กรณีการแฮ็ก SolarWinds ที่โดนสลับไบนารีของซอฟต์แวร์มอนิเตอร์ Orion ส่งผลกระทบในวงกว้าง เพราะ SolarWinds มีลูกค้าองค์กรจำนวนมาก ตัวเลขของบริษัทเองระบุว่ามีองค์กรที่ได้รับผลกระทบ 18,000 แห่ง จากลูกค้าทั้งหมด 33,000 แห่ง

มีหน่วยงานภาครัฐของสหรัฐจำนวนมากที่โดนหางเลขไปด้วย เช่น กระทรวงการคลัง, กระทรวงพาณิชย์, กระทรวงการต่างประเทศ, กระทรวงความมั่นคงแห่งมาตุภูมิ, กระทรวงพลังงาน, กระทรวงสาธารณสุข

ธนาคารไทยพาณิชย์ประกาศงดการลงแอป SCB Easy ในอุปกรณ์ใหม่ด้วยตัวเองเป็นการชั่วคราว หลังจากก่อนหน้านี้ลูกค้าจำนวนมากได้รับ SMS phishing หลอกให้ส่งรหัสผ่านและค่า OTP โดยระหว่างนี้ลูกค้าต้องเดินทางไปยังสาขาเมื่อลงแอปในเครื่องใหม่

ข้อมูลของนางสาววรรยา เจริญโพธิ์ หนึ่งในผู้เสียหายแสดงให้เห็นว่าคนร้ายจะขอข้อมูลส่วนตัว แล้วให้ผู้เสียหายส่งรหัส OTP ที่ได้รับจากธนาคารให้ 2 ครั้ง แสดงให้เห็นว่าครั้งแรกเป็นการลงแอป และอีกครั้งเป็นการโอนเงินออกจากบัญชี

ข่าวใหญ่วงการไอทีสัปดาห์นี้คือ SolarWinds ผู้ผลิตซอฟต์แวร์มอนิเตอร์เครือข่าย ถูกแฮกเกอร์ฝังมัลแวร์ Orion ส่งผลให้ลูกค้าของ SolarWinds ซึ่งมีหน่วยงานรัฐบาลสหรัฐหลายแห่ง เช่น กระทรวงการคลัง, กระทรวงพาณิชย์ โดนแฮ็กไปด้วย กลายเป็นกรณีการแฮ็กหน่วยงานรัฐบาลครั้งใหญ่ของสหรัฐอเมริกา

กรณีของ SolarWinds เป็นการแฮ็กระบบซัพพลายเชน (supply chain attack) โดยแฮ็กเกอร์เจาะเข้าระบบภายในของบริษัท SolarWinds ได้ก่อน จากนั้นค่อยเปลี่ยนไบนารีของ SolarWinds Orion เป็นเวอร์ชันที่ถูกแก้ไข เมื่อ SolarWinds แจกจ่ายซอฟต์แวร์ Orion ไปยังลูกค้า ทำให้ลูกค้ามีช่องโหว่ที่ตรวจสอบเองได้ยาก

Mattermost รายงานถึงช่องโหว่ของไลบรารี encoding/xml ในภาษา Go ที่พบมาตั้งแต่เดือนสิงหาคมที่ผ่านมา แต่ผลกระทบเป็นวงกว้างมากจนกระทั่งต้องนัดแนะกันออกแพตช์พร้อมๆ กัน

ไมโครซอฟท์เพิ่มฟีเจอร์จัดการรหัสผ่านให้กับแอป Microsoft Authenticator โดยซิงก์รหัสผ่านมาจาก Microsoft Edge ทำให้สามารถนำรหัสผ่านในเบราว์เซอร์ไปใช้งานที่อื่นได้ด้วย

Microsoft Edge นั้นจัดการรหัสผ่านได้ในตัวมานานแล้ว แต่ไม่มีแอปจัดการแยกทำให้เสียเปรียบในแพลตฟอร์มที่ Edge เป็นที่นิยมน้อยกว่า โดยเฉพาะในโทรศัพท์มือถือ ขณะที่ Microsoft Authenticator ทำหน้าที่เป็นตัวล็อกอินขั้นที่สองที่คนใช้งานบนโทรศัพท์มือถือเป็นวงกว้างอยู่แล้ว

