ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม ภัยคุกคามขั้นสูงที่คงอยู่ (APT) JINX-0164 ผู้คุกคาม

JINX-0164 ผู้คุกคาม

โดย Mezo ใน ภัยคุกคามขั้นสูงที่คงอยู่ (APT), มัลแวร์, มัลแวร์บนมือถือ
แปลเป็น:

กลุ่มแฮกเกอร์ที่ไม่เคยมีการบันทึกมาก่อน ซึ่งระบุชื่อว่า JINX-0164 ได้วางแผนและดำเนินการโจมตีทางไซเบอร์อย่างเจาะจงเป้าหมายไปยังองค์กรที่เกี่ยวข้องกับสกุลเงินดิจิทัล โดยใช้กลวิธีทางสังคมเพื่อชักชวนให้เข้าร่วมกลุ่ม และมัลแวร์ macOS ที่สร้างขึ้นเองเพื่อขโมยสินทรัพย์ดิจิทัล กลุ่มนี้เริ่มปฏิบัติการมาอย่างน้อยตั้งแต่กลางปี 2025 โดยมีแรงจูงใจทางการเงิน และมุ่งเป้าไปที่นักพัฒนาซอฟต์แวร์เป็นหลัก และในเหตุการณ์ที่ได้รับการยืนยันอย่างน้อยหนึ่งครั้ง ได้ทำการโจมตีห่วงโซ่อุปทานซอฟต์แวร์สำเร็จ

แคมเปญนี้แสดงให้เห็นถึงการผสมผสานขั้นสูงของกลยุทธ์การสรรหาบุคลากรที่หลอกลวง การติดตั้งมัลแวร์ และการแทรกซึมลึกเข้าไปในสภาพแวดล้อม CI/CD โดยการเจาะระบบเวิร์กสเตชันของพนักงาน ผู้โจมตีสามารถเคลื่อนย้ายไปยังโครงสร้างพื้นฐานการพัฒนาและระบบการแจกจ่ายโค้ดได้สำเร็จ ซึ่งเป็นการเพิ่มขอบเขตและผลกระทบของการบุกรุกอย่างมาก

การหลอกลวงในการรับสมัครงานกลายเป็นจุดเริ่มต้น

มัลแวร์ JINX-0164 อาศัยการสร้างตัวตนปลอมบน LinkedIn เพื่อติดต่อกับนักพัฒนาและพนักงานเป้าหมายที่ทำงานในองค์กรที่เกี่ยวข้องกับสกุลเงินดิจิทัล เหยื่อจะถูกเชิญให้เข้าร่วมการประชุมเสมือนจริงที่จัดขึ้นบนโดเมนปลอมซึ่งแอบอ้างเป็นแพลตฟอร์มการประชุมทางไกลที่ถูกต้องตามกฎหมาย

ในระหว่างขั้นตอนการตั้งค่าการประชุมปลอม ผู้ที่ตกเป็นเป้าหมายจะได้รับคำสั่งให้ดาวน์โหลดสิ่งที่ดูเหมือนจะเป็นโปรแกรมสำหรับการประชุมหรือโปรแกรมแก้ไขปัญหาทางเทคนิค แต่ในความเป็นจริง ไฟล์ที่ดาวน์โหลดมานั้นจะเริ่มต้นห่วงโซ่การติดเชื้อโดยการดึงมัลแวร์ขโมยข้อมูล macOS และโทรจันเข้าถึงระยะไกลที่ใช้ Python ซึ่งรู้จักกันในชื่อ AUDIOFIX จากโดเมนการแจกจ่ายไดรเวอร์ปลอม 'apple.driver-store.com'

