แฮกเกอร์เกาหลีเหนือโจมตีอุตสาหกรรมพลังงานและอวกาศ ด้วยมัลแวร์ใหม่ MISTPEN

332/67 (IT) ประจำวันศุกร์ที่ 20 กันยายน 2567

นักวิจัยพบว่า กลุ่มแฮกเกอร์ที่เชื่อมโยงกับรัฐบาลเกาหลีเหนือ มีการใช้กลโกงหลอกลวงเรื่องงานเพื่อเจาะข้อมูลอุตสาหกรรมพลังงานและอวกาศ โดยพวกเขาได้แพร่กระจายมัลแวร์ใหม่ที่ชื่อว่า MISTPEN ซึ่งเป็นแบ็คดอร์ที่ยังไม่เคยถูกค้นพบมาก่อน

บริษัทด้านความปลอดภัยไซเบอร์ Mandiant ระบุว่า กลุ่มนี้ที่รู้จักกันในชื่อ UNC2970 หรือ Lazarus Group ใช้กลยุทธ์แอบอ้างเป็นผู้จัดหาพนักงานจากบริษัทชั้นนำ เพื่อหลอกล่อผู้จัดการหรือผู้บริหารระดับสูงให้เปิดไฟล์ที่มีมัลแวร์แฝงอยู่ โดยเฉพาะในอุตสาหกรรมพลังงานและอวกาศในหลายประเทศ รวมถึงสหรัฐฯ สหราชอาณาจักร และสิงคโปร์ โดยกลลวงการโจมตีนี้เริ่มด้วยการส่งอีเมลหรือข้อความ WhatsApp โดยหลอกให้เหยื่อเปิดไฟล์ ZIP ที่ดูเหมือนจะเป็นเอกสารเกี่ยวกับงาน แต่เมื่อเปิดไฟล์ PDF เหล่านี้จะต้องใช้โปรแกรม Sumatra PDF ที่ถูกดัดแปลงเพื่อแฝงมัลแวร์เข้าไปในระบบของเหยื่อ     

MISTPEN เป็นมัลแวร์ที่ถูกออกแบบมาเพื่อติดตั้งในระบบและสั่งการผ่านเซิร์ฟเวอร์ควบคุม โดยกลุ่มแฮกเกอร์นี้ยังมีประวัติการใช้ซอฟต์แวร์โอเพ่นซอร์สที่ถูกดัดแปลงเพื่อทำการโจมตีในลักษณะนี้ และนักวิจัยยังพบว่ามัลแวร์นี้ถูกพัฒนาให้ซับซ้อนขึ้นตามเวลา และมีการซ่อนร่องรอยการโจมตีอย่างแนบเนียนอีกด้วย

แหล่งข่าว https://thehackernews.com/2024/09/north-korean-hackers-target-energy-and.html