* แฮ็กเกอร์ ปลอมตัวเป็นนายหน้าจ้างเทคโนโลยีในสัมภาษณ์งานปลอม.* มัลแวร์ที่ใช้ในการขโมยกระเป๋าเงินคริปโตและข้อมูลรับรอง.* บริษัทปลอมถูกติดตามไปยังที่อยู่ในเซาท์แคโรไลนาและบัฟฟาโล.กลยุทธ์สงครามไซเบอร์ที่ลับของเกาหลีเหนือได้เปลี่ยนทิศทางไปใหม่ โดยเจ้าหน้าที่สืบสวนของรัฐบาลสหรัฐฯ ได้ค้นพบแคมเปญมัลแวร์ที่เกี่ยวข้องกับคริปโตที่ซับซ้อน ซึ่งดำเนินการโดยบริษัทหน้าเป็นผู้สรรหางานด้านเทคโนโลยีที่ถูกต้องตามกฎหมายตามรายงานที่เผยแพร่โดยรอยเตอร์เมื่อวันศุกร์ แฮ็กเกอร์ที่เกี่ยวข้องกับรัฐบาลเกาหลีเหนือได้สร้างธุรกิจปลอมเพื่อใช้ซอฟต์แวร์ที่เป็นอันตรายซึ่งมุ่งเป้าไปที่นักพัฒนา crypto.วัตถุประสงค์: ขโมยสินทรัพย์ดิจิทัลและข้อมูลประจำตัวที่ละเอียดอ่อนในขณะที่หลีกเลี่ยงการคว่ำบาตรและการตรวจสอบ.FBI ร่วมมือกับบริษัทด้านความปลอดภัยไซเบอร์ Silent Push ได้ทำการยับยั้งชิ้นส่วนสำคัญของการดำเนินการนี้โดยการยึดชื่อโดเมนเว็บของหนึ่งในหน่วยงานที่เกี่ยวข้อง, Blocknovas LLC.การเคลื่อนไหวนี้เป็นการขยายการปราบปรามภัยคุกคามทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐซึ่งใช้ประโยชน์จากพื้นที่คริปโต.## พบบริษัทหน้าฟรอนต์สามแห่งที่เกี่ยวข้องกับการหลอกลวงที่เชื่อมโยงกับเกาหลีเหนือที่ศูนย์กลางของการดำเนินงานมีบริษัทสามแห่ง—Blocknovas LLC, Softglide LLC, และ Angeloper Agency—ซึ่งตั้งขึ้นโดยใช้ที่อยู่ปลอมในสหรัฐอเมริกา.Blocknovas และ Softglide ได้รับการจดทะเบียนอย่างเป็นทางการในนิวเม็กซิโกและนิวยอร์กตามลำดับ ขณะที่ Angeloper ดูเหมือนว่าจะดำเนินการโดยไม่มีการจดทะเบียนที่เหมาะสมเอกสารสาธารณะที่ตรวจสอบโดย Reuters แสดงให้เห็นว่า Blocknovas ถูกจดทะเบียนในที่ดินว่างในเซาท์แคโรไลนา และเอกสารของ Softglide เชื่อมโยงกับบริษัทที่ปรึกษาด้านภาษีขนาดเล็กในบัฟฟาโลFBI ยืนยันเมื่อวันพฤหัสบดีว่ามันได้ยึดโดเมนของ BlocknovasSilent Push ระบุว่าเป็นหนึ่งในสามหน่วยงานที่มีความเคลื่อนไหวมากที่สุด โดยได้ทำการโจมตีเหยื่อหลายรายในวงการคริปโตแล้วบริษัทเหล่านี้ reportedly ดำเนินการโดยผู้ปฏิบัติงานไซเบอร์ที่เชื่อมโยงกับกลุ่ม Lazarus ซึ่งเป็นหน่วยงานภายใต้สำนักงานข่าวกรองทั่วไปของเกาหลีเหนือ.หน่วยงานนี้ดูแลการข่าวและการแฮ็กต่างประเทศหลายแห่งของกรุงเปียงยาง.