ที่งานประชุม Kaspersky Security Analyst Summit 2024 ทีมวิจัยและวิเคราะห์ระดับโลกของแคสเปอร์สกี้ (Global Research and Analysis Team - GReAT) ได้เปิดเผยแคมเปญอันตรายที่ซับซ้อนโดยกลุ่มลาซารัส Lazarus APT (Advanced Persistent Threat) ซึ่งมีเป้าหมายเป็นนักลงทุนเงินคริปโตทั่วโลก ผู้โจมตีใช้เว็บไซต์เกมคริปโตปลอมโดยใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ในเบราเซอร์ Google Chrome เพื่อติดตั้งสปายแวร์และขโมยข้อมูลประจำตัวของวอลเล็ต
เดือนพฤษภาคม 2024 ผู้เชี่ยวชาญของแคสเปอร์สกี้ได้วิเคราะห์เหตุการณ์ที่เกิดขึ้นภายใน Kaspersky Security Network และพบการโจมตีโดยใช้มัลแวร์ Manuscrypt ที่กลุ่ม Lazarus ใช้มาตั้งแต่ปี 2013 ทีม GReAT บันทึกแคมเปญได้มากกว่า 50 แคมเปญที่มีเป้าหมายโจมตีภาคอุตสาหกรรมต่างๆ การวิเคราะห์เพิ่มเติมจึงพบว่า เป็นแคมเปญอันตรายที่ซับซ้อนซึ่งพึ่งพาเทคนิค social engineering และ generative AI อย่างมากเพื่อพุ่งการโจมตีนักลงทุนเงินคริปโตโดยเฉพาะ
กลุ่ม Lazarus เป็นที่รู้จักด้านการโจมตีขั้นสูงบนแพลตฟอร์มเงินคริปโตและมีประวัติการใช้ช่องโหว่ซีโร่เดย์ แคมเปญที่เพิ่งค้นพบนี้ก็ดำเนินตามรูปแบบเดียวกัน นักวิจัยของแคสเปอร์สกี้พบว่าผู้ก่อภัยคุกคามใช้ประโยชน์จากช่องโหว่สองแห่ง รวมถึงบั๊กที่ทำให้สับสนอย่างที่ไม่เคยพบมาก่อนใน V8 ซึ่งเป็น JavaScript โอเพ่นซอร์สของ Google และเอ็นจิ้น WebAssembly หลังจากที่แคสเปอร์สกี้แจ้ง Google ช่องโหว่ซีโร่เดย์นี้ก็ได้รับการแก้ไขเป็น CVE-2024-4947 ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดตามต้องการ บายพาสคุณสมบัติความปลอดภัย และดำเนินกิจกรรมที่เป็นอันตรายต่างๆ ช่องโหว่อีกแห่งถูกใช้เพื่อบายพาสการป้องกันแซนด์บ็อกซ์ของ Google Chrome V8
ผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้ผ่านเว็บไซต์เกมปลอมที่ออกแบบมาอย่างพิถีพิถันเพื่อเชิญชวนผู้ใช้ให้แข่งขันกับรถถัง NFT ทั่วโลก ผู้โจมตีเน้นสร้างความรู้สึกไว้วางใจเพื่อเพิ่มประสิทธิภาพแคมเปญให้สูงสุด ออกแบบรายละเอียดเพื่อให้กิจกรรมส่งเสริมการขายดูสมจริงที่สุด ซึ่งรวมถึงการสร้างบัญชีโซเชียลมีเดียบน X (เดิมเรียกว่า Twitter) และ LinkedIn เพื่อโปรโมตเกมเป็นเวลาหลายเดือน โดยใช้รูปภาพที่สร้างโดย AI เพื่อเพิ่มความน่าเชื่อถือ กลุ่ม Lazarus ได้ผสาน generative AI เข้ากับปฏิบัติการสำเร็จแล้ว และผู้เชี่ยวชาญของแคสเปอร์สกี้คาดว่าผู้โจมตีจะคิดค้นการโจมตีที่ซับซ้อนยิ่งขึ้นโดยใช้เทคโนโลยีนี้
