คลังเก็บป้ายกำกับ: NORTH_KOREA

เกาหลีใต้พบการขโมยเงินคริปโตจากเกาหลีเหนือ มูลค่านับพันล้านวอน

เจ้าหน้าที่ของทางการเกาหลีใต้รายงานว่าได้พบการขโมยเงินคริปโตจากทางเกาหลีเหนือในปีที่แล้ว โดยมีมูลค่านับพันล้านวอน (ประมาณ 9.4 แสนล้านดอลลาร์) และตอนนี้ทางเกาหลีเหนือก็คงพยายามแฮกเข้าไปยังผู้ให้บริการแลกเปลี่ยนเงินคริปโตอยู่

Kim Byung-kee สมาชิกของกรรมการข่าวกรองเกาหลีใต้รายงานว่า ทางหน่วยงานได้พบว่า เกาหลีเหนือได้ส่งอีเมลที่สามารถแฮกเข้าไปยังผู้ให้บริการแลกเปลี่ยนสกุลเงิน และเก็บข้อมูลส่วนตัวของผู้ใช้รวมถึงสกุลเงินคริปโต โดยมูลค่าความเสียหายของการขโมยเงินอยู่ที่ประมาณพันล้านวอน

นอกจากนี้ หน่วยข่าวกรองของเกาหลีใต้คาดการณ์ว่าตอนนี้เกาหลีเหนือน่าจะกำลังพยายามแฮกผู้ให้บริการแลกเปลี่ยนสกุลเงินในเกาหลีใต้ต่อไป เพื่อทำการขโมยสกุลเงินคริปโตเพิ่มเติม ซึ่งได้พยายามอย่างดีที่สุดในการป้องกันการแฮกแล้ว แต่ Kim ยังไม่ได้ให้รายละเอียดว่ามีผู้ให้บริการแลกเปลี่ยนเงินรายใดในเกาหลีใต้ที่ถูกแฮกบ้าง

ที่มา – Reuters

No Description

from:https://www.blognone.com/node/99622

Advertisements

เตือนการโจมตีแบบ Zero-day บน Adobe Flash จากแฮ็กเกอร์เกาหลีเหนือ

South Korean Computer Emergency Response Team หรือ KR-CERT ออกมาแจ้งเตือนถึงช่องโหว่ Zero-day บน Adobe Flash เวอร์ชันล่าสุดที่กำลังเกิดขึ้นอยู่ในขณะนี้ ซึ่งช่วยให้สามารถโจมตีระบบคอมพิวเตอร์ได้จากระยะไกลได้ จากการตรวจสอบพบว่าถูกพัฒนาโดยแฮ็กเกอร์ชาวเกาหลีเหนือ

Credit: Adobe

KR-CERT ระบุใน Security Alert ว่า การโจมตีแบบ Zero-day ดังกล่าวส่งผลกระทบบน Flash Player เวอร์ชัน 28.0.0.137 ซึ่งเป็นเวอร์ชันล่าสุด รวมไปถึงเวอร์ชันก่อนหน้านี้ โดยแฮ็กเกอร์จะพยายามหลอกล่อให้เหยื่อเปิดไฟล์ Microsoft Office, เว็บเพจ, อีเมลสแปม และอื่นๆ ที่มีไฟล์ Flash ประกอบอยู่เพื่อแพร่กระจายมัลแวร์ไปสู่คอมพิวเตอร์ คาดว่ามัลแวร์ดังกล่าวน่าจะเป็นไฟล์ Flash SWF ซึ่งถูกฝังอยู่ในไฟล์เอกสาร MS Word

Simon Choi นักวิจัยด้านความมั่นคงปลอดภัยจาก Hauri Inc บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยของเกาหลรีระบุว่าการโจมตี Zero-day นี้ถูกพัฒนาขึ้นโดยแฮ็กเกอร์ชาวเกาหลีเหนือ และถูกใช้โจมตีตั้งแต่ช่วงกลางเดือนพฤศจิกายน 2017 ที่ผ่านมา โดยพุ่งเป้าที่หน่วยงานในประเทศเกาหลีใต้ที่ทำการวิจัยเกี่ยวกับประเทศเกาหลีเหนือ

ช่องโหว่แบบ Zero-day นี้มีรหัส CVE-2017-4878 ซึ่งทาง Adobe ได้รับรายงานเกี่ยวกับการโจมตีดังกล่าวแล้ว โดยวางแผนที่จะออกแพตช์สำหรับอุดช่องโหว่ในวันที่ 5 กุมภาพันธ์ที่จะถึงนี้ ระหว่างนี้ KR-CERT แนะนำให้ผู้ใช้ยกเลิกการใช้งานหรือถอนการติดตั้ง Adobe Flash Player ออกจากเครื่องก่อนชั่วคราว จนกว่าจะได้รับการอัปเดตแพตช์

