คลังเก็บป้ายกำกับ: NORTH_KOREA

US-CERT เตือนระวัง TYPEFRAME Malware จากเกาหลีเหนือ เน้นโจมตีระบบของ Microsoft เป็นหลัก

US-CERT ได้ออกมาเตือนถึงแคมเปญการโจมตีด้วย Trojan Malware ที่มีชื่อว่า TYPEFRAME จากเกาหลีเหนือ โดยตั้งชื่อแคมเปญครั้งนี้ว่า HIDDEN COBRA

 

Credit: ShutterStock.com

 

ในการแจ้งเตือนครั้งนี้ไม่ได้ระบุว่ามีระบบที่ตกเป็นเหยื่อของการโจมตีมากน้อยแค่ไหน โดยมีการวิเคราะห์ตัวอย่างของ Malware ด้วยกัน 11 รายการที่มีทั้งไฟล์ Windows Executable แบบ 32-bit และ 64-bit รวมถึงมีไฟล์ Microsoft Word ที่มี VBA Macro อยู่ภายใน ซึ่งสามารถทำการโหลดและติดตั้ง Malware, Proxy และ Remote Access Trojan (RAT) พร้อมทั้งเชื่อมต่อไปยัง Command and Control (C2) Server เพื่อรับคำสั่งต่างๆ เพิ่มเติม รวมถึงยังมีการเปลี่ยนแปลงการตั้งค่าระบบ Firewall เพื่อเปิดรับการเชื่อมต่อขาเข้ามาอีกด้วย

Malware เหล่านี้ถูกสร้างขึ้นมาใช้โจมตีตั้งแต่ปี 2015 – 2017 โดย IP Address ของ C2 Server ที่ใช้นั้นได้แก่ 111.207.78.204, 181.119.19.56, 184.107.209.2, 59.90.93.97, 80.91.118.45, 81.0.213.173 และ 98.101.211.162 ซึ่งเป็น Server ที่กระจายอยู่ในหลากหลายประเทศทั่วโลก

สำหรับ Advisory ฉบับเต็มที่ระบุถึงพฤติกรรมการโจมตีและวิธีการรับมือฉบับเต็ม สามารถอ่านได้ที่ https://www.us-cert.gov/ncas/analysis-reports/AR18-165A ครับ

 

ที่มา: https://www.theregister.co.uk/2018/06/18/us_cert_warns_of_more_north_korean_malware/

from:https://www.techtalkthai.com/us-cert-warns-about-typeframe-malware-from-north-korea/

Advertisements

นักวิจัยพบ SiliVaccine แอนตี้ไวรัสของเกาหลีเหนือ มีโค้ดเอ็นจินของ Trend Micro

Martyn Williams นักข่าวอิสระที่ให้ความสนใจเรื่องเทคโนโลยีของเกาหลีเหนือ ได้รับอีเมลปริศนาเมื่อปี 2014 จากคนที่ชื่อว่า Kang Yong Hak ซึ่งคาดว่าน่าจะเป็นวิศวกรคอมพิวเตอร์ของญี่ปุ่น (แต่ชื่อเกาหลี?) ภายในอีเมลเป็นลิงก์ Dropbox ที่มีไฟล์ของซอฟต์แวร์แอนตี้ไวรัสที่ชื่อว่า SiliVaccine ของเกาหลีเหนือ

ทาง Research Checkpoint ที่(น่าจะเพิ่ง)ได้รับซอฟต์แวร์ของ SiliVaccine มาระบุว่า พบโค้ดในเอ็นจินของ SiliVaccine ส่วนหนึ่งตรงกับโค้ดของเอ็นจินของ Trend Micro ซึ่งโค้ดที่เหมือนกันนี้ถูกซ่อนเอาไว้อย่างดีใน SiliVaccine

ไม่เพียงเท่านั้น Research Checkpoint ยังค้นพบด้วยว่า SiliVaccine ถูกออกแบบมาให้มองข้าซิกเนเจอร์ของไวรัส/มัลแวร์เฉพาะหนึ่งซิกเนเจอร์ ที่ตามปกติแล้วจะถูกบล็อคโดยแอนตีไวรัสตัวอื่นๆ รวมถึง Trend Micro ด้วย ซึ่งถึงแม้จะยังไม่รู้ว่าเป็นซิกเนเจอร์ของอะไร แต่ก็พอสรุปได้ว่าทางเกาหลีเหนืออาจใช้ประโยชน์จากมัลแวร์/ไวรัสตัวนี้