กระบวนการแพร่ระบาดเกิดขึ้นผ่านสคริปต์ Bash ที่สามารถระบุสถาปัตยกรรมระบบของเหยื่อ ทำให้มัลแวร์ทำงานได้อย่างราบรื่นทั้งบนอุปกรณ์ macOS ที่ใช้ Intel และ Apple Silicon เพย์โหลดจะปลอมตัวเป็นไดรเวอร์เสียงระบบชื่อ 'coreaudiod' เก็บไว้ในเครื่องในชื่อ 'ChromeUpdater' และถูกเรียกใช้งานโดยใช้กลไก launchctl ของ macOS เพื่อรักษาการทำงานอย่างต่อเนื่อง

AUDIOFIX เปิดโอกาสให้เกิดการเจาะระบบอย่างลึกซึ้ง

เมื่อติดตั้งแล้ว AUDIOFIX จะทำการขโมยข้อมูลประจำตัวและปฏิบัติการสอดแนมอย่างกว้างขวาง พร้อมทั้งสนับสนุนการเคลื่อนย้ายไปยังโครงสร้างพื้นฐานภายใน นักวิจัยสังเกตเห็นว่ามัลแวร์นี้ถูกใช้เพื่อแทรกโค้ดที่เป็นอันตรายเข้าไปในระบบพัฒนาและแก้ไขซอร์สโค้ดเพื่อพยายามเจาะระบบปลายทางเพิ่มเติมและขโมยข้อมูลประจำตัวกระเป๋าเงินคริปโตเคอร์เรนซี

มัลแวร์นี้สามารถขโมยข้อมูลสำคัญได้หลากหลายประเภท รวมถึง:

  • ข้อมูลประจำตัวของโปรแกรมจัดการรหัสผ่าน ข้อมูลเบราว์เซอร์ ไฟล์ iCloud Keychain คีย์ SSH ข้อมูลประจำตัวของผู้ดูแลระบบ บันทึกประวัติการใช้งานคอนโซล และไฟล์การกำหนดค่า
  • ที่อยู่กระเป๋าเงินคริปโตเคอร์เรนซี ข้อมูลส่วนขยายเบราว์เซอร์ที่เชื่อมโยงกับบริการคริปโต และเซสชันที่ใช้งานอยู่จาก Discord, Slack และ Telegram

นอกเหนือจากการขโมยข้อมูลแล้ว AUDIOFIX ยังรองรับการสั่งการจากระยะไกล การลบไฟล์ การส่งเพย์โหลด กิจกรรมสอดแนม และการดึงข้อมูลออกจากระบบที่ติดไวรัสอีกด้วย

MiniRAT ขยายขอบเขตภัยคุกคามผ่านการทุจริตในห่วงโซ่อุปทาน

ส่วนประกอบสำคัญอีกอย่างหนึ่งของปฏิบัติการนี้คือ MiniRAT ซึ่งเป็นแบ็กดอร์ที่เขียนด้วยภาษา Go และเชื่อมโยงกับแพ็กเกจ npm ที่ถูกบุกรุกชื่อ '@velora-dex/sdk' แพ็กเกจนี้เกี่ยวข้องกับชุดเครื่องมือทางการเงินแบบกระจายอำนาจที่ถูกต้องตามกฎหมาย ซึ่งใช้สำหรับการแลกเปลี่ยนโทเค็น การซื้อขายเดลต้า และคำสั่งซื้อขายแบบจำกัดบนแพลตฟอร์ม VeloraDEX

มัลแวร์เวอร์ชันที่เป็นอันตรายนี้จะดึงสคริปต์เชลล์จากเซิร์ฟเวอร์ระยะไกล และติดตั้งไบนารี MiniRAT สำหรับ macOS ในที่สุด เมื่อติดตั้งแล้ว มัลแวร์นี้จะช่วยให้ผู้โจมตีสามารถอัปโหลดไฟล์ เรียกใช้คำสั่งเชลล์ตามอำเภอใจ และดาวน์โหลดเพย์โหลดเพิ่มเติมจากโครงสร้างพื้นฐานที่ผู้โจมตีควบคุมได้