ที่มา: https://www.bleepingcomputer.com/news/security/new-adobe-flash-zero-day-spotted-in-the-wild/

from:https://www.techtalkthai.com/adobe-flash-zero-day-spotted-in-a-wild/

ที่ปรึกษาของทำเนียบขาวเผย เกาหลีเหนืออยู่เบื้องหลังมัลแวร์ WannaCrypt

Thomas P. Bossert เจ้าหน้าที่อาวุโสของทำเนียบขาว ตำแหน่งที่ปรึกษาความมั่นคงมาตุภุมิ (Homeland Security Advisor) กล่าวในบทความที่เขียนให้ The Wall Street Journal ว่าเกาหลีเหนืออยู่เบื้องหลังการแพร่ระบาดของมัลแวร์เรียกค่าไถ่ WannaCrypt โดยตรง (บทความต้นฉบับของ Bossert ใช้คำว่า “directly responsible”)

Bossert กล่าวว่าสิ่งที่เขากล่าวนั้นอยู่บนพื้นของหลักฐาน (“based on evidence” — ถึงกระนั้นไม่มีการนำหลักฐานมาแสดง) และทำเนียบขาวจะออกแถลงการณ์อย่างเป็นทางการในวันอังคาร (ตามเวลาสหรัฐอเมริกา)

มัลแวร์เรียกค่าไถ่ WannaCrypt แพร่ระบาดในช่วงเดือนพฤษภาคม ผ่านช่องโหว่ SMBv1 ที่หลุดมาจากเครื่องมือแฮค EthernalBlue ของ NSA นับเป็นมัลแวร์เรียกค่าไถ่ที่สร้างความเสียหายมากที่สุดตัวหนึ่ง

ที่มา: Vice

from:https://www.blognone.com/node/98518

แฮกเกอร์เกาหลีเหนือมุ่งเป้าปล้นเงินดิจิตอล ปลอมเป็นสาวสวยมาคุยเป็นเพื่อนหลายเดือนเพื่อแพร่มัลแวร์

เงินดิจิตอลมีมูลค่าสูงขึ้นเรื่อยๆ ทำให้จุดรับแลกเงินที่มักมีเงินอยุ่จำนวนมากกลายเป็นเป้าหมายของอาชญากร ตอนนี้ก็มีรายงานออกมาว่าแฮกเกอร์จากเกาหลีเหนือเริ่มมุ่งเป้าไปที่จุดรับแลกเงินเหล่านี้ โดยทำทุกทางเพื่อให้เข้าถึงข้อมูลภายในบริษัทได้ ตั้งแต่การปลอมตัวเป็นสาวสวยมาเป็นเพื่อนไปเฟซบุ๊ก ไปจนถึงการส่งอีเมลทำทีเป็นสมัครงาน

รายงานนี้ AFP อ้างถึงรายงานข่าวในเกาหลีใต้ที่อ้างแหล่งข่าวในหน่วยข่าวกรองอีกทีหนึ่ง

กระบวนการเข้าถึงบุคคลในองค์กรเหล่านี้มีเป้าหมายปลายทางเพื่อปล่อยมัลแวร์ให้คนในองค์กรเหล่านี้เพื่อขโมยข้อมูลในเครื่อง

Moon Jong-Hyun จาก EST Security ระบุว่าแฮกเกอร์เหล่านี้มุ่งเป้าทั้งหน่วยงานรัฐบาลและทหาร โดยเพิ่มเพื่อนไปยังเป้าหมายและรอโอกาสนานหลายเดือน

ตลาดแลกเงินดิจิตอล Youbit ที่เพิ่งประกาศปิดตัวก็เคยระบุว่าเหตุการณ์แฮกครั้งแรกเมื่อเดือนเมษายนที่ผ่านมาเป็นฝึมือของแฮกเกอร์เกาหลีเหนือ อย่างไรก็ดีไม่มีการอ้างว่าการแฮกครั้งล่าสุดเป็นฝีมือของใคร

แรงจูงใจให้เกาหลีเหนือต้องการเงินดิจิตอลเหล่านี้อาจมองได้ว่าสมเหตุสมผล เพราะสามารถหลบเลี่ยงกระบวนการคว่ำบาตรจากนานาชาติได้โดยง่าย

ที่มา – Channel News Asia, Korea Herald

from:https://www.blognone.com/node/98545

เกาหลีเหนือ Kick-Off บริการความบันเทิงผ่าน Application รับการเติบโต Smart Device ในประเทศ

หลังการใช้งาน Smartphone และ Tablet ในเกาหลีเหนือเพิ่มขึ้นอย่างรวดเร็ว ในที่สุดท่านผู้นำของเกาหลีเหนือก็อนุญาตให้สร้าง Application ที่รวมความบันเทิงรูปแบบต่างๆ เอาไว้ อธิบายง่ายๆ ก็เหมือน Netflix ขนาดย่อม