## มัลแวร์ที่ถูกปล่อยผ่านการสัมภาษณ์งานปลอมเทคนิคที่ใช้มีทั้งการหลอกลวงและมีประสิทธิภาพ ตามที่ FBI และ Silent Push ระบุ แฮ็กเกอร์ชาวเกาหลีเหนือได้ปลอมตัวเป็นผู้สรรหาที่เสนอสัมภาษณ์งานปลอมให้กับนักพัฒนาคริปโตที่ไม่รู้ตัวนักพัฒนาซอฟต์แวร์เหล่านี้ ซึ่งถูกล่อลวงโดยข้อเสนอที่ดึงดูดใจ สุดท้ายก็ถูกหลอกให้ดาวน์โหลดมัลแวร์เมื่อถูกติดตั้งแล้ว มัลแวร์ได้ให้การเข้าถึงกระเป๋าเงินคริปโตและสภาพแวดล้อมการพัฒนาแก่ผู้โจมตี ซึ่งทำให้เกิดการทำธุรกรรมโดยไม่ได้รับอนุญาตและการขโมยข้อมูลประจำตัวที่เป็นความลับ.แคมเปญทั้งหมดดูเหมือนจะถูกออกแบบมาไม่เพียงเพื่อขโมยเงินทุน แต่ยังเพื่อทำให้เกิดการละเมิดที่ลึกซึ้งยิ่งขึ้นในแพลตฟอร์มที่สร้างหรือจัดการสินทรัพย์ดิจิทัลกลยุทธ์เหล่านี้ถูกมองว่าเป็นการพัฒนาของการดำเนินการทางไซเบอร์ก่อนหน้านี้ที่เชื่อมโยงกับเกาหลีเหนือ ซึ่งการกระจายมัลแวร์และความพยายามในการฟิชชิงส่วนใหญ่ถูกกำหนดเป้าหมายไปที่การแลกเปลี่ยนและโปรโตคอล DeFi.## อาชญากรรมเกี่ยวกับคริปโตถูกมองว่าเป็นแหล่งรายได้หลักสำหรับโครงการอาวุธแคมเปญมัลแวร์นี้เน้นย้ำถึงความต้องการที่เพิ่มขึ้นของเกาหลีเหนือในการพึ่งพาอาชญากรรมไซเบอร์เพื่อหาเงินสนับสนุนความทะเยอทะยานระหว่างประเทศของตน.รายงานของสหประชาชาติและการสอบสวนที่เป็นอิสระได้แสดงให้เห็นว่ารัฐบาลกำลังหันไปใช้การขโมยสกุลเงินดิจิทัลมากขึ้นเป็นวิธีการในการจัดหาเงินทุนสำหรับโครงการนิวเคลียร์และขีปนาวุธของตนในปี 2022 ระบอบการปกครองถูกเชื่อมโยงกับการแฮ็ก Axie Infinity ที่มีชื่อเสียง ซึ่งส่งผลให้เกิดการสูญเสียมากกว่า 600 ล้านดอลลาร์.เมื่อเร็ว ๆ นี้ มีการเปิดเผยว่า นัก IT หญิงชายหลายพันคนถูกส่งไปต่างประเทศเพื่อทำงานอย่างลับ ๆ สำหรับบริษัทต่าง ๆ โดยมีการชำระเงินเป็นสกุลเงินดิจิทัล ซึ่งจะถูกส่งกลับเข้ากองทุนของเกาหลีเหนือความพยายามทั้งหมดนี้ละเมิดมาตรการคว่ำบาตรที่กำหนดโดยสำนักงานควบคุมทรัพย์สินต่างประเทศของกระทรวงการคลังสหรัฐอเมริกา (OFAC) และมติของสหประชาชาติหลายฉบับที่มีเป้าหมายเพื่อลดการเข้าถึงช่องทางการระดมทุนระหว่างประเทศของเกาหลีเหนือ.ขณะที่การสอบสวนยังคงดำเนินต่อไป ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์เตือนว่าบริษัทหน้าแปลนเช่นนี้อาจมีอยู่มากขึ้น และนักพัฒนาและบริษัทคริปโต้ต้องเพิ่มความระมัดระวังในกระบวนการตรวจสอบความถูกต้องเมื่อได้รับข้อเสนอการจ้างงานที่ไม่พึงประสงค์.บทความ FBI ยึดโดเมนหลอกลวงคริปโตที่เชื่อมโยงกับกลุ่ม Lazarus ของเกาหลีเหนือ ปรากฏเป็นครั้งแรกใน CoinJournal.
