ใครคือกลุ่มลาซารุส? มือปล้นที่อยู่เบื้องหลังการปล้นพันล้าน
Scams & Hacks
ข้อความสำคัญ
- กลุ่มลาซารุสเป็นทีมแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐเกาหลีเหนือ ที่รับผิดชอบในการโจรกรรมไซเบอร์มูลค่าพันล้านดอลลาร์ การดำเนินการของพวกเขาเป็นทุนให้กับโปรแกรมขีปนาวุธและนิวเคลียร์ของประเทศ
- Lazarus employs custom malware, zero-day vulnerabilities and spear-phishing campaigns to breach financial institutions, cryptocurrency exchanges and government agencies.
- การโจมตีที่น่าสังเกตเช่น การโจมตี Bybit มูลค่า 1.5 พันล้านดอลลาร์ (2025), การแฮ็ก Ronin Bridge มูลค่า 625 ล้านดอลลาร์ (2022) และการปล้นธนาคารแบงค็อกแห่งบังกลาเทศมูลค่า 101 ล้านดอลลาร์ (2016)
- กลุ่มใช้การสร้างความสับสน, ทางอ้อม, เทคนิคต้านการสืบสวนและเครื่องมือลบข้อมูลเพื่อซ่อนรอยเท้าและรักษาการเข้าถึงเครือข่ายที่ถูกคุกคามในระยะยาว
การโจมตีคริปโตของ Bybit เมื่อวันที่ 21 กุมภาพันธ์ 2025 ได้เริ่มต้นการเนรมิตความสนใจอีกครั้งให้กับกลุ่ม Lazarus ที่เป็นที่รู้จักด้วยการโจมตีร้ายแรงต่อธุรกิจคริปโต ตั้งแต่ปี 2017 กลุ่ม Lazarus ได้ขโมยเงินประมาณ 6 พันล้านดอลลาร์จากอุตสาหกรรมคริปโตตามไปที่ บริษัท วิเคราะห์บล็อกเชน Elliptic ไม่แปลกใจว่า Lazarus ได้รับชื่อเรียกว่า มหาวายร้ายในโลกคริปโต
เป็นหนึ่งในองค์กรผู้มีกิจกรรมทางไซเบอร์มากที่สุดในประวัติศาสตร์ กลุ่ม Lazarus ใช้เทคนิคการโจมตีขั้นสูงและบ่อนทำงานระดับหน้าสีขาวบ่อนจำกัดว่ามีการสนับสนุนจากรัฐอย่างเต็มที่
นี้เป็นเหตุการณ์ที่สำคัญที่ยกขึ้นเกี่ยวกับกลุ่มลาซารุส การดำเนินการโจมตีที่ซับซ้อนของ Bybit และการโจมตีที่เหมือนกันอื่น ๆ และวิธีการที่องค์กรด้านคริปโตสามารถต่อสู้กับการลุกลามที่กำลังเติบโตนี้ บทความนี้สำรวจเรื่องเหล่านี้และอื่น ๆ
ต้นกำเนิดและพื้นหลังของกลุ่มลาซารุส
กลุ่มลาซารุสเป็นนักแอคเตอร์ที่มีชื่อเสียงจากประเทศเกาหลีเหนือหรือเกาหลีเหนือที่ทำการสอดคล้องและหลงเหลวในการดักรับข้อมูลแบบไซเบอร์และการโอนเงินออกไป
Active since 2009, it is associated with the North Korean government’s Reconnaissance General Bureau (RGB), the nation’s primary intelligence agency. The advanced persistent threat (APT) group is known for staging sophisticated cross-platform attacks on financial institutions,บริษัทแลกเปลี่ยนสกุลเงินดิจิทัล, จุดสิ้นสุดของระบบ SWIFT, คาสิโน และ ATM ทั่วโลก
ความเชื่อมโยงของกลุ่มกับหน่วยข่าวสารของประเทศชี้ให้เห็นถึงการสนับสนุนจากรัฐ แฮกเกอร์ได้รับการสนับสนุนจากรัฐสำหรับกิจกรรมชั่วร้ายของพวกเขาซึ่งหมายความว่าพวกเขาสามารถดำเนินการโดยไม่กลัวหน่วยงานการอาญาท้องถิ่น กิจกรรมของพวกเขามุ่งเน้นไม่เพียงแต่การรวบรวมข้อมูลสารสนเทศเท่านั้น แต่ยังเพื่อจัดหาเงินทุนสำหรับโปรแกรมของประเทศที่เกี่ยวกับขีปนาวุธและนิวเคลียร์
