Mandiant พบแฮกเกอร์ที่มีความเชื่อมโยงกับรัฐบาลเกาหลีเหนือมุ่งเป้าโจมตีนักวิจัยด้านความมั่นคงปลอดภัยด้วยมัลแวร์ชนิดใหม่ หวังเข้าแทรกซึมองค์กรที่เหยื่อทำงานอยู่
Mandiant ตั้งชื่อแฮกเกอร์ว่า UNC2970 และตั้งชื่อมัลแวร์ที่ UNC2970 ใช้ว่า Touchmove, Sideshow และ Touchshift ซึ่งมีความสามารถในการตอบโต้ระบบตรวจจับภายในคลาวด์ของเป้าหมายด้วย
UNC2970 ใช้วิธีการโจมตีแบบสเปียร์ฟิชชิง (Spear-phishing) หรือการล้วงข้อมูลแบบเจาะจงเป้าหมาย ด้วยการส่งอีเมลที่หลอกชักชวนเข้าไปทำงาน พร้อมโน้มน้าวให้ดาวน์โหลดมัลแวร์เหล่านี้ไป
แต่ในระยะหลังมานี้ UNC2970 หันไปใช้บัญชี LinkedIn ที่ปลอมตัวเป็นบริษัทที่มีอยู่จริงในการหลอกต้มเหยื่อ และยังเริ่มใช้ WhatsApp และอีเมลในการส่งแบ็กดอร์ หรือเครื่องมือฝังช่องทางในการส่งมัลแวร์ที่ชื่อ Plankwalk ที่จะส่งเครื่องมือและมัลแวร์ตัวอื่น ๆ เข้าไปด้วย
มัลแวร์เหล่านี้แฝงอยู่ในไฟล์มาโครที่ซ่อนอยู่ในเอกสาร Microsoft Word อีกที ซึ่งเมื่อเหยื่อเปิดเอกสารเหล่านี้ อุปกรณ์ของเหยื่อก็จะดาวน์โหลดและเปิดใช้งานมัลแวร์ทันที
Mandiant ชี้ว่าการที่ UNC2970 หันมาโจมตีนักวิจัยด้านความมั่นคงปลอดภัยสะท้อนให้เห็นถึงการเปลี่ยนกลยุทธ์หรืออาจเป็นการขยายปฏิบัติการก็เป็นได้
ที่มา Ars Technica
พิสูจน์อักษร : สุชยา เกษจำรัส