FBI ยึดโดเมนการหลอกลวงคริปโตที่เชื่อมโยงกับกลุ่ม Lazarus ของเกาหลีเหนือ
กลยุทธ์สงครามไซเบอร์ที่ลับของเกาหลีเหนือได้เปลี่ยนทิศทางไปใหม่ โดยเจ้าหน้าที่สืบสวนของรัฐบาลสหรัฐฯ ได้ค้นพบแคมเปญมัลแวร์ที่เกี่ยวข้องกับคริปโตที่ซับซ้อน ซึ่งดำเนินการโดยบริษัทหน้าเป็นผู้สรรหางานด้านเทคโนโลยีที่ถูกต้องตามกฎหมาย
ตามรายงานที่เผยแพร่โดยรอยเตอร์เมื่อวันศุกร์ แฮ็กเกอร์ที่เกี่ยวข้องกับรัฐบาลเกาหลีเหนือได้สร้างธุรกิจปลอมเพื่อใช้ซอฟต์แวร์ที่เป็นอันตรายซึ่งมุ่งเป้าไปที่นักพัฒนา crypto.
วัตถุประสงค์: ขโมยสินทรัพย์ดิจิทัลและข้อมูลประจำตัวที่ละเอียดอ่อนในขณะที่หลีกเลี่ยงการคว่ำบาตรและการตรวจสอบ.
FBI ร่วมมือกับบริษัทด้านความปลอดภัยไซเบอร์ Silent Push ได้ทำการยับยั้งชิ้นส่วนสำคัญของการดำเนินการนี้โดยการยึดชื่อโดเมนเว็บของหนึ่งในหน่วยงานที่เกี่ยวข้อง, Blocknovas LLC.
การเคลื่อนไหวนี้เป็นการขยายการปราบปรามภัยคุกคามทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐซึ่งใช้ประโยชน์จากพื้นที่คริปโต.
พบบริษัทหน้าฟรอนต์สามแห่งที่เกี่ยวข้องกับการหลอกลวงที่เชื่อมโยงกับเกาหลีเหนือ
ที่ศูนย์กลางของการดำเนินงานมีบริษัทสามแห่ง—Blocknovas LLC, Softglide LLC, และ Angeloper Agency—ซึ่งตั้งขึ้นโดยใช้ที่อยู่ปลอมในสหรัฐอเมริกา.
Blocknovas และ Softglide ได้รับการจดทะเบียนอย่างเป็นทางการในนิวเม็กซิโกและนิวยอร์กตามลำดับ ขณะที่ Angeloper ดูเหมือนว่าจะดำเนินการโดยไม่มีการจดทะเบียนที่เหมาะสม
เอกสารสาธารณะที่ตรวจสอบโดย Reuters แสดงให้เห็นว่า Blocknovas ถูกจดทะเบียนในที่ดินว่างในเซาท์แคโรไลนา และเอกสารของ Softglide เชื่อมโยงกับบริษัทที่ปรึกษาด้านภาษีขนาดเล็กในบัฟฟาโล
FBI ยืนยันเมื่อวันพฤหัสบดีว่ามันได้ยึดโดเมนของ Blocknovas
Silent Push ระบุว่าเป็นหนึ่งในสามหน่วยงานที่มีความเคลื่อนไหวมากที่สุด โดยได้ทำการโจมตีเหยื่อหลายรายในวงการคริปโตแล้ว
บริษัทเหล่านี้ reportedly ดำเนินการโดยผู้ปฏิบัติงานไซเบอร์ที่เชื่อมโยงกับกลุ่ม Lazarus ซึ่งเป็นหน่วยงานภายใต้สำนักงานข่าวกรองทั่วไปของเกาหลีเหนือ.
หน่วยงานนี้ดูแลการข่าวและการแฮ็กต่างประเทศหลายแห่งของกรุงเปียงยาง.
มัลแวร์ที่ถูกปล่อยผ่านการสัมภาษณ์งานปลอม
เทคนิคที่ใช้มีทั้งการหลอกลวงและมีประสิทธิภาพ ตามที่ FBI และ Silent Push ระบุ แฮ็กเกอร์ชาวเกาหลีเหนือได้ปลอมตัวเป็นผู้สรรหาที่เสนอสัมภาษณ์งานปลอมให้กับนักพัฒนาคริปโตที่ไม่รู้ตัว
นักพัฒนาซอฟต์แวร์เหล่านี้ ซึ่งถูกล่อลวงโดยข้อเสนอที่ดึงดูดใจ สุดท้ายก็ถูกหลอกให้ดาวน์โหลดมัลแวร์
เมื่อถูกติดตั้งแล้ว มัลแวร์ได้ให้การเข้าถึงกระเป๋าเงินคริปโตและสภาพแวดล้อมการพัฒนาแก่ผู้โจมตี ซึ่งทำให้เกิดการทำธุรกรรมโดยไม่ได้รับอนุญาตและการขโมยข้อมูลประจำตัวที่เป็นความลับ.
แคมเปญทั้งหมดดูเหมือนจะถูกออกแบบมาไม่เพียงเพื่อขโมยเงินทุน แต่ยังเพื่อทำให้เกิดการละเมิดที่ลึกซึ้งยิ่งขึ้นในแพลตฟอร์มที่สร้างหรือจัดการสินทรัพย์ดิจิทัล
กลยุทธ์เหล่านี้ถูกมองว่าเป็นการพัฒนาของการดำเนินการทางไซเบอร์ก่อนหน้านี้ที่เชื่อมโยงกับเกาหลีเหนือ ซึ่งการกระจายมัลแวร์และความพยายามในการฟิชชิงส่วนใหญ่ถูกกำหนดเป้าหมายไปที่การแลกเปลี่ยนและโปรโตคอล DeFi.
อาชญากรรมเกี่ยวกับคริปโตถูกมองว่าเป็นแหล่งรายได้หลักสำหรับโครงการอาวุธ
แคมเปญมัลแวร์นี้เน้นย้ำถึงความต้องการที่เพิ่มขึ้นของเกาหลีเหนือในการพึ่งพาอาชญากรรมไซเบอร์เพื่อหาเงินสนับสนุนความทะเยอทะยานระหว่างประเทศของตน.
รายงานของสหประชาชาติและการสอบสวนที่เป็นอิสระได้แสดงให้เห็นว่ารัฐบาลกำลังหันไปใช้การขโมยสกุลเงินดิจิทัลมากขึ้นเป็นวิธีการในการจัดหาเงินทุนสำหรับโครงการนิวเคลียร์และขีปนาวุธของตน
ในปี 2022 ระบอบการปกครองถูกเชื่อมโยงกับการแฮ็ก Axie Infinity ที่มีชื่อเสียง ซึ่งส่งผลให้เกิดการสูญเสียมากกว่า 600 ล้านดอลลาร์.
เมื่อเร็ว ๆ นี้ มีการเปิดเผยว่า นัก IT หญิงชายหลายพันคนถูกส่งไปต่างประเทศเพื่อทำงานอย่างลับ ๆ สำหรับบริษัทต่าง ๆ โดยมีการชำระเงินเป็นสกุลเงินดิจิทัล ซึ่งจะถูกส่งกลับเข้ากองทุนของเกาหลีเหนือ
ความพยายามทั้งหมดนี้ละเมิดมาตรการคว่ำบาตรที่กำหนดโดยสำนักงานควบคุมทรัพย์สินต่างประเทศของกระทรวงการคลังสหรัฐอเมริกา (OFAC) และมติของสหประชาชาติหลายฉบับที่มีเป้าหมายเพื่อลดการเข้าถึงช่องทางการระดมทุนระหว่างประเทศของเกาหลีเหนือ.
ขณะที่การสอบสวนยังคงดำเนินต่อไป ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์เตือนว่าบริษัทหน้าแปลนเช่นนี้อาจมีอยู่มากขึ้น และนักพัฒนาและบริษัทคริปโต้ต้องเพิ่มความระมัดระวังในกระบวนการตรวจสอบความถูกต้องเมื่อได้รับข้อเสนอการจ้างงานที่ไม่พึงประสงค์.
บทความ FBI ยึดโดเมนหลอกลวงคริปโตที่เชื่อมโยงกับกลุ่ม Lazarus ของเกาหลีเหนือ ปรากฏเป็นครั้งแรกใน CoinJournal.