ Python ชื่อว่า ไพลังโกสต์.

ปฏิบัติการนี้ซึ่งเริ่มดำเนินการตั้งแต่กลางปี ​​2024 ถือเป็นบทล่าสุดในความพยายามจารกรรมสกุลเงินดิจิทัลที่ขยายตัวในเกาหลีเหนือ นักวิจัยของ Cisco Talos เปิดเผยว่าผู้โจมตีแอบอ้างเป็นผู้รับสมัครพนักงานให้กับบริษัทสกุลเงินดิจิทัลที่มีชื่อเสียง เช่น Coinbase unswapRobinhood และ Archblock เป้าหมายหลักของพวกเขาคือ วิศวกรซอฟต์แวร์ ผู้เชี่ยวชาญด้านการตลาด และผู้เชี่ยวชาญด้านบล็อคเชนและสินทรัพย์ดิจิทัลอื่นๆ

การล่อลวงงานและการสัมภาษณ์ปลอม

แคมเปญเริ่มต้นด้วยกลวิธีทางสังคม เหยื่อจะถูกติดต่อโดยผู้จัดหางานที่ถูกกล่าวหา และถูกเชิญให้ไปเยี่ยมชมเว็บไซต์จำลองอาชีพของบริษัทที่ถูกต้องตามกฎหมาย ซึ่งเว็บไซต์เหล่านี้มีแบบทดสอบประเมินทักษะ และขอข้อมูลที่ละเอียดอ่อน เช่น ชื่อ-นามสกุล ประวัติย่อ ที่อยู่กระเป๋าเงิน และข้อมูลประจำตัว

จากนั้น ผู้สมัครจะได้รับคำแนะนำให้เปิดใช้งานการเข้าถึงกล้องและไมโครโฟนสำหรับการสัมภาษณ์วิดีโอ ในระยะนี้ ผู้รับสมัครปลอมจะขอให้เหยื่อรันคำสั่งบางอย่าง ซึ่งปลอมตัวเป็นการติดตั้งไดรเวอร์วิดีโอ ซึ่งจะทริกเกอร์การติดตั้ง ไพลังโกสต์ มัลแวร์

Cisco Talos ยืนยันว่า RAT ช่วยให้แฮกเกอร์สามารถควบคุมระบบที่ติดไวรัสจากระยะไกลได้ทั้งหมด และสามารถขโมยข้อมูลรับรองและคุกกี้จากส่วนขยายเบราว์เซอร์มากกว่า 80 รายการ ซึ่งรวมถึงตัวจัดการรหัสผ่านและกระเป๋าเงินสกุลเงินดิจิทัลที่ใช้กันอย่างแพร่หลาย เช่น MetaMask, 1Password, NordPass, Phantom, TronLink และ MultiverseX.

มัลแวร์ขั้นสูงพร้อมการเข้าถึงแบบต่อเนื่อง

PylangGhost เป็นวิวัฒนาการที่ใช้ Python ของภัยคุกคามที่ทราบก่อนหน้านี้ที่เรียกว่า โกลังโกสต์. ตัวแปรใหม่มีเป้าหมาย ระบบ Windows โดยเฉพาะ และได้รับการออกแบบมาเพื่อขโมยข้อมูลและรักษาการเข้าถึงเครื่องที่ถูกบุกรุกอย่างต่อเนื่อง ระบบ Linux ตามรายงานของ Cisco Talos ดูเหมือนจะไม่ได้รับผลกระทบจากการโจมตีระลอกนี้

มัลแวร์สามารถดำเนินการคำสั่งต่างๆ ได้มากมาย เช่น การจับภาพหน้าจอ การรวบรวมรายละเอียดระบบ การจัดการไฟล์ และการสร้างการควบคุมระยะไกลอย่างต่อเนื่อง โดยทำงานผ่านเซิร์ฟเวอร์คำสั่งและควบคุมหลายเซิร์ฟเวอร์ที่จดทะเบียนภายใต้โดเมนที่ดูน่าเชื่อถือ เช่น quickcamfix.ออนไลน์ or ออโต้ไดรฟเวอร์ฟิกซ์ออนไลน์.

ไม่เหมือนการหลอกลวงครั้งก่อนๆ แคมเปญนี้ไม่ได้มุ่งเน้นไปที่การฟิชชิ่งจำนวนมากหรือการโจรกรรมโดยตรงจากการแลกเปลี่ยน แต่เป็นการโจมตีแบบเจาะจงไปที่ผู้เชี่ยวชาญภายในภาคส่วนคริปโต ผู้ที่มีสิทธิ์เข้าถึงโครงสร้างพื้นฐานที่สำคัญ เครื่องมือภายใน และข้อมูลที่ละเอียดอ่อน