ฟีเจอร์นี้ยังจำกัดอยู่ในกลุ่มผู้ใช้แอปรุ่นเบต้าเท่านั้น และบางคนอาจจะไม่ได้รับฟีเจอร์นี้แม้จะใช้งานเบต้าก็ตาม

ที่มา - Windows Central

SolarWinds ผู้ผลิตซอฟต์แวร์มอนิเตอร์เครือข่ายถูกแฮกเกอร์ฝังมัลแวร์เข้าไปยังอัพเดตซอฟต์แวร์สำหรับลูกค้าได้สำเร็จ ทำให้ผู้ใช้ที่ติดตั้งซอฟต์แวร์ SolarWinds Orion เวอร์ชั่น 2019.4 ไปจนถึง 2020.2.1 มีความเสี่ยงถูกโจมตี ล่าสุดทางบริษัทออกแพตช์ 2020.2.1 HF1 มาแล้ว ควรเร่งอัพเดตทันที

ทางด้าน FireEye ออกมารายงานถึงมัลแวร์ที่ฝังมาใน SolarWinds Orion โดยตั้งชื่อว่า SUNBURST เป็นมัลแวร์ที่พยายามหลบซ่อนตัวจากการตรวจจับ หลังเหยื่อหลงติดตั้งอัพเดตที่จริงๆ เป็นมัลแวร์แล้ว ตัวมัลแวร์จะไม่ทำอะไรอยู่ช่วงหนึ่งไม่เกินสองสัปดาห์ จากนั้นมัลแวร์จึงพยายามติดต่อกลับศูนย์ควบคุม แล้วพยายามส่งข้อมูลที่ดูคล้าย SolarWinds API

ศาลแขวงสหรัฐฯ ตัดสินโทษ Sudhish Kasaba Ramesh อดีตพนักงานของซิสโก้ที่ลาออกไปเมื่อเดือนเมษายน 2018 แต่กลับถือสิทธิ์เข้าถึงบัญชี AWS ของซิสโก้เอาไว้ และใช้สิทธิ์นั้นลบเซิร์ฟเวอร์ 456 เครื่องออกจากระบบเมื่อวันที่ 24 กันยายน 2018 จนทำให้บัญชี WebEx Team ของบริษัทกว่า 16,000 บริษัทใช้งานไม่ได้ สร้างความเสียหายรวม 2,400,000 ดอลลาร์ ศาลตัดสินโทษปรับ 15,000 ดอลลาร์และจำคุกสองปี

เฟซบุ๊กเปิดเผยถึงกลุ่มแฮกเกอร์สองกลุ่มที่ปฎิบัติการอยู่บนแพลตฟอร์ม พยายามเข้ายึดบัญชีเฟซบุ๊กจากเหยื่อและเผยแพร่มัมัลแวร์

กลุ่มจากบังคลาเทศนั้นทางเฟซบุ๊กระบุว่ามีความเกี่ยวข้องกับองค์กรที่ชื่อว่า Don's Team (Defense of Nation) และ Crime Research and Analysis Foundation (CRAF) ปฎิบัติการของกลุ่มนี้คล้ายไอโอทั่วไป ตั้งแต่การรุมรีพอร์ตบัญชีฝ่ายตรงข้าม พร้อมกับแฮกบัญชีเพื่อโปรโมทเนื้อหาฝั่งตัวเอง โดยพยายามยึดเพจต่างๆ จากแอดมินเดิมเพื่อกระจายเนื้อหา

วันนี้กฎหมาย Electronic Signature Act ฉบับแก้ไขของเกาหลีใต้ที่ประกาศตั้งแต่ช่วงต้นปีที่ผ่านมาจะบังคับใช้เป็นวันแรก ทำให้บริษัทเอกชนสามารถออกใบรับรองเพื่อให้ประชาชนเข้าถึงบริการของภาครัฐได้ เฉพาะบริการยื่นภาษีออนไลน์

เกาหลีใต้ใช้ใบรับรองดิจิทัลเพื่อยืนยันตัวตนผู้ใช้บริการมาตั้งแต่ปี 1999 หรือ 21 ปีแล้ว แม้จะทันสมัยมากในยุคนั้นแต่ระบบแทบไม่มีการอัพเดตเลยในช่วงเวลาที่ใช้งาน เทคโนโลยีที่เคยเป็นเทคโนโลยีล้ำสมัยอย่าง ActiveX กลายเป็นเทคโนโลยีตกรุ่น โดยกฎหมายเดิมกำหนดให้หน่วยงานรัฐเป็นผู้ออกใบรับรองดิจิทัลแต่เพียงผู้เดียว

