ทีมวิจัยภัยคุกคาม Securonix ได้ติดตามแคมเปญการโจมตีที่เป็นวิศวกรรมสังคม (Social Engineering) นี้ภายใต้ชื่อ DEV#POPPER ซึ่งเชื่อมโยงกับผู้คุกคามชาวเกาหลีเหนือโดยกําหนดเป้าหมายนักพัฒนาซอฟต์แวร์ด้วยการสัมภาษณ์งานปลอมเพื่อพยายามหลอกให้พวกเขาติดตั้ง Python remote access trojan (RAT). ซึ่งเป็นโทรจันที่สามารถเข้าถึงได้จากระยะไกล โดยระหว่างการสัมภาษณ์ นักพัฒนาซอฟต์แวร์จะถูกขอให้ทํากิจกรรมที่เกี่ยวข้องกับการสัมภาษณ์ เช่น การดาวน์โหลดและเรียกใช้โค้ดจาก GitHub เพื่อพยายามทําให้กระบวนการทั้งหมดดูเหมือนถูกต้อง
Dev Popper Campaign:
– เป้าหมาย: แคมเปญนี้มุ่งเป้าไปที่นักพัฒนาซอฟต์แวร์ที่มีทักษะเฉพาะด้าน เช่น Python, Golang และ JavaScript
– ช่องทางการติดต่อ: แฮกเกอร์ใช้แพลตฟอร์มโซเชียลมีเดียอย่าง LinkedIn และ Indeed เพื่อติดต่อเหยื่อ และอาจใช้อีเมลด้วย
– ตำแหน่งงานปลอม: ตำแหน่งงานที่เสนอมักจะเป็นตำแหน่งที่น่าสนใจและเกี่ยวข้องกับทักษะของเหยื่อ เพื่อเพิ่มความน่าเชื่อถือ
– GitHub Repository ปลอม: โค้ดที่ให้เหยื่อดาวน์โหลดมักจะอยู่ใน GitHub Repository ที่ดูเหมือนถูกต้อง แต่จริงๆ แล้วมีมัลแวร์ซ่อนอยู่
วิธีการโจมตี:
– Social Engineering: แฮกเกอร์จะปลอมตัวเป็นนายจ้างที่กำลังมองหานักพัฒนาซอฟต์แวร์ และติดต่อเหยื่อเพื่อเสนองาน
– ดาวน์โหลดโค้ดอันตราย: ในระหว่างการสัมภาษณ์ปลอม แฮกเกอร์จะขอให้เหยื่อดาวน์โหลดและรันโค้ดจาก GitHub ซึ่งดูเหมือนจะเป็นงานเขียนโค้ดทั่วไป แต่จริงๆ แล้วมีมัลแวร์ซ่อนอยู่
– Multi-stage Infection: เมื่อเหยื่อรันโค้ด มัลแวร์จะเริ่มทำงานเป็นขั้นตอน โดยดาวน์โหลดไฟล์เพิ่มเติมจากเซิร์ฟเวอร์ภายนอก ซึ่งไฟล์เหล่านี้มีสคริปต์ Python ที่ทำหน้าที่เป็น RAT (Remote Access Trojan)
– RAT (Remote Access Trojan): เมื่อ RAT ทำงานบนระบบของเหยื่อ แฮกเกอร์จะสามารถเข้าถึงเครื่องของเหยื่อจากระยะไกล ควบคุมเครื่อง รวบรวมข้อมูลสำคัญ และอาจดำเนินการโจมตีอื่น ๆ ต่อไป
ความสามารถของ RAT:
– การเชื่อมต่อแบบแฝง: RAT สามารถเชื่อมต่อกับเครื่องของเหยื่ออย่างต่อเนื่องโดยที่เหยื่อไม่รู้ตัว
– การเรียกใช้คำสั่ง: แฮกเกอร์สามารถสั่งให้ RAT รันคำสั่งต่าง ๆ บนเครื่องของเหยื่อ
– การขโมยข้อมูล: RAT สามารถค้นหาและขโมยไฟล์หรือข้อมูลสำคัญ รวมถึงข้อมูล FTP, ข้อมูลที่คัดลอกไว้ (Clipboard), และการกดแป้นพิมพ์ (Keystrokes)
คำแนะนำเพิ่มเติม:
– ระวังข้อเสนองานที่ดูดีเกินจริง: หากข้อเสนองานดูดีเกินจริง ให้ตรวจสอบข้อมูลของบริษัทและผู้สัมภาษณ์อย่างละเอียด
– อย่ารันโค้ดจากแหล่งที่ไม่น่าเชื่อถือ: อย่าดาวน์โหลดหรือรันโค้ดจากแหล่งที่คุณไม่รู้จักหรือไม่ไว้ใจ
– ใช้ Sandbox: หากจำเป็นต้องรันโค้ดที่ไม่น่าเชื่อถือ ให้รันในสภาพแวดล้อมแบบ Sandbox เพื่อจำกัดความเสียหายที่อาจเกิดขึ้น
– รายงานเหตุการณ์ที่น่าสงสัย: หากคุณสงสัยว่าตกเป็นเหยื่อของการโจมตี ให้รายงานเหตุการณ์ต่อหน่วยงานที่เกี่ยวข้องทันที
ผลกระทบ:
– ความเสียหายต่อบุคคล: เหยื่ออาจสูญเสียข้อมูลส่วนตัว ข้อมูลทางการเงิน หรือทรัพย์สินทางปัญญา
– ความเสียหายต่อองค์กร: หากเหยื่อทำงานในบริษัท องค์กรอาจได้รับความเสียหายจากการรั่วไหลของข้อมูลหรือการหยุดชะงักของระบบ