อินเดีย: เป้าหมายที่มีมูลค่าสูง

อินเดีย ซึ่งเป็นหนึ่งในศูนย์กลางการพัฒนาบล็อคเชนที่เติบโตเร็วที่สุด ได้กลายเป็นเป้าหมายหลัก ผู้เชี่ยวชาญจำนวนมากที่ทำงานบนแพลตฟอร์มคริปโตระดับโลกตั้งอยู่ในประเทศ และกลยุทธ์ใหม่นี้ส่งผลโดยตรงกับความเข้มข้นของบุคลากรที่มีพรสวรรค์ดังกล่าว

ตามที่ ดิลีป กุมาร์ เอช.วี.ผู้อำนวยการ Digital South Trust กล่าวว่าอินเดียจำเป็นต้องปฏิรูปอย่างเร่งด่วนเพื่อรับมือกับภัยคุกคามประเภทนี้ เขาเรียกร้องให้ การตรวจสอบความปลอดภัยทางไซเบอร์ภาคบังคับสำหรับบริษัทบล็อคเชนการติดตามที่เพิ่มขึ้นของพอร์ทัลงานปลอม และการปฏิรูปกฎหมายภายใต้พระราชบัญญัติไอทีของอินเดีย

ค้นพบโครงการอันน่าตื่นเต้น...

โครงการอันน่าสัญญา...

บทความต่อ...

เขายังเรียกร้องให้หน่วยงานของรัฐเช่น CERT-ใน, มีตี้และ เอ็นซีไอพีซี เพื่อยกระดับความร่วมมือและเปิดตัวแคมเปญสร้างความตระหนักรู้สาธารณะ ตลอดจนแบ่งปันข่าวกรองกับเขตอำนาจศาลอื่นๆ

รูปแบบการเติบโตของการจารกรรมทางดิจิทัล

ข้อเสนองานปลอมกลายเป็นเครื่องมือที่แพร่หลายในแผนการไซเบอร์ของเกาหลีเหนือ กลุ่ม Lazarusกลุ่มแฮกเกอร์ที่มีความเชื่อมโยงกับเกาหลีเหนืออีกกลุ่มหนึ่ง ใช้กลวิธีที่คล้ายกันในช่วงต้นปี 2024 พวกเขา ที่สร้างขึ้น บริษัทปลอมจากสหรัฐอเมริกา เช่น บริษัท บล็อคโนวาส แอลแอลซี และ บริษัท ซอฟท์ไกลด์ แอลแอลซี เพื่อล่อนักพัฒนาคริปโตเข้าสู่การสัมภาษณ์ที่เต็มไปด้วยมัลแวร์

ในเหตุการณ์หนึ่ง แฮกเกอร์ Lazarus แอบอ้างเป็นอดีตผู้รับเหมาเพื่อเจาะระบบ Radiant Capital ส่งผลให้สูญเสียเงิน 50 ล้านดอลลาร์ แถลงการณ์ร่วมจากญี่ปุ่น เกาหลีใต้ และสหรัฐอเมริกาได้ยืนยันเมื่อไม่นานนี้ว่า กลุ่มที่เกี่ยวข้องกับเกาหลีเหนือขโมยคริปโตมูลค่า 659 ล้านดอลลาร์ ในปี 2024 เพียงอย่างเดียว

แคมเปญเหล่านี้ไม่ได้เกี่ยวกับการโจรกรรมเพียงอย่างเดียว แต่ยังมีจุดมุ่งหมายเพื่อรวบรวมข้อมูลข่าวกรองและแทรกซึมเข้าไปในบริษัทคริปโตจากภายใน เป้าหมายสูงสุดดูเหมือนจะเป็นทั้งผลกำไรทางการเงินและการควบคุมเชิงกลยุทธ์เหนือระบบและข้อมูลของบล็อคเชน

มาตรการรับมือและหนทางข้างหน้า

รายงานของ Cisco Talos ถือเป็นการเตือนสติสำหรับมืออาชีพในภาคส่วนคริปโต บริษัทแนะนำให้เพิ่มความระมัดระวังในระหว่างกระบวนการหางาน โดยเฉพาะอย่างยิ่งเมื่อต้องติดต่อกับแพลตฟอร์มใหม่ ผู้รับสมัครที่ไม่คุ้นเคย หรือ URL ที่ไม่รู้จัก

แนะนำให้ผู้ประกอบวิชาชีพทำดังนี้:

• หลีกเลี่ยงการติดตั้งซอฟต์แวร์หรือการรันคำสั่งในระหว่างการสัมภาษณ์งาน
• ตรวจสอบความถูกต้องตามกฎหมายของบริษัทและผู้จัดหางาน
• ใช้เครื่องมือป้องกันจุดสิ้นสุดและป้องกันมัลแวร์
• อัปเดตรหัสผ่านเป็นประจำและเปิดใช้งานการตรวจสอบปัจจัยสองชั้น

บริษัทต่างๆ ควรเข้มงวดการควบคุมภายในให้เข้มงวดยิ่งขึ้น และให้แน่ใจว่าพนักงานได้รับการฝึกอบรมให้สามารถตรวจจับและรายงานความพยายามทางวิศวกรรมสังคม