No Description

ส่วนความเชื่องโยงระหว่าง SiliVaccine กับทางญี่ปุ่นที่เป็นประเทศแม่ของ Trend Micro ซึ่งไม่มีความสัมพันธ์ทางการทูตกันนั้น Research Checkpoint พบแต่เพียงว่า STS Tech-Service ที่เป็นหนึ่งในบริษัทที่พัฒนา SiliVaccine ของเกาหลีเหนือเคยทำงานกับบริษัท Silver Star และ Magnolia ของญี่ปุ่นเท่านั้น

ที่มา – Research Checkpoint

from:https://www.blognone.com/node/101994

ภูเขาสถานที่ทดสอบนิวเคลียร์ของเกาหลีเหนือถล่ม ด้านจีนหวั่นสารกัมมันตรังสีรั่วไหล

เกิดเหตุการณ์ภูเขาในสถานที่ทดสอบอาวุธนิวเคลียร์ของเกาหลีเหนือถล่ม ซึ่งคาดว่านี่คือสาเหตุแท้จริงที่ทำให้ Kim Jong-un ออกมาประกาศหยุดการทดสอบนิวเคลียร์เมื่อวันศุกร์ที่ผ่านมา ด้านประเทศเพื่อนบ้านต่างตื่นตัวจับตาดูสถานการณ์หวั่นเกิดการรั่วไหลของสารกัมมันตรังสี

Wen Lianxing หัวหน้าทีมวิจัยด้านภูมิศาสตร์ของ University of Science and Technology of China พบว่าการถล่มของภูเขาเกิดขึ้นหลังจากการทดสอบหัวรบนิวเคลียร์ในอุโมงค์ลึก 700 เมตร ใต้ยอดเขา Mantap ในเขต Punggye-ri ซึ่งอยู่ในพื้นที่ทางตะวันออกเฉียงเหนือของเกาหลีเหนือ ห่างจากชายแดนประเทศจีนราว 100 กิโลเมตร

No Description

การทดสอบอาวุธนิวเคลียร์ 5 ครั้งหลังสุดมีขึ้น ณ เขตทดสอบอุโมงค์ใต้ภูเขา Mantap นี้ โดยการทดสอบ 4 ครั้งแรกก่อนปี 2017 นั้นไม่สร้างความเสียหายให้ปรากฏขึ้นที่พื้นผิวด้านนอกของภูเขา แต่การทดสอบครั้งที่ 5 เมื่อเดือนกันยายน 2017 แรงระเบิด 100 กิโลตัน ส่งผลให้หินรอบอุโมงค์หายวับกลายเป็นไอไปด้วยความร้อนจากการระเบิด ก่อให้เกิดโพรงกว้างขนาดเส้นผ่านศูนย์กลาง 200 เมตร และด้วยแรงสั่นสะเทือนที่ตามมา ทำให้เนื้อหินของภูเขาด้านบนแตกถล่มลงสู่โพรงว่างดังกล่าว จนสังเกตได้จากภาพถ่ายดาวเทียม

No Description

แรงสั่นสะเทือนจากการทดสอบหัวรบนิวเคลียร์ที่ทำให้ภูเขา Mantap ถล่มกลายเป็นเศษหินนี้ สร้างความวิตกให้กับทีมวิจัยว่าอาจมีการรั่วไหลของสารกัมมันตรังสีได้

ที่มา – SCMP

Topics: 

from:https://www.blognone.com/node/101801

เกาหลีใต้พบการขโมยเงินคริปโตจากเกาหลีเหนือ มูลค่านับพันล้านวอน

เจ้าหน้าที่ของทางการเกาหลีใต้รายงานว่าได้พบการขโมยเงินคริปโตจากทางเกาหลีเหนือในปีที่แล้ว โดยมีมูลค่านับพันล้านวอน (ประมาณ 9.4 แสนล้านดอลลาร์) และตอนนี้ทางเกาหลีเหนือก็คงพยายามแฮกเข้าไปยังผู้ให้บริการแลกเปลี่ยนเงินคริปโตอยู่

