กลุ่มแฮกเกอร์ Sapphire Sleet ขโมยเงิน 10 ล้านดอลลาร์โดยการใช้ AI และมัลแวร์บน LinkedIn

สรุปข้อมูล 

แฮกเกอร์นาม Sapphire Sleet โจรกรรมคริปโตเคอร์เรนซี มูลค่ากว่า 10 ล้านดอลลาร์ ภายในระยะเวลาเพียง 6 เดือน กลุ่มนี้ใช้กลยุทธ์ Social Engineering เป็นรูปแบบการโจมตีหลัก โดยอาศัยเทคโนโลยี AI สร้างโปรไฟล์ปลอมสำหรับสมัครงาน บน LinkedIn แฝงตัวเป็นทั้งผู้สมัครและนายจ้างหลอกลวงเหยื่อเพื่อหารายได้ให้กับรัฐบาลเกาหลีเหนือที่กำลังได้รับผลกระทบจากการถูกคว่ำบาตร

รายละเอียดการโจมตี

รูปที่ 1: แสดงขั้นตอนการโจมตี

รูปแบบการโจมตีของกลุ่มแฮกเกอร์ Sapphire Sleet หลัก ๆ จะมีอยู่ 2 รูปแบบดังนี้

• กลุ่มแฮกเกอร์จะปลอมตัวเป็นนายหน้าหางานหรือผู้สมัครงานบนแพลตฟอร์มต่าง ๆ เช่น LinkedIn โดยจะติดต่อเหยื่อและอ้างว่ามีตำแหน่งงานที่เหมาะสมกับเหยื่อ พร้อมขอให้เหยื่อทำแบบทดสอบทักษะผ่านเว็บไซต์ที่กลุ่มควบคุมอยู่ โดยกลุ่มนี้จะส่งบัญชีผู้ใช้งานและรหัสผ่านให้เหยื่อ เมื่อเหยื่อลงชื่อเข้าใช้เว็บไซต์และดาวน์โหลดโค้ดที่เกี่ยวข้องกับแบบทดสอบ จะเป็นการดาวน์โหลดมัลแวร์ลงในอุปกรณ์ของเหยื่อ ทำให้กลุ่มนี้สามารถเข้าถึงระบบของเหยื่อได้
  

รูปที่ 2: โปรไฟล์ LinkedIn ปลอม ที่เกี่ยวข้องกับการโจมตี (ถูกปิดแล้ว)

• กลุ่มแฮกเกอร์จะปลอมเป็นนักลงทุน โดยจะนัดประชุมกับบริษัทที่ตกเป็นเป้าหมายผ่านทางออนไลน์ เมื่อเป้าหมายพยายามเข้าร่วมการประชุม จะพบกับข้อความที่แจ้งข้อผิดพลาดและแนะนำให้ติดต่อทีมสนับสนุนหรือผู้ดูแลระบบ เมื่อเหยื่อทำการติดต่อไป กลุ่มดังกล่าวจะส่งสคริปต์ .scpt (สำหรับ Mac) หรือ Visual Basic Script (.vbs) (สำหรับ Windows) มาเพื่อแก้ปัญหาการเชื่อมต่อ ซึ่งสคริปต์ดังกล่าวจะดาวน์โหลดมัลแวร์ลงในอุปกรณ์ของเหยื่อ เพื่อพยายามเข้าถึงกระเป๋าเงินคริปโตและข้อมูลรับรองต่าง ๆ ในอุปกรณ์ เพื่อขโมย Cryptocurrency ของเหยื่อ

ผลกระทบจากการโจมตี 

ผลกระทบของการโจมตีจากกลุ่มแฮกเกอร์ส่งผลกระทบต่อผู้ใช้งานและองค์กร ทั้งข้อมูลส่วนตัวที่รั่วไหล การสูญเสียทรัพย์สินดิจิทัล เช่น Cryptocurrency และ Credentials รวมถึงความเสี่ยงที่ข้อมูลเหล่านั้นอาจถูกนำไปใช้ในโจมตีอื่น ๆ องค์กรยังต้องเผชิญกับ ความเสียหายด้านชื่อเสียง และค่าใช้จ่ายในการกู้คืนและเพิ่มมาตรการป้องกัน

สรุปการโจมตี 

การโจมตีของกลุ่มแฮกเกอร์จะเน้นไปที่การโจมตีแบบ Social Engineering โดยจะปลอมตัวเป็นนายหน้าหางานหรือผู้สมัครงาน ด้วยการสร้างเว็บไซต์ปลอม หลอกให้เหยื่อทำแบบทดสอบหรือแก้ปัญหาการเชื่อมต่อผ่านสคริปต์มัลแวร์ เมื่อเหยื่อติดตั้งมัลแวร์ลงในอุปกรณ์ แฮกเกอร์จะสามารถเข้าถึงข้อมูลสำคัญ เช่น Credentials และกระเป๋าเงินดิจิทัล เพื่อขโมย Cryptocurrency หรือข้อมูลสำคัญอื่น ๆ ได้

คำแนะนำ 

• ควรตรวจสอบโปรไฟล์ในแพลตฟอร์มต่าง ๆ เช่น LinkedIn โดยเฉพาะโปรไฟล์ที่ไม่มีความน่าเชื่อถือหรืออ้างว่ามาจากองค์กรชื่อดัง
• หลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์หรือไฟล์ เช่น .scpt หรือ .vbs จากแหล่งที่ไม่น่าเชื่อถือหรือ Unofficial
• หลีกเลี่ยงการให้ข้อมูลส่วนตัวหรือข้อมูลบริษัท

แหล่งอ้างอิง

https://thehackernews.com/2024/11/north-korean-hackers-steal-10m-with-ai.html

Https://www.Microsoft.com/en-us/security/blog/2024/11/22/microsoft-shares-latest-intelligence-on-northkorean-and-chinese-threat-actors-at-cyberwarcon/