ทีมวิจัยและวิเคราะห์ระดับโลกของแคสเปอร์สกี้ (Kaspersky) หรือทีม GReAT ระบุว่ากลุ่มอาชญากรชื่อกระฉ่อน Lazarus หรือลาซารัส กำลังมีแคมเปญการโจมตีระลอกใหม่ที่เล็งเป้าโจมตีองค์กรธุรกิจทั่วโลกผ่านข้อมูล digital certificates
ซองซู ปาร์ค ผู้เชี่ยวชาญด้านความปลอดภัย ทีม GReAT ของแคสเปอร์สกี้ กล่าวในงาน Security Analyst Summit 2023 (SAS 2023) ว่านักวิจัยได้รายงานแคมเปญการโจมตีแบบ APT ที่มีความซับซ้อนสูงที่ใช้มัลแวร์ในการแพร่กระจายผ่านซอฟต์แวร์ลิขสิทธิ์ต่างๆ โดยพบว่ากลุ่ม Lazarus ยังคงเดินหน้าต่อเพื่อแสดงความสามารถของตนที่มาพร้อมกับเป้าหมายที่แน่วแน่
"อาชญากรกลุ่มนี้ลงมือปฏิบัติการระดับโลก มีเป้าหมายเป็นอุตสาหกรรมต่างๆ โดยใช้กลวิธีและเครื่องมือที่หลากหลาย ปัจจัยเหล่านี้จึงแสดงให้เห็นถึงภัยคุกคามทางไซเบอร์ที่ยังดำเนินต่อไป และมีวิวัฒนาการที่สูงกว่าเดิม ทำให้เราทุกคนต้องยกระดับความตื่นตัวและมีความพร้อมอยู่เสมอ"
ทีม GReAT ตรวจพบว่า มีการโจมตีทางไซเบอร์อย่างต่อเนื่องไปยังเป้าหมายที่ติดเชื้อผ่านซอฟต์แวร์ลิขสิทธิ์ ซึ่งออกแบบมาเพื่อเข้ารหัสการสื่อสารผ่านเว็บไซต์ โดยใช้ข้อมูลการรับรองแบบดิจิทัล (digital certificates) แม้ช่องโหว่จะถูกแจ้งไปยังผู้พัฒนาและมีแพตช์มาเพื่อแก้ไขช่องโหว่ดังกล่าวแล้วก็ตาม แต่องค์กรธุรกิจทั่วโลกยังเลือกใช้ซอฟต์แวร์เวอร์ชันที่มีข้อบกพร่องอยู่นั่นเอง จึงเป็นช่องโหว่ให้กลุ่ม Lazarus เข้าถึงได้
ทีม GReAT เชื่อว่ากลุ่มอาชญากรนี้มีชั้นเชิงที่มีความซับซ้อนสูง มีการใช้เทคนิคการหลบหลีกขั้นสูงหลายรูปแบบ และยังปล่อยมัลแวร์ “SIGNBT” เพื่อใช้ควบคุมระบบของเหยื่อ และกลุ่ม Lazarus ยังเลือกใช้เครื่องมือการโจมตี LPEClient ที่แพร่หลายด้วย โดยก่อนหน้านี้ มีการพุ่งเป้าไปยังภาคธุรกิจด้านยุทโธปกรณ์ทหาร วิศวกรรมนิวเคลียร์ และสกุลเงินคริปโตฯ
มัลแวร์ชนิดนี้จะทำหน้าที่เป็นจุดเริ่มต้นของการแพร่เชื้อ และมีบทบาทสำคัญในการรวบรวมข้อมูลของเหยื่อ จากนั้นจะปล่อยรหัสการโจมตีเข้าสู่ระบบ จากการเฝ้าสังเกตการณ์ของทีมวิจัยของแคสเปอร์สกี้พบว่าบทบาทของ LPEClient ในการโจมตีครั้งนี้กับครั้งที่ผ่านมานั้นมีความเกี่ยวข้องกับยุทธวิธีการโจมตีของกลุ่ม Lazarus และยังพบได้จากการโจมตีโปรแกรม 3CX ของซัปพลายเชนด้วย
จากการตรวจสอบเพิ่มเติมพบว่า มัลแวร์ของ Lazarus เริ่มทำการโจมตีเหยื่อลำดับต้นๆ ที่เป็นผู้ให้บริการซอฟต์แวร์ (software vendor) ไปก่อนหน้านี้แล้วหลายครั้ง โดยรูปแบบการโจมตีซ้ำไปซ้ำมาเช่นนี้บ่งชี้ความพยายาม และความมุ่งมั่นที่จะโจรกรรมซอร์สโค้ดที่มีความสำคัญ หรือทำการก่อกวนระบบอุตสาหกรรมซอฟต์แวร์ของซัปพลายเชน
ในอีกด้าน อาชญากรได้พยายามอย่างต่อเนื่องที่จะใช้ช่องโหว่ในซอฟต์แวร์ของบริษัท แล้วใช้เป็นฐานในการขยายการโจมตีออก โดยเล็งเป้าต่อไปที่บริษัทที่ยังใช้งานซอฟต์แวร์เวอร์ชันเก่าที่ยังไม่ได้อัปเดตแพตช์แก้ไขช่องโหว่ ทั้งนี้ โซลูชัน Kaspersky Endpoint Security สามารถตรวจจับภัยคุกคามเชิงรุกและสามารถป้องกันการโจมตีที่จะเกิดขึ้นได้
เบื้องต้น นักวิจัยของแคสเปอร์สกี้แนะนำมาตรการเพื่อหลีกเลี่ยงการตกเป็นเหยื่อการโจมตีแบบกำหนดเป้าหมายโดยผู้ก่อคุกคาม โดยให้อัปเดตระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์ป้องกันไวรัสเป็นประจำเพื่อแก้ไขช่องโหว่ โดยต้องระมัดระวังอีเมล ข้อความ หรือการโทร.เพื่อขอข้อมูลที่ละเอียดอ่อน ตรวจสอบตัวตนของผู้ส่ง ก่อนแชร์รายละเอียดส่วนบุคคลหรือคลิกลิงก์ที่น่าสงสัย รวมถึงให้ทีม SOC เข้าถึงข้อมูลภัยคุกคามเชิงลึกล่าสุด