ทิพยประกันภัยจับมือ Cisco เสนอแผนประกันภัยไซเบอร์การ์ดพลัส TIP Cyber Guard Plus Powered by Cisco เจาะกลุ่มธุรกิจขนาดเล็กถึงกลางที่มีรายได้ต่อปีไม่เกิน 900 ล้านบาท โดยมี Cisco มาช่วยออกแบบ แบบสอบถามประเมินความเสี่ยงด้านไอทีของธุรกิจนั้นๆ

แผนประกัน TIP Cyber Guard Plus Powered by Cisco ครอบคลุมความเสียหายต่อไปนี้

Let's Encrypt ผู้ให้บริการออกใบรับรองเว็บฟรี ระบุข้อมูลการอัพเกรดฮาร์ดแวร์เซิฟเวอร์ใหม่ในรายงานประจำปี 2020 ของ Internet Securities Research Group (ISRG) มีรายละเอียดดังนี้

จากเดิมเครื่องเซิฟเวอร์บริษัท ใช้ซีพียู Intel Xeon E5-2650 จำนวน 2 ตัว รวม 24 คอร์ 48 เธรด แรม 1TB 2400 MT/s และฮาร์ดดิสก์ Samsung PM833 ความจุ 3.8TB จำนวน 24 ลูก ความเร็วอ่าน/เขียน 560/540 MB/s นั้น ได้เปลี่ยนมาเป็นเครื่อง Dell PowerEdge R7525 ที่ใช้ซีพียู AMD EPYC 2 ชิปและแรม 2TB 3200MT/s แทน เพราะ Let’s Encrypt ต้องการพัฒนาประสิทธิภาพของเซิฟเวอร์โดยคงฟอร์มแฟกเตอร์แบบ 2U ไว้

FireEye บริษัทความมั่นคงปลอดภัยไซเบอร์ชื่อดังเปิดเผยว่าบริษัทถูกแฮกจนสามารถขโมยเอาเครื่องมือแฮกของ Red Team ในบริษัทที่ปกติมีไว้เพื่อทดสอบความปลอดภัยเครือข่ายให้แก่ลูกค้า แม้ว่าเครื่องมือที่หลุดไปจะไม่มีช่องโหว่ 0-day หรือเทคนิคการแฮกที่ไม่เคยเปิดเผยมาก่อน แต่เครื่องมือเหล่านี้ก็จำลองกระบวนการแฮกของกลุ่มแฮกเกอร์ที่โจมตีในโลกความเป็นจริง ทางบริษัทปล่อยคอนฟิกไฟร์วอลล์และแอนตี้ไวรัสกว่า 300 รายการเพื่อลดผลกระทบหากคนร้ายนำเครื่องมือเหล่านี้ไปใช้งาน

ข่าวสดออนไลน์ @khaosodonline โพสต์ทวิตเตอร์เปิดเผยว่าได้รับข้อความส่วนตัวจากแอคเคาท์ที่ใช้ชื่อว่า Support Team ของทวิตเตอร์และมีเครื่องหมายติ๊กถูก แจ้งว่ามีทวีตละเมิดลิขสิทธิ์ ให้กรอกข้อมูลชี้แจง ไม่เช่นนั้นแอคเคาท์จะถูกปิด

หากดูที่ชื่อแอคเคาท์ของบัญชีดังกล่าวจะใช้ @rvandenbussche1 ซึ่งเมื่อนำชื่อไปเสิร์ชใน Google พบว่าเป็นบัญชีของ Ryan VandenBussche อดีตนักฮอกกี้นำแข็งชาวแคนาดา ทำให้คาดว่าน่าจะเป็นบัญชีที่ถูกแฮกมา (อาจจะรอบเดียวกับที่คนดังถูกแฮก) แล้วถูกนำมาเปลี่ยนชื่อและรูปภาพ ปลอมตัวเป็นทีมซัพพอร์ท และหลอกเอาข้อมูลจากผู้ใช้ ขณะที่บัญชีจริงของทวิตเตอร์คือ Twitter Support

บริษัทแอนตี้ไวรัสซื้อกิจการกันเอง โดย NortonLifeLock (ชื่อใหม่ของ Symantec) ซื้อบริษัทร่มแดง Avira จากเยอรมนี มูลค่า 360 ล้านดอลลาร์ จ่ายเป็นเงินสดทั้งหมด

ที่มาที่ไปของทั้งสองบริษัทมีความซับซ้อนอยู่บ้าง เริ่มจากเมื่อปีที่แล้ว Symantec แยกครึ่งบริษัท โดยขายธุรกิจ Enterprise Security พร้อมแบรนด์ Symantec ให้กับ Broadcom โดยยังเหลือธุรกิจฝั่งคอนซูเมอร์เอาไว้คือ แอนตี้ไวรัสแบรนด์ Norton และบริการป้องกันข้อมูลส่วนตัว LifeLock จึงเปลี่ยนชื่อบริษัทเป็น NortonLifeLock

Citizen Lab ออกรายงานถึงสินค้าของบริษัท Circles ผู้พัฒนาระบบแฮกเครือข่ายโทรศัพท์มือถือผ่านทางช่องโหว่โปรโตคอล SS7 ที่เปิดทางให้แฮกเกอร์สามารถดักฟังทั้งโทรศัพท์และข้อความ SMS ของเหยื่อได้ โดย Circles ระบุว่าบริษัทจะขายสินค้าให้กับรัฐเท่านั้น ไม่เปิดขายเอกชนทั่วไป รายงานระบุรายชื่อรัฐบาลที่ใช้งานสินค้าของ Circles ทั่วโลก รวมถึงรัฐบาลไทยที่มีกองทัพบกและตำรวจปราบปรามยาเสพติดใช้งาน

ThaiCERT และ US-CERT ออกประกาศแจ้งเตือนองค์กรที่ใช้ Fortinet VPN จำนวนมากถูกแฮกเกอร์เจาะระบบด้วยช่องโหว่ CVE-2018-13379 ที่บริษัทแพตช์ไปตั้งแต่กลางปี 2019 แต่หลายองค์กรยังไม่ได้ติดตั้งแพตช์ และตัวช่องโหว่ทำให้แฮกเกอร์อ่านชื่อผู้ใช้และรหัสผ่านได้ ทำให้แม้จะแพตช์ไปหลังจากถูกแฮก ตัวแฮกเกอร์ก็สามารถล็อกอินกลับเข้าเครือข่ายได้

ทาง ThaiCERT ระบุว่ากำลังประสานงานไปยังหน่วยงานในไทยที่ได้รับผลกระทบเพื่อให้อัพเดตเฟิร์มแวร์และเปลี่ยนรหัสผ่าน

ไฟล์ที่แฮกเกอร์นำออกมาแจกเป็นข้อมูลเซิร์ฟเวอร์ VPN กว่า 50,000 รายการ ข้อมูลของแต่ละเซิร์ฟเวอร์ระบุชื่อผู้ใช้, รหัสผ่าน, ระดับสิทธิ์, และหมายเลขไอพีที่ผู้ใช้ใช้เชื่อมต่อเข้าไปยังเซิร์ฟเวอร์

นักวิจัยด้านความปลอดภัยจาก Digital Defense ได้เปิดเผยช่องโหว่ของ cPanel และ WebHost Manager (WHM) ซอฟต์แวร์ชื่อดังสำหรับแอดมินที่ใช้จัดการการโฮสต์เว็บไซต์ด้วยหน้าตาที่ใช้งานง่าย

ช่องโหว่นี้มีรหัส CVE-2020-27641 เปิดโอกาสให้ผู้โจมตีสามารถ brute-force รหัส 2FA ได้เรื่อยๆ จนล็อกอินเข้าระบบ cPanel ได้ในที่สุด เพราะ cPanel ไม่มีการบล็อกผู้ใช้ทิ้งหากใส่รหัส 2FA ผิดติดกันบ่อยๆ โดยนักวิจัยระบุว่าปกติแล้วการ brute-force อาจใช้เวลาหลายชั่วโมง แต่จากการทดสอบในบางกรณีใช้เวลาไม่กี่นาทีก็ล็อกอินได้แล้ว

ทั้งนี้ แน่นอนว่าผู้โจมตีต้องมีรหัสผ่านของเหยื่อมาก่อน เช่นจากการทำ phishing หรือขโมยมาจากทางอื่น

กลุ่มโรงเรียนใน Baltimore County หรือ Baltimore County Public Schools (BCPS) ในรัฐแมรีแลนด์โดนโจมตีจากมัลแวร์เรียกค่าไถ่ที่ทำให้ระบบเครือข่ายภายในโรงเรียนต้องหยุดทำงาน ส่งผลกระทบถึงระบบไอทีของโรงเรียนไม่สามารถให้บริการได้ กระทบตั้งแต่อีเมล, ระบบเกรด ไปจนถึงเว็บไซต์ (ณ ตอนที่เขียนข่าวนี้ เว็บไซต์ของโรงเรียนก็ยังไม่สามารถใช้งานได้)

Mychael Dickerson หัวหน้าพนักงานของ BCPS ยืนยันผ่านทวิตเตอร์ว่าเหตุการณ์ที่ระบบไอทีใช้งานไม่ได้นี้คาดว่าจะเกิดจากการโจมตีโดยมัลแวร์เรียกค่าไถ่ ซึ่งตอนนี้ทีมเทคโนโลยีของ BCPS กำลังเร่งแก้ไขสถานการณ์นี้

Clément Labro นักวิจัยความปลอดภัยชาวฝรั่งเศส เป็นเจ้าของสคริปต์ชื่อ PrivescCheck ใช้ตรวจสอบว่าคอนฟิกของ Windows เผลอเปิดให้เกิดช่องโหว่ความปลอดภัยหรือไม่

หลังออกสคริปต์เวอร์ชันใหม่ (เผยแพร่บน GitHub) เขาค้นพบว่าสคริปต์ของเขาทำงานแปลกๆ บน Windows 7 และ Windows Server 2008 R2 ที่เป็นระบบปฏิบัติการรุ่นเก่า หลังสอบสวนในรายละเอียดแล้วเขาก็พบว่านี่เป็นบั๊ก zero-day ของ Windows 7/2008 R2 ที่ทำให้เราสามารถเลื่อนขั้นสิทธิ (privilege escalation) ของบริการชื่อ RpcEptMapper ผ่านระบบ registry ของ Windows ได้อย่างที่ไม่ควรจะเป็น

ช่องโหว่นี้สามารถสร้างไฟล์ DLL ของตัวเองแล้วให้ระบบเรียกใช้งานด้วยสิทธิของระบบ (system privilege) ได้ อย่างไรก็ตาม ช่องโหว่นี้จำเป็นต้องเข้าถึงเครื่องแบบ local access ดังนั้นความรุนแรงจึงไม่เยอะมากนัก

หลัง Joe Biden ชนะการเลือกตั้งประธานาธิบดีสหรัฐ สิ่งที่ต้องเกิดขึ้นคือทีมทำงานในช่วงเปลี่ยนผ่าน (presidential transition team หรือ ptt) จะเข้าไปรับช่วงงานต่อจากรัฐบาลชุดปัจจุบัน ก่อนเริ่มทำงานจริงหลังพิธีสาบานตนในเดือนมกราคม 2021

แต่เนื่องจาก Donald Trump ยังไม่ยอมรับความพ่ายแพ้ ทำให้ทีมทำงานของ Biden ยังไม่สามารถรับช่วงต่ออย่างเป็นทางการได้ และยังไม่ได้อีเมล @ptt.gov ที่ดูแลโดยหน่วยงานความมั่นคงไซเบอร์ของรัฐบาลสหรัฐ

สิ่งที่เกิดขึ้นคือทีมทำงานของ Biden จึงต้องเซ็ตระบบไอทีของตัวเองกันไปก่อน โดยเลือกใช้ Google Workspace (G Suite เดิม) แบบแพ็กเกจมาตรฐาน (จ่ายเงินกันเอง)

Capcom ออกมายอมรับว่าโดนการโจมตี ransomware ในระบบไอทีของบริษัท ส่งผลให้ข้อมูลส่วนตัวของลูกค้า-พนักงาน-อดีตพนักงาน-ผู้ถือหุ้น รั่วไหลประมาณ 350,000 รายการ

ข้อมูลที่รั่วไหลแตกต่างกันตามแต่ละภูมิภาคและชนิดของบุคคล มีทั้งชื่อ อีเมล วันเกิด ที่อยู่ หมายเลขโทรศัพท์ และวันเกิด แต่ไม่มีข้อมูลบัตรเครดิตที่ Capcom ไม่ได้เก็บรักษาไว้เองตั้งแต่ต้น

นอกจากข้อมูลของบุคคลแล้ว ยังมีไฟล์เอกสารทางธุรกิจของ Capcom รั่วไหลออกมาด้วย ซึ่งมีทั้งตัวเลขยอดขาย ข้อมูลการพัฒนาเกม และข้อมูลของพาร์ทเนอร์ธุรกิจ

ไมโครซอฟท์เปิดตัวชิปความปลอดภัย Pluton ที่ดีไซน์เอง จะฝังในตัวซีพียูเลยเพื่อความปลอดภัยที่ดีกว่าเดิม แทนการใช้ชิป Trusted Platform Module (TPM) แยกจากซีพียูแบบของเดิม

ไมโครซอฟท์บอกว่า TPM ถูกใช้เก็บรักษาข้อมูลลับ (เช่น รหัสผ่าน คีย์ ลายนิ้วมือ) ในฮาร์ดแวร์มายาวนาน และตอนนี้เริ่มเจอการโจมตีแบบใหม่ๆ อย่างการดักข้อมูลระหว่างทางขณะส่งจากซีพียูไปกลับ TPM ทางแก้ในเชิงระบบคือย้าย TPM ไปอยู่ในตัวซีพียูเลย

Zoom ประกาศฟีเจอร์ด้านความปลอดภัยในการใช้งาน 2 ฟีเจอร์ใหม่ ตัวแรกคือ At-Risk Meeting Notifier สำหรับสแกนอินเทอร์เน็ต ทั้งโซเชียลมีเดียหรือเว็บไซต์ที่เป็นสาธารณะ ว่ามีการโพสต์ลิงก์ห้องประชุม Zoom หรือไม่ หากพบก็จะแจ้งเตือนโฮสต์พร้อมชี้แนะแนวทางแก้ไขต่อไป

อีกฟีเจอร์คือ Suspend Participant Activities ใต้ไอคอนกุญแจสีเขียว ที่ให้โฮสต์สามารถพักการประชุมชั่วคราวและจัดการกับผู้เข้าร่วมประชุมที่สร้างความวุ่นวาย โดยเมื่อกดปุ่ม Suspend Participant Activities วิดีโอคอล, แชท, การแชร์หน้าจอ, การบันทึกหน้าจอหรือการแยกห้อง Breakout Rooms ทุกอย่างจะหยุดลงชั่วคราวทันที

เมื่อสัปดาห์ที่แล้วผู้ใช้แมคพบปัญหาเปิดแอปจากผู้ผลิตภายนอกไม่ได้เนื่องจากเซิร์ฟเวอร์ OCSP ของแอปเปิลเกิดล่มไป แม้แอปเปิลจะแก้ปัญหาได้ในเวลาไม่นานแต่คำถามใหม่คือ Mac OS ส่งข้อมูลว่าผู้ใช้รันแอปตั้งแต่เมื่อใดและนำข้อมูลไปใช้อะไรบ้าง

เซิร์ฟเวอร์ OCSP จะได้รับหมายเลขไอพีของเครื่องผู้ใช้ และใบรับรองประจำตัวนักพัฒนา เช่น หากผู้ใช้เปิด Photoshop เซิร์ฟเวอร์ก็จะเห็นหมายเลขไอพีและรู้ว่าเครื่องนั้นกำลังเปิดโปรแกรมจากอโดบี เซิร์ฟเวอร์ OCSP จะเห็นรายการผู้ผลิตแอปอื่นนอกแอปเปิลทั้งหมด

ไมโครซอฟท์รายงานพบกลุ่มแฮกเกอร์ระดับชาติ (nation-state actor) จากรัสเซียและเกาหลีเหนือไล่โจมตีบริษัทยาหลายแห่งที่กำลังวิจัยยาหรือวัคซีน COVID-19 อยู่

กลุ่มแรกคือกลุ่ม Strontium จากรัสเซียอาศัยการโจมตีแบบ password spray กวาดสุ่มบัญชีและรหัสผ่านนับล้านครั้งเพื่อพยายามเข้าถึงบัญชีของพนักงานบริษัทเหยื่อ

กลุ่ม Zinc จากเกาหลีเหนือส่งเมลฟิชชิ่งอย่างเจาะจง (spear phishing) หลอกเอารหัสผ่าน บางครั้งส่งเมลหลอกว่าเป็นคนรับสมัครงานแชตไปหาเหยื่อ ขณะที่กลุ่ม Cerium จากเกาหลีเหนือเช่นกันหลอกเหยื่อว่าเป็นตัวแทน World Health Organization