หน่วยงานสืบสวนของสหรัฐ (FBI) เรียกกลุ่มลาซารัสว่าเป็น "องค์กรที่โจมตีด้วยการแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ" ผู้ถอดถอนตัวชาวเกาหลีเหนือ Kim Kuk-song ได้เปิดเผยว่าหน่วยงานนี้เป็นที่รู้จักในภายในว่า Office in North Korea 414
เมื่อผ่านมา กลุ่มลาซารุสได้เพิ่มความซับซ้อนและประสิทธิภาพของกลยุทธ์ของตน รวมถึงขอบเขตของกิจกรรมของตนอย่างมีนัยสำคัญ
คุณรู้หรือไม่? ศูนย์สารสนเทคโนโลยีของไมโครซอฟต์ได้ระบุทีมแฮ็กเกอร์ที่รู้จักกันด้วยชื่อว่า “Sapphire Sleet” เป็นกลุ่มอันตรายของเกาหลีเหนือที่มีส่วนร่วมอย่างมากในการปล้นสกุลเงินดิจิทัลและการแอบแฝงในองค์กร คำว่า “sleet” แสดงถึงความเชื่อต่อกับเกาหลีเหนือของกลุ่ม
วิธีการทำงานของกลุ่ม Lazarus คืออย่างไร?
เนื่องจากมีการสนับสนุนจากรัฐ กลุ่มลาซารุสมีทรัพยากรและความเชี่ยวชาญเพียงพอดำเนินการโจมตีไซเบอร์ซับซ้อนมันดำเนินการด้วยการดำเนินการหลายชั้น ซึ่งรวมถึงการพัฒนาและการใช้งานมัลแวร์ที่ปรับแต่งและการใช้งานช่องโหว่ zero-day คำว่า "ช่องโหว่ zero-day" หมายถึงช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์หรือฮาร์ดแวร์ที่ไม่เป็นที่รู้จักของผู้พัฒนา นี่หมายความว่าไม่มีการแก้ไขใด ๆ สำหรับมันหรือการเตรียมความพร้อมใด ๆ
ลัซารุสกรุ๊ปมีลัซารุสกรุ๊ปเป็นเครื่องหมายการสร้างมัลแวร์ที่ทันสมัย เช่น MagicRAT และ QuiteRAT ที่ออกแบบมาเพื่อซึมเซาะและควบคุมระบบเป้าหมาย พวกเขายังเคยทราบถึงการใช้ช่องโหว่ด้านความปลอดภัยที่ไม่รู้จักก่อนเพื่อละเมิดระบบก่อนที่จะมีการแก้ไขให้ใช้งานได้
Social engineering is another critical component of their strategy. It is about hackers using emotions to trick users and persuade them to perform a specific action, such as sharing crucial data. The Lazarus Group conducts spear-การโจมตีการหลอกเอาข้อมูล, ซึ่งส่งอีเมลฉ้อโกงถึงบุคคลที่ไม่สงสัยโดยปลอมตัวเป็นเครือข่ายของพวกเขาเพื่อกระตุ้นให้เปิดเผยข้อมูลลับ
ของพวกเขาความสามารถในการปรับตัวและเทคนิคที่ก้าวขึ้นทำให้กลุ่มลาซารุสเป็นอุปสรรค์ที่คงทนและน่าเกรงขามในภูมิทัศน์ความปลอดภัยระดับโลก
เหตุการณ์ปล้นยอดเยี่ยมโดยกลุ่มลาซารุส
ในระหว่างหลายปีที่ผ่านมา มีการโจมตีทางไซเบอร์จำนวนมากที่เกี่ยวข้องกับกลุ่มลาซารุส นี่คือบางการปล้นที่สำคัญที่ดำเนินการโดยกลุ่ม
การปล้นคริปโต
1. Bybit (February 2025)
Bybit, บริษัทแลกเปลี่ยนสกุลเงินดิจิตอลที่มีบทบาทดูไบประสบความเสียหายทางด้านความปลอดภัยอย่างมหาศาล, สูญเสีย $1.5 พันล้านดอลลาร์ในสินทรัพย์ดิจิทัลในเดือนกุมภาพันธ์ พ.ศ. 2568 ทำให้มันกลายเป็นการปล้นสำคัญที่สุดของสกุลเงินดิจิทัลจนถึงปัจจุบัน