Kim Byung-kee สมาชิกของกรรมการข่าวกรองเกาหลีใต้รายงานว่า ทางหน่วยงานได้พบว่า เกาหลีเหนือได้ส่งอีเมลที่สามารถแฮกเข้าไปยังผู้ให้บริการแลกเปลี่ยนสกุลเงิน และเก็บข้อมูลส่วนตัวของผู้ใช้รวมถึงสกุลเงินคริปโต โดยมูลค่าความเสียหายของการขโมยเงินอยู่ที่ประมาณพันล้านวอน

นอกจากนี้ หน่วยข่าวกรองของเกาหลีใต้คาดการณ์ว่าตอนนี้เกาหลีเหนือน่าจะกำลังพยายามแฮกผู้ให้บริการแลกเปลี่ยนสกุลเงินในเกาหลีใต้ต่อไป เพื่อทำการขโมยสกุลเงินคริปโตเพิ่มเติม ซึ่งได้พยายามอย่างดีที่สุดในการป้องกันการแฮกแล้ว แต่ Kim ยังไม่ได้ให้รายละเอียดว่ามีผู้ให้บริการแลกเปลี่ยนเงินรายใดในเกาหลีใต้ที่ถูกแฮกบ้าง

ที่มา – Reuters

No Description

from:https://www.blognone.com/node/99622

เตือนการโจมตีแบบ Zero-day บน Adobe Flash จากแฮ็กเกอร์เกาหลีเหนือ

South Korean Computer Emergency Response Team หรือ KR-CERT ออกมาแจ้งเตือนถึงช่องโหว่ Zero-day บน Adobe Flash เวอร์ชันล่าสุดที่กำลังเกิดขึ้นอยู่ในขณะนี้ ซึ่งช่วยให้สามารถโจมตีระบบคอมพิวเตอร์ได้จากระยะไกลได้ จากการตรวจสอบพบว่าถูกพัฒนาโดยแฮ็กเกอร์ชาวเกาหลีเหนือ

Credit: Adobe

KR-CERT ระบุใน Security Alert ว่า การโจมตีแบบ Zero-day ดังกล่าวส่งผลกระทบบน Flash Player เวอร์ชัน 28.0.0.137 ซึ่งเป็นเวอร์ชันล่าสุด รวมไปถึงเวอร์ชันก่อนหน้านี้ โดยแฮ็กเกอร์จะพยายามหลอกล่อให้เหยื่อเปิดไฟล์ Microsoft Office, เว็บเพจ, อีเมลสแปม และอื่นๆ ที่มีไฟล์ Flash ประกอบอยู่เพื่อแพร่กระจายมัลแวร์ไปสู่คอมพิวเตอร์ คาดว่ามัลแวร์ดังกล่าวน่าจะเป็นไฟล์ Flash SWF ซึ่งถูกฝังอยู่ในไฟล์เอกสาร MS Word

Simon Choi นักวิจัยด้านความมั่นคงปลอดภัยจาก Hauri Inc บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยของเกาหลรีระบุว่าการโจมตี Zero-day นี้ถูกพัฒนาขึ้นโดยแฮ็กเกอร์ชาวเกาหลีเหนือ และถูกใช้โจมตีตั้งแต่ช่วงกลางเดือนพฤศจิกายน 2017 ที่ผ่านมา โดยพุ่งเป้าที่หน่วยงานในประเทศเกาหลีใต้ที่ทำการวิจัยเกี่ยวกับประเทศเกาหลีเหนือ

ช่องโหว่แบบ Zero-day นี้มีรหัส CVE-2017-4878 ซึ่งทาง Adobe ได้รับรายงานเกี่ยวกับการโจมตีดังกล่าวแล้ว โดยวางแผนที่จะออกแพตช์สำหรับอุดช่องโหว่ในวันที่ 5 กุมภาพันธ์ที่จะถึงนี้ ระหว่างนี้ KR-CERT แนะนำให้ผู้ใช้ยกเลิกการใช้งานหรือถอนการติดตั้ง Adobe Flash Player ออกจากเครื่องก่อนชั่วคราว จนกว่าจะได้รับการอัปเดตแพตช์