กลุ่ม JINX-0164 ได้นำกลยุทธ์การหลอกลวงทางสังคมมาใช้ซ้ำแล้วซ้ำเล่า โดยเกี่ยวข้องกับการเสนอโอกาสในการรับสมัครงานปลอมและการสร้างปัญหาทางเทคนิคขึ้นมาเอง ซึ่งบังคับให้เหยื่อติดตั้งโปรแกรมแก้ไขปลอม วิธีการที่สม่ำเสมอนี้แสดงให้เห็นว่ากลุ่มนี้ให้ความสำคัญอย่างมากกับการหลอกลวงมนุษย์เป็นวิธีการหลักในการโจมตี

ความเชื่อมโยงที่เป็นไปได้กับปฏิบัติการทางไซเบอร์ของเกาหลีเหนือ

ลักษณะหลายประการของแคมเปญนี้คล้ายคลึงกับกิจกรรมที่เคยเกี่ยวข้องกับกลุ่มภัยคุกคามทางไซเบอร์ของเกาหลีเหนือ เช่น BlueNoroff, Contagious Interview และ UNC1069 นักวิจัยสังเกตเห็นความคล้ายคลึงกันในรูปแบบการกำหนดเป้าหมาย โดเมนปลอม และการใช้บริการ VPN เช่น Astrill VPN

ถึงแม้จะมีส่วนที่ทับซ้อนกันอยู่บ้าง แต่ผู้ตรวจสอบยังไม่พบความเชื่อมโยงด้านโครงสร้างพื้นฐานที่ยืนยันได้ซึ่งเชื่อมโยง JINX-0164 โดยตรงกับการปฏิบัติการที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ หลักฐานในปัจจุบันชี้ให้เห็นถึงความคล้ายคลึงกันในการดำเนินงานมากกว่าการระบุแหล่งที่มาอย่างแน่ชัด

มาแรง

อีเมลหลอกลวงเกี่ยวกับการอัปเกรดบริการกล่องจดหมาย

ฟิชชิ่ง, สแปม
อีเมลที่ไม่คาดคิดซึ่งต้องการให้ดำเนินการทันทีควรได้รับการพิจารณาอย่างรอบคอบเสมอ อาชญากรไซเบอร์มักปลอมแปลงอีเมลหลอกลวงเป็นอีเมลแจ้งเตือนความปลอดภัยหรือการแจ้งเตือนบริการทั่วไปเพื่อพยายามขโมยข้อมูลสำคัญ อีเมลที่อ้างว่า 'อัปเกรดบริการกล่องจดหมาย' เป็นส่วนหนึ่งของกลโกงดังกล่าวและไม่เกี่ยวข้องกับผู้ให้บริการอีเมล บริษัท องค์กร หรือหน่วยงานอย่างเป็นทางการใดๆ ที่ถูกต้องตามกฎหมาย...

การหลอกลวงคาสิโนคาโซวิน

เว็บไซต์อันธพาล
Kazowin นำเสนอตัวเองว่าเป็นวิธีที่ง่ายดายในการชนะคริปโตเคอร์เรนซีผ่านการพนันออนไลน์ สูตรนี้ดูน่าดึงดูด: เงินเริ่มต้นฟรี ความเสี่ยงต่ำ...

เข้าชมมากที่สุด

เอพอนเนอร์ดอทคอม

ปัญหา
21,340
อินเทอร์เน็ตเป็นพื้นที่กว้างใหญ่ที่เต็มไปด้วยเนื้อหาที่มีประโยชน์ ความบันเทิง และข้อมูลต่างๆ แต่ก็มีมุมมืดด้วยเช่นกัน ไม่ว่าคุณจะกำลังสตรีมรายการ ดาวน์โหลดแอป...

Fuq.คอม

โปรแกรมต่อต้านสปายแวร์ Rogue, มัลแวร์ Mac
20,501
Fuq.com เป็นโปรแกรมประเภทแอดแวร์ที่ส่งเสริมเว็บไซต์ที่มีเนื้อหาอนาจาร แคมเปญโฆษณาของโปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) นี้มีความก้าวร้าวมาก...
กำลังโหลด...