การโจมตีเป้าหมายที่อินเทอร์เฟซ SafeWallet ที่ใช้โดยผู้บริหาร Bybit เพื่อดำเนินการทรัพย์สินที่ผิด ทุนที่ถูกขโมยโดยส่วนใหญ่เป็น Ether ถูกกระจ散ไปอย่างรวดเร็วทั่วทั้งกระเป๋าสตางค์หลายแห่งและถูกละทิ้งผ่านแพลตฟอร์มต่าง ๆ. ประธานบริษัท Bybit, Ben Zhou, ยืนยันให้ผู้ใช้มั่นใจว่ากระเป๋าเงินเย็นอื่น ๆ ยังคงปลอดภัยและการถอนเงินทำงานได้อย่างปกติ
บริษัทวิเคราะห์บล็อกเชน เช่น Elliptic และ Arkham Intelligence สืบค้นสินทรัพย์ที่ถูกขโมยและตีความว่าการโจมตีนี้เกิดจากกลุ่ม Lazarus ที่ได้รับการสนับสนุนจากรัฐเหนือเกาหลีเหนือ การแฮ็กนี้สร้างคลื่นการถอนเงินจาก Bybit ซึ่งกระตุ้นให้แลกเปลี่ยนหาเงินกู้เพื่อครอบคลุมความสูญเสีย
2. WazirX (กรกฎาคม 2024)
ในเดือนกรกฎาคม 2024 WazirX ซึ่งเป็นการแลกเปลี่ยนสกุลเงินดิจิทัลที่ใหญ่ที่สุดของอินเดียประสบกับการละเมิดความปลอดภัยที่สําคัญส่งผลให้สูญเสียสินทรัพย์ดิจิทัลประมาณ 234.9 ล้านดอลลาร์ การโจมตีดังกล่าวมีสาเหตุมาจากกลุ่มลาซารัสของเกาหลีเหนือเกี่ยวข้องกับเทคนิคฟิชชิ่งที่ซับซ้อนและการแสวงหาประโยชน์จาก API
มือโจมตีได้ทำให้ระบบกระเป๋าเงินมัลติซิกเนเจอร์ของ WazirX ถูกปรับแต่งโดยไม่ได้รับอนุญาตให้เข้าถึงกระเป๋าเงินร้อนและเย็น การละเมิดนี้ทำให้ต้องระงับกิจกรรมการซื้อขายและกระตุ้นทวงถามทางกฎหมาย รวมถึงคดีต่างๆ เช่น คดีที่ถูกดำเนินการโดยแลกเปลี่ยนสกุลเงินเสมือน CoinSwitch ซึ่งกำลังพยายามกู้คืนเงินที่ติดขัดมูลค่า 9.65 ล้านดอลลาร์
ในเดือนมกราคม 2025 ศาลสูงสิงคโปร์ได้อนุมัติแผนโครงสร้างองค์กรของ WazirX ซึ่งอนุญาตให้บริษัทเข้าพบกับเจ้าหนี้เพื่อหารวยกู้คืน
3. Stake.com (กันยายน 2023)
ในเดือนกันยายน 2023 กลุ่มได้ฝ่าเข้าไปใน Stake.com แพลตฟอร์มการพนันคริปโตเคอร์เรนซี โดยการเข้าถึงและใช้ข้อมูลที่ถูกโจมตีคีย์ส่วนตัว. นี้ช่วยให้พวกเขาสามารถดูดซึมเงิน 41 ล้านดอลลาร์ทั่วทั้งบนเครือข่ายบล็อกเชน
The US FBIattributedการโจรกรรมนี้ถูกติดตามไปสู่กลุ่ม Lazarus หรือที่รู้จักกันในนาม APT38 สินทรัพย์ที่ถูกขโมยได้ถูกติดตามไปทั่วเครือข่ายบล็อกเชนหลายราย เช่น Ethereum, BNB Smart Chain และ Polygon
4. CoinEx (กันยายน 2023)
ในภายหลังในเดือนกันยายน พ.ศ. 2566 CoinEx ซึ่งเป็นบริษัทแลกเปลี่ยนสกุลเงินดิจิทัลระดับโลก รายงานว่ามีการทำธุรกรรมที่ไม่ได้รับอนุญาต导致ขาดทุนประมาณ 54 ล้านเหรียญ
การสอบสวนโดยนักวิเคราะห์บล็อกเชน รวมถึงนักวิเคราะห์ออนเชน ZachXBT,เปิดเผยรูปแบบกระเป๋าเงินและพฤติกรรมบนเชนเชื่อมโยงการละเมิดนี้กับการ hack ของ Stake.com ก่อนหน้านี้ แนะนำถึงความพยายามที่ประสบความสำเร็จโดยกลุ่ม Lazarus
5. CoinsPaid and Alphapo (กรกฎาคม 2023)
ในวันที่ 22 กรกฎาคม 2023 CoinsPaid ประสบการณ์การโจมตีไซเบอร์ที่วางแผนอย่างพิถีพิถันทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่
ในขณะที่ถูกโจมตี พบการเพิ่มขึ้นของกิจกรรมในเครือข่ายที่ไม่ธรรมดา โดยมีมากกว่า 150,000 ที่อยู่ IP ที่มีส่วนร่วม ผลกระทบกับการเสียเสียงทางการเงินอย่างมาก ทีมงานภายในของ CoinsPaid ทำงานอย่างขยันเพื่อเสริมระบบของพวกเขา โดยทำให้เงินของลูกค้ายังคงไม่ได้รับผลกระทบและสามารถใช้งานได้อย่างเต็มที่
ในวันเดียวกัน Alphapo ผู้ให้บริการชำระเงินด้านสกุลเงินดิจิทัลที่มีศูนย์กลางสำหรับแพลตฟอร์มออนไลน์ต่าง ๆ ประสบปัญหาความปลอดภัยในวันที่ 23 กรกฎาคม 2023 รายงานเบื้องต้นประมาณว่าขาดทุนประมาณ 23 ล้านเหรียญ อย่างไรก็ตามการสืบสวนเพิ่มเติมพบว่ายอดเงินทั้งหมดที่ถูกขโมยเกิน 60 ล้านเหรียญ นักวิเคราะห์บล็อกเชนได้กล่าวว่าการโจมตีนี้เกิดจากกลุ่มลาซารุส โดยระบุว่าเงินที่ถูกขโมยได้ถูกติดตามไปยังหลายที่อย่างและโซ่
6. สะพานประตูชัยราชนครินทร์ (มิถุนายน 2565)
กลุ่มลาซารุสใช้ช่องโหว่ใน Horizon Bridge ของ Harmony ในเดือนมิถุนายน 2022 ผ่านการวิศวกรรมสังคมและการบุกรุกกระเป๋าเงินมัลติซิกเนเจอร์ พวกเขาหนีไปพร้อมกับ $100 ล้าน โดดเดี่ยวเน้นถึงความเสี่ยงที่เกี่ยวข้องกับสะพานครอสเชน (การอ faciliting การโอนเงินระหว่างเครือข่ายเช่น Ethereum, Bitcoin และ BNB Smart Chain)
ผู้โจมตีใช้ประโยชน์จากจุดอ่อนด้านความปลอดภัยโดยเข้าควบคุมกระเป๋าเงินหลายลายเซ็นที่ใช้ในการอนุญาตการทําธุรกรรม การละเมิดนี้ทําให้พวกเขาสามารถดูดเงินได้ประมาณ 100 ล้านดอลลาร์ในสกุลเงินดิจิทัลต่างๆ ทรัพย์สินที่ถูกขโมยถูกฟอกผ่านเครื่องผสม Tornado Cash ทําให้ความพยายามในการติดตามมีความซับซ้อน Elliptic เป็นหนึ่งในกลุ่มแรกๆ ที่กล่าวถึงการโจมตีครั้งนี้กับ Lazarus Group ซึ่งเป็นการประเมินที่ได้รับการยืนยันในภายหลังโดย FBI ในเดือนมกราคม 2023
7. สะพาน Ronin (มีนาคม 2022)
ในเดือนมีนาคม 2022 สะพาน Ronin, หนึ่งสะพาน crosschainsupporting the Axie Infinity game,ประสบความเสี่ยงด้านความปลอดภัยที่สำคัญที่มือของกลุ่มเลซารัส ซึ่งส่งผลให้มีการปล้นขโมยเงินสกุลดิจิตอลประมาณ 625 ล้านเหรียญ
เครือข่าย Ronin ดำเนินการด้วยผู้ตรวจสอบเก้าคน โดยต้องการอย่างน้อยห้าลายเซ็นเจอร์เพื่ออนุมัติธุรกรรม ผู้โจมตีสามารถควบคุมกว่าห้ากุญแจส่วนตัวทำให้พวกเขาสามารถอนุมัติการถอนเงินโดยไม่ได้รับอนุญาต
ฮากเกอร์ได้ล่วงลวงพนักงานของ Sky Mavis ด้วยข้อเสนองานที่เป็นปลอม โดยส่ง PDF ที่ติดมัลแวร์ที่ทำให้ระบบภายในของบริษัทเสี่ยงต่อการถูกบุกรุก การเข้าถึงนี้ทำให้ผู้โจมตีสามารถเคลื่อนที่ไปในเครือข่ายได้ การรับควบคุมของสี่ผู้ตรวจสอบที่ดำเนินการโดย Sky Mavis และผู้ตรวจสอบเพิ่มเติมที่ได้รับการจัดการโดย AxieDAO (องค์กรอิสระท้องถิ่น).
กลุ่มนี้ผสานการทำเทคนิคทางเทคนิคกับความชำนาญทางเทคนิคเพื่อดำเนินการแฮ็กล้มล้าง Ronin Bridge
8. Atomic Wallet (2022)
ตลอดปี 2022 ผู้ใช้ Atomic Wallet แอปพลิเคชันเก็บเงินดิจิทัลที่กระจายอยู่ กลายเป็นเหยื่อของการโจมตีต่อเนื่องที่ถูกจัดทำโดยกลุ่ม Lazarus
ผู้แฮกเกอร์ได้ใช้มัลแวร์ที่ปรับแต่งเพื่อบุกรุกกระเป๋าเงินรายบุคคล โดยผลที่เกิดขึ้นเป็นการสูญเสียที่ประมาณระหว่าง 35 ล้านถึง 100 ล้านเหรียญดอลลาร์ บริษัท Elliptic ได้เชื่อมโยงการละเมิดเหล่านี้กับกลุ่ม Lazarus โดยการตามรอยการเคลื่อนไหวของเงินที่ถูกขโมยและการระบุรูปแบบการซักรีที่สอดคล้องกับกิจกรรมก่อนหน้าของกลุ่ม
9. บิทฮัมบ์ แลกเชน (กรกฎาคม 2017)
ในเดือนกรกฎาคม ค.ศ. 2017 กลุ่มลาซารุส ปฏิบัติการโจมตีการตั้งกระสุนด้วยการโจมตีการหลอกลวงผ่านอีเมล (spear-phishing) บน Bithumb ซึ่งเป็นอีกหนึ่งตลาดแลกเปลี่ยนเงินดิจิทัลขนาดใหญ่ของเกาหลีใต้
โดยการทำศึกษาระบบภายในของตลาดซื้อขาย พวกเขาสามารถขโมยเงินสกุลเงินดิจิตอลประมาณ 7 ล้านเหรียญ ซึ่งเหตุการณ์นี้เป็นการเข้าถึงของกลุ่มหนึ่งที่สำคัญและเริ่มต้นในอุตสาหกรรมสินทรัพย์ดิจิตอลที่กำลังเติบโต
10. แลกเปลี่ยน Youbit (เมษายนและธันวาคม 2017)
กลุ่มลาซารุส ดำเนินการทำลายทางไซเบอร์ที่สำคัญสองครั้งกับตลาดแลกเปลี่ยน Youbit ในเกาหลีใต้ในปี 2017 การโจมตีครั้งแรกในเดือนเมษายนเกี่ยวข้องกับการใช้มัลแวร์และเทคนิคการล่อลวง ทำให้ความปลอดภัยของตลาดแลกเปลี่ยนถูกขัดข้อง และส่งผลให้สูญเสียสินทรัพย์มากมาย
การโจมตีต่อมาในเดือนธันวาคม ทำให้สูญเสียทรัพย์สินรวม 17% ของ Youbit การกดดันทางการเงินจากการบุกรุกต่อเนื่องเหล่านี้ทำให้ต้องประกาศล้มละลาย โดยย้ำย้ำถึงผลกระทบที่รุนแรงของกิจกรรมไซเบอร์ของกลุ่มนี้ต่อแพลตฟอร์มสินทรัพย์ดิจิทัล
คุณทราบหรือไม่? เกาหลีเหนือใช้คนงานด้านเทคโนโลยีสารสนเป็นพันๆคนทั่วโลก รวมถึงในประเทศรัสเซียและจีน เพื่อทำรายได้ พวกเขาใช้โปรไฟล์ที่สร้างด้วย AI และสร้างตัวตนที่ถูกขโมยเพื่อหางานด้านเทคโนโลยีที่มีรายได้สูง ทำให้พวกเขาสามารถขโมยทรัพย์สินทางปัญญา ขู่เจ้านาย และส่งเงินให้กับเผด็จการ
การปล้นร้ายอีกที่สำคัญ
1. WannaCry (พฤษภาคม 2560)
The WannaCryการโจมตีแรนซัมแวร์ เป็นเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ครั้งใหญ่ที่ส่งผลกระทบต่อองค์กรทั่วโลก เมื่อวันที่ 12 พฤษภาคม 2017 หนอนแรนซัมแวร์ WannaCry ติดไวรัสคอมพิวเตอร์มากกว่า 200,000 เครื่องใน 150+ ประเทศ เหยื่อรายใหญ่ ได้แก่ FedEx, Honda, Nissan และ National Health Service (NHS) ของสหราชอาณาจักร ซึ่งต้องเปลี่ยนเส้นทางรถพยาบาลเนื่องจากระบบหยุดชะงัก
นักวิจัยด้านความปลอดภัยค้นพบ "kill switch" ที่หยุดการโจมตีชั่วคราว แต่ระบบมากมีการล็อคที่ยังคงอยู่จนกว่าเหยื่อจะจ่ายค่าไถ่ครองหรือหาวิธีในการกู้คืนข้อมูลของพวกเขา วานนาครายหลุดใช้ช่องโหว่ที่เรียกว่า "EternalBlue" ซึ่งเป็นการโจมตีที่พัฒนาขึ้นเริ่มแรกโดยหน่วยงานการรัฐบาลสหรัฐอเมริกา (NSA)
ช่องโหว่นี้ถูกโจมตีภัยโดย Shadow Brokers และถูกรั่วไหลในภายหลัง WannaCry เน้นหมุนเวียนไปที่ระบบ Microsoft Windows เวอร์ชันเก่าที่ยังไม่ได้รับการแก้ไข ทำให้การแพร่กระจายเร็วขึ้นและสร้างความเสียหายอย่างแพร่หลาย การโจมตีเน้นที่ความจำเป็นของการอัพเดตซอฟต์แวร์แบบเป็นประจำและการตระหนักด้านความมั่นคงปลอดภัยของข้อมูล
2. ธนาคารประเทศบังกลาเท่ากับ (กุมภาพันธ์ 2016)
ในเดือนกุมภาพันธ์ 2016 ธนาคารแห่งบังกลาเดช ประสบการณ์การโจรกรรมไซเบอร์ที่สำคัญ โดยมีผู้โจมตีพยายามขโมยเงินเกือบ 1 พันล้านดอลลาร์จากบัญชีของมันที่ธนาคารสำรองสหรัฐฯ ณ นิวยอร์ก ผู้กระทำความผิดภัยที่ตรวจจับภายหลังเป็นกลุ่มลาซารุส ที่แทรกเข้าระบบของธนาคารในเดือนมกราคม 2015 ผ่านไฟล์แนบที่เป็นอันตราย พวกเขาศึกษาการดำเนินงานของธนาคาร โดยสุดท้ายเริ่มเรียกใช้ 35 คำขอโอนเงินปลอมผ่านเครือข่าย SWIFT
ขณะที่มีบล็อกไว้ส่วนใหญ่ มีการทำธุรกรรม 5 ครั้งทั้งหมดรวมถึง $101 ล้าน ที่ประสบความสำเร็จ โดยมียอดเงิน $81 ล้าน ไปถึงบัญชีในฟิลิปปินส์ ข้อผิดพลาดในการพิมพ์ในคำขอการโอนเงินหนึ่งรายการเสียงสงสัย ทำให้ไม่สามารถทำการปล้นที่เต็มรูปแบบ
3. ภาพยนตร์โซนี่ (พฤศจิกายน 2014)
ในเดือนพฤศจิกายน ค.ศ. 2014 บริษัท Sony Pictures Entertainment ประสบการณ์การโจมตีไซเบอร์ที่สำคัญโดย Guardians of Peace ซึ่งมีความเชื่อมโยงกับ Lazarus Group ผู้โจมตีซึ่งเข้าสู่เครือข่ายของ Sony และเข้าถึงข้อมูลที่ลับมากมายรวมถึงภาพยนตