ศูนย์รักษาความปลอดภัยทางไซเบอร์แห่งชาติ และหน่วยข่าวกรองแห่งชาติของเกาหลี ได้แจ้งเตือนว่า กลุ่มแฮ็กเกอร์ Lazarus ของเกาหลีเหนือละเมิดบริษัทต่าง ๆ โดยใช้ช่องโหว่แบบ Zero-day ในซอฟต์แวร์ MagicLine4NX
MagicLine4NX เป็นซอฟต์แวร์สำหรับยืนยันตัวตน (authentication) โดยบริษัท Dream Security ของเกาหลีใต้ ซึ่งใช้สำหรับการเข้าสู่เครือข่ายในองค์กร แฮ็กเกอร์เกาหลีเหนือใช้ประโยชน์จากช่องโหว่ Zero-day เพื่อโจมตีฝ่ายตรงข้ามอย่างต่อเนื่อง ซึ่งส่วนใหญ่เป็นสถาบันการศึกษาและบริษัทในเกาหลีใต้
เมื่อ มี.ค.66 แฮ็กเกอร์อาศัยช่องโหว่ของซอฟต์แวร์ MagicLine4NX รวมถึงระบบที่เชื่อมโยงกับอินทราเน็ตขององค์กร และโจมตีด้วยการฝังสคริปต์ที่เป็นอันตรายลงในบทความของเว็บไซต์ ทำให้เกิดการโจมตีแบบ ‘watering hole’ ส่งผลให้คอมพิวเตอร์ของเหยื่อเชื่อมต่อกับเซิร์ฟเวอร์ C2 (ทำหน้าที่ออกคำสั่งและควบคุมมัลแวร์ของแฮ็กเกอร์) ส่งผลให้แฮ็กเกอร์สามารถเข้าถึงเซิร์ฟเวอร์ของผู้ที่ตกเป็นเหยื่อได้อย่างง่ายดาย และถูกขโมยข้อมูลกลับไปยังเซิร์ฟเวอร์ C2 ของแฮ็กเกอร์
แฮ็กเกอร์ Lazarus ใช้การโจมตีประเภทนี้เพื่อกำหนดเป้าหมายบริษัทเฉพาะเจาะจง ไม่ว่าจะเป็นการจารกรรมทางไซเบอร์ การฉ้อโกงทางการเงิน หรือการขโมยสกุลเงินดิจิทัล
ผลงานของกลุ่มแฮ็กเกอร์ Lazarus ที่ผ่านมา
เมื่อ มี.ค.66 พบกลุ่ม “Labyrinth Chollima” ซึ่งเป็นกลุ่มย่อยของ Lazarus ได้ทำการโจมตีระบบ 3CX ผู้ผลิตซอฟต์แวร์ VoIP เพื่อละเมิดข้อมูลบริษัทที่มีชื่อเสียงระดับสูงหลายแห่งทั่วโลก
เมื่อ 20 ต.ค.66 Microsoft เปิดเผยว่า กลุ่มแฮ็กเกอร์ Lazarusโจมตีบริษัท CyberLink เพื่อแพร่มัลแวร์ ‘LambLoad’ ไปยังคอมพิวเตอร์อย่างน้อยร้อยเครื่อง