ที่มา: https://www.bleepingcomputer.com/news/security/new-adobe-flash-zero-day-spotted-in-the-wild/

from:https://www.techtalkthai.com/adobe-flash-zero-day-spotted-in-a-wild/

ที่ปรึกษาของทำเนียบขาวเผย เกาหลีเหนืออยู่เบื้องหลังมัลแวร์ WannaCrypt

Thomas P. Bossert เจ้าหน้าที่อาวุโสของทำเนียบขาว ตำแหน่งที่ปรึกษาความมั่นคงมาตุภุมิ (Homeland Security Advisor) กล่าวในบทความที่เขียนให้ The Wall Street Journal ว่าเกาหลีเหนืออยู่เบื้องหลังการแพร่ระบาดของมัลแวร์เรียกค่าไถ่ WannaCrypt โดยตรง (บทความต้นฉบับของ Bossert ใช้คำว่า “directly responsible”)

Bossert กล่าวว่าสิ่งที่เขากล่าวนั้นอยู่บนพื้นของหลักฐาน (“based on evidence” — ถึงกระนั้นไม่มีการนำหลักฐานมาแสดง) และทำเนียบขาวจะออกแถลงการณ์อย่างเป็นทางการในวันอังคาร (ตามเวลาสหรัฐอเมริกา)

มัลแวร์เรียกค่าไถ่ WannaCrypt แพร่ระบาดในช่วงเดือนพฤษภาคม ผ่านช่องโหว่ SMBv1 ที่หลุดมาจากเครื่องมือแฮค EthernalBlue ของ NSA นับเป็นมัลแวร์เรียกค่าไถ่ที่สร้างความเสียหายมากที่สุดตัวหนึ่ง

ที่มา: Vice

from:https://www.blognone.com/node/98518

แฮกเกอร์เกาหลีเหนือมุ่งเป้าปล้นเงินดิจิตอล ปลอมเป็นสาวสวยมาคุยเป็นเพื่อนหลายเดือนเพื่อแพร่มัลแวร์

เงินดิจิตอลมีมูลค่าสูงขึ้นเรื่อยๆ ทำให้จุดรับแลกเงินที่มักมีเงินอยุ่จำนวนมากกลายเป็นเป้าหมายของอาชญากร ตอนนี้ก็มีรายงานออกมาว่าแฮกเกอร์จากเกาหลีเหนือเริ่มมุ่งเป้าไปที่จุดรับแลกเงินเหล่านี้ โดยทำทุกทางเพื่อให้เข้าถึงข้อมูลภายในบริษัทได้ ตั้งแต่การปลอมตัวเป็นสาวสวยมาเป็นเพื่อนไปเฟซบุ๊ก ไปจนถึงการส่งอีเมลทำทีเป็นสมัครงาน

รายงานนี้ AFP อ้างถึงรายงานข่าวในเกาหลีใต้ที่อ้างแหล่งข่าวในหน่วยข่าวกรองอีกทีหนึ่ง

กระบวนการเข้าถึงบุคคลในองค์กรเหล่านี้มีเป้าหมายปลายทางเพื่อปล่อยมัลแวร์ให้คนในองค์กรเหล่านี้เพื่อขโมยข้อมูลในเครื่อง

Moon Jong-Hyun จาก EST Security ระบุว่าแฮกเกอร์เหล่านี้มุ่งเป้าทั้งหน่วยงานรัฐบาลและทหาร โดยเพิ่มเพื่อนไปยังเป้าหมายและรอโอกาสนานหลายเดือน

ตลาดแลกเงินดิจิตอล Youbit ที่เพิ่งประกาศปิดตัวก็เคยระบุว่าเหตุการณ์แฮกครั้งแรกเมื่อเดือนเมษายนที่ผ่านมาเป็นฝึมือของแฮกเกอร์เกาหลีเหนือ อย่างไรก็ดีไม่มีการอ้างว่าการแฮกครั้งล่าสุดเป็นฝีมือของใคร

แรงจูงใจให้เกาหลีเหนือต้องการเงินดิจิตอลเหล่านี้อาจมองได้ว่าสมเหตุสมผล เพราะสามารถหลบเลี่ยงกระบวนการคว่ำบาตรจากนานาชาติได้โดยง่าย

ที่มา – Channel News Asia, Korea Herald

from:https://www.blognone.com/node/98545