นอกจากนี้ ผู้โจมตียังพยายามติดต่ออินฟลูเอนเซอร์ด้านเงินคริปโตเพื่อโปรโมตการแข่งขัน โดยใช้ประโยชน์จากโซเชียลมีเดีย ซึ่งเป็นการแพร่กระจายภัยคุกคามและสามารถกำหนดเป้าหมายบัญชีเงินคริปโตของเหยื่อได้โดยตรงอีกด้วย
นายบอริส ลาริน ผู้เชี่ยวชาญด้านความปลอดภัย ทีม GReAT แคสเปอร์สกี้ กล่าวว่า "แม้ว่าเราจะเคยเห็นอาชญากรไซเบอร์ขั้นสูง APT หาผลประโยชน์ทางการเงินมาก่อน แต่แคมเปญนี้ถือเป็นแคมเปญที่ไม่เหมือนใคร ผู้โจมตีใช้กลวิธีที่เหนือกว่าวิธีปกติ ด้วยการใช้เกมที่มีฟังก์ชันครบถ้วนเป็นข้ออ้างในการใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ของ Google Chrome และแพร่ระบาดไปยังระบบเป้าหมาย กลุ่มอาชญากรไซเบอร์ฉาวโฉ่อย่างกลุ่ม Lazarus นี้แม้แต่การกระทำที่ดูเหมือนไม่เป็นอันตราย เช่น การคลิกลิงก์บนโซเชียลเน็ตเวิร์กหรือในอีเมล ก็อาจส่งผลให้คอมพิวเตอร์ส่วนบุคคลหรือเครือข่ายองค์กรทั้งหมดถูกบุกรุกได้อย่างสมบูรณ์ การที่กลุ่ม Lazarus พยายามลงแรงอย่างมากกับแคมเปญนี้ แสดงให้เห็นว่ามีแผนการใหญ่ที่ทะเยอทะยาน และผลกระทบอาจขยายวงกว้างกว่านั้นมาก ซึ่งอาจส่งผลกระทบต่อผู้ใช้และองค์กรธุรกิจทั่วโลก"
ผู้เชี่ยวชาญของแคสเปอร์สกี้ค้นพบเกมที่ถูกต้องซึ่งน่าจะเป็นต้นแบบของเกมเวอร์ชันของผู้โจมตี ไม่นานหลังจากที่ผู้โจมตีเปิดตัวแคมเปญเพื่อโปรโมตเกมของตน นักพัฒนาเกมตัวจริงอ้างว่ามีการโอนเงินคริปโตมูลค่า 20,000 ดอลลาร์สหรัฐออกจากวอลเล็ตของตน โลโก้และการออกแบบของเกมปลอมนั้นใกล้เคียงกับเกมต้นฉบับมาก ต่างกันเพียงการวางโลโก้และคุณภาพของภาพเท่านั้น เมื่อพิจารณาจากความคล้ายคลึงและการทับซ้อนของโค้ดเหล่านี้ ผู้เชี่ยวชาญของแคสเปอร์สกี้จึงเน้นย้ำว่ากลุ่ม Lazarus พยายามอย่างเต็มที่เพื่อเพิ่มความน่าเชื่อถือให้กับการโจมตีนี้ ทั้งสร้างเกมปลอมโดยใช้โค้ดต้นฉบับที่ขโมยมา จัดวางโลโก้และระบุข้อมูลทั้งหมดจากเกมที่ถูกกฎหมาย เพื่อบดบังความจริงในเวอร์ชันที่แทบจะเหมือนกันทุกประการ
รายละเอียดของแคมเปญอันตรายนี้ เปิดเผยที่ที่งานประชุม Kaspersky Security Analyst Summit 2024
สามารถอ่านรายงานฉบับสมบูรณ์ได้ใน link นี้
https://securelist.com/lazarus-apt-steals-crypto-with-a-tank-game/114282/