ภาพจาก Flickr ของ Mark Fahey

น่าดีใจ แต่ก็ยังรู้สึกหดหู่ไปพร้อมๆ กัน

ปฏิเสธไม่ได้ว่า Smart Device ต่างๆ โดยเฉพาะ Smartphone และ Tablet ต่างได้รับความนิยมไปทั่วโลก และแม้แต่ประเทศปิดอย่างเกาหลีเหนือ ตัวกระแสนี้ก็แพร่เข้าไปเช่นเดียวกัน ทำให้ประชากรในประเทศเริ่มมี Smartphone และ Tablet ติดตัวมากขึ้นเรื่อยๆ

และเมื่อมีมากขึ้น ทางการของเกาหลีเหนือก็ไม่นิ่งนอนใจที่จะปล่อยให้ประชาชนใช้งาน Smart Device แค่ถ่ายรูป หรือโทรออก-รับสาย ด้วยการเปิดตัว My Companion 4.0 หรือแอปพลิเคชั่นที่รวมบริการอ่าน Ebook, รับชมภาพยนตร์, เล่นเกม และร้องเพลงคาราโอเกะได้ รวมถึงยังเตรียมเปิดระบบซื้อเนื้อหาที่ต้องการอีกด้วย

แต่ถึงจะมีข่าวดีเรื่องบริการใหม่ ผู้ใช้ Smart Device ในเกาหลีเหนือก็ไม่ได้มีความสุขมากนัก เพราะการเข้าถึงอินเทอร์เน็ตนั้นแทบจะทำไม่ได้ และถึงทำได้ก็เข้าแค่เว็บไซต์ที่ทางการกำหนดไว้เท่านั้น และหากถูกจับได้ว่ามีการลักลอบเข้าถึงเว็บไซต์อื่นๆ ก็มีโทษร้ายแรงสูงสุดคือประหารชีวิตเลยทีเดียว

นอกจากนี้ทางการเกาหลีเหนือยังมีระบบตรวจสอบการใช้งาน Smart Device ของประชากรอยู่ตลอดเวลา เพราะ Smartphone และ Tablet ที่ใช้ต้องเป็นของที่ทางการจัดหามาให้เท่านั้น แต่ปัจจุบันประชากรที่นั่นก็มีการลักลอบนำอุปกรณ์จากจีน และเกาหลีใต้เข้ามาบ้าง เพื่อปลดปล่อยการเสพข้อมูลข่าวสารของตัวเอง

อ้างอิง // Business Insider

ติดตามข่าวสารจาก Brand Inside ได้จาก Facebook ของเรา

from:https://brandinside.asia/like-netflix-in-north-korea/

สหรัฐฯ ออกโรงแฉขบวนการแฮ็กระดับชาติ มีเกาหลีเหนืออยู่เบื้องหลัง

ทาง FBI และกระทรวงความปลอดภัยมาตุภูมิสหรัฐฯ ได้ประกาศว่า แฮ็กเกอร์สัญชาติเกาหลีเหนือได้ใช้มัลแวร์ที่รู้จักกันในชื่อ “FALLCHILL” เพื่อเข้าถึงระบบคอมพิวเตอร์และเครือข่ายต่างๆ ในประเทศ โดยครั้งนี้ สหรัฐฯ ได้เปิดเผยรายการที่อยู่ไอพีที่ FBI เชื่อว่ามีส่วนเกี่ยวข้อง เพื่อให้องค์กรต่างๆ นำไปใช้ในการป้องกันการโจมตี

ก่อนหน้านี้เมื่อเดือนมิถุนายนที่ผ่านมานั้น ทั้ง FBI และ DHS เคยออกมาแจ้งเตือนการโจมตีทางไซเบอร์ที่มีรัฐบาลเกาหลีเหนืออยู่เบื้องหลัง ซึ่งคาดว่าเริ่มโจมตีมาตั้งแต่ปี 2552 โดยพุ่งเป้าไปที่สื่อต่างๆ, หน่วยงานด้านอวกาศ, และสถาบันการเงิน รวมไปถึงโครงสร้างพื้นฐานที่สำคัญ ทั้งในสหรัฐฯ เอง และประเทศอื่นทั่วโลก

มัลแวร์ FALLCHILL นี้ เปิดให้แฮ็กเกอร์มองเห็นภาพความสำเร็จของการแพร่ระบาดไปยังระบบต่างๆ บนแผนที่โลก ซึ่งกระจายตัวเองผ่านไฟล์ที่ถูกส่งต่ออีกทีจากมัลแวร์ตัวอื่นของเกาหลีเหนือเอง หรือเกิดจากผู้ใช้ดาวน์โหลดโดยไม่รู้ตัวจากเว็บไซต์ที่โดนแฮ็กเกอร์เข้าควบคุม

การแจ้งเตือนครั้งใหม่นี้เกิดขึ้นหลังจากช่วงที่มีความตึงเครียดทางการเมืองเพิ่มขึ้นระหว่างรัฐบาลกรุงวอชิงตันกับเปียงยางจากกรณีการทดสอบขีปนาวุธ ซึ่งสหรัฐฯ กล่าวหามาโดยตลอดว่าเกาหลีเหนือพยายามใช้การโจมตีทางไซเบอร์เป็นส่วนหนึ่งในการบรรลุเป้าหมายทางทหารและยุทธศาสตร์มาโดยตลอด ขณะที่ทางเกาหลีเหนือเองก็ออกมาปฏิเสธปัดความรับผิดชอบมาโดยตลอดเช่นกัน

ที่มา : https://www.reuters.com/article/us-usa-cyber-northkorea/u-s-government-shares-technical-details-on-north-korean-hacking-campaign-idUSKBN1DE2V4

from:https://www.enterpriseitpro.net/fbi-usa-north-korea/

US-CERT เผยแพร่ข้อมูลมัลแวร์เกาหลีเหนือ พร้อมรายการไอพีที่ใช้ควบคุมนับพันรายการทั่วโลก ไทยมี 6 ไอพี

US-CERT ร่วมกับ Department of Homeland Security (DHS) และ FBI ออกประกาศแจ้งเตือนถึงมัลแวร์ Volgmer และ FALLCHILL ที่มีความเกี่ยวข้องกับเกาหลีเหนือ

FALLCHILL เป็นมัลแวร์แบบ RAT (Remote Access Trojan) ที่เปิดทางให้แฮกเกอร์เข้าควบคุมเครื่องได้เต็มรูปแบบ เมื่อเครื่องของเหยื่อถูกติดตั้ง FALLCHILL แล้วจะเก็บข้อมูลทั่วไปของเครื่องกลับไปยังเซิร์ฟเวอร์ควบคุม และรอรับคำสั่งรันโปรแกรมใดๆ บนเครื่อง พร้อมกับความสามารถถอนตัวเองออกจากเครื่องของเหยื่อพร้อมลบร่องลอยออกไปได้

ทาง US-CERT เปิดเผยรายชื่อไอพีที่ใช้ควบคุม FALLCHILL พร้อมกับเผยแพร่ค่า MD5 ของไฟล์ในมัลแวร์สองไฟล์คือ 1216da2b3d6e64075e8434be1058de06
และ e48fe20eb1f5a5887f2ac631fed9ed63 ที่เป็นส่วนหนึ่งของมัลแวร์

Volgmer เป็นมัลแวร์เปิดช่องทางลับให้กับแฮกเกอร์ที่มีการใช้งานมาตั้งแต่ปี 2013 สามารถอัพโหลดดาวน์โหลดไฟล์, รันโปรแกรมตามสั่ง, บางเวอร์ชั่นทำงานเป็น botnet ได้ด้วย รัฐบาลสหรัฐฯ เปิดเผยรายการไอพีของเครื่องที่ติด Volgmer พบทั้งหมด 140 ไอพี คิดเป็น 4.6% ของทั้งหมด ในจำนวนนี้มี 6 ไอพีเป็นเซิร์ฟเวอร์ควบคุม C2 ได้แก่ 110.77.137.38, 118.175.22.10, 125.25.206.15, 203.147.10.65, 58.82.155.98, และ 61.91.47.142

ค่า MD5 ของไฟล์ที่เกี่ยวข้องกับ Volgmer ที่เปิดเผยมาได้แก่ 2D2B88AE9F7E5B49B728AD7A1D220E84, 9A5FA5C5F3915B2297A1C379BE9979F0, BA8C717088A00999F08984408D0C5288, 1B8AD5872662A03F4EC08F6750C89ABC, E034BA76BEB43B04D2CA6785AA76F007, EB9DB98914207815D763E2E5CFBE96B9, 143cb4f16dcfc16a02812718acd32c8f, 1ecd83ee7e4cfc8fed7ceb998e75b996, 35f9cfe5110471a82e330d904c97466a, 5dd1ccc8fb2a5615bf5656721339efed, 81180bf9c7b282c6b8411f8f315bc422, e3d03829cbec1a8cca56c6ae730ba9a8

ในประกาศฉบับเต็มยังมีตัวอย่างกฎสำหรับไฟร์วอล์เพื่อตรวจจับข้อมูลที่มัลแวร์พยายามเชื่อมต่อกลับเซิร์ฟเวอร์ควบคุมอีกด้วย

ที่มา – DHS

No Description

from:https://www.blognone.com/node/97322