Tags:

กลุ่มแฮกเกอร์ชื่อ Lazarus Group หรือที่รู้จักกันในนาม APT38 ซึ่งได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ (State-sponsored) กำลังโจมตีประเทศไทยด้วย Operation Dream Job โดยมุ่งเป้าไปยังผู้ที่กำลังมองหางานใหม่ด้วยการหลอกให้ติดตั้งมัลแวร์ซึ่งจะส่งผลให้กลุ่มแฮกเกอร์สามารถรัน shellcode บนคอมพิวเตอร์เป้าหมายได้อย่างอิสระ

Operation Dream Job เริ่มต้นปฏิบัติการมาตั้งแต่ปี พ.ศ. 2562 โดยมีประวัติการโจมตีหลายประเทศทั่วโลก เช่น สหรัฐอเมริกา อิสราเอล ออสเตรเลีย เป็นต้น การโจมตีมีวัตถุประสงค์หลักเพื่อโจรกรรมข้อมูล (Espionage) ที่เกี่ยวข้องกับความมั่นคงของรัฐ หรือข้อมูลในอุตสาหกรรมที่มีมูลค่าสูง เช่น เทคโนโลยีและอวกาศ

สำหรับในครั้งนี้ พบว่ากลุ่มแฮกเกอร์มุ่งเป้าโจมตีผู้ใช้งานระบบปฏิบัติการวินโดวส์ในประเทศไทย โดยปลอมแปลงไฟล์ประเภท Shortcut (LNK) ให้ดูเหมือนกับไฟล์ประเภท PDF ที่มีข้อมูล job description ซึ่งคัดลอกมาจากเว็บไซต์หางานชื่อดังแห่งหนึ่งในไทยเพื่อใช้ในการลวงเหยื่อ หากเหยื่อหลงเชื่อและกดเปิดไฟล์ดังกล่าว ก็จะเปิดโอกาสให้มัลแวร์ทำการติดตั้งตัวเองลงบนเครื่องคอมพิวเตอร์และเชื่อมต่อไปยัง Command and Control (C2) ผ่านเทคนิค DNS Tunneling โดยปลอมชื่อโดเมนปลายทางเป็น ns1.truecorps.co[.]th และ ns2.truecorps.co[.]th เพื่อรับข้อมูลชื่อโดเมน C2 ลำดับที่สอง ก่อนที่จะเริ่มต้นทำงานในลักษณะของ reverse shell เพื่อรับ shellcode มารันต่อไป ซึ่งจะส่งผลให้กลุ่มแฮกเกอร์สามารถควบคุมเครื่องคอมพิวเตอร์ได้อย่างสมบูรณ์

alt="ภาพรวมการทำงานของไฟล์มัลแวร์"

ที่มา - X (Twitter)

Get latest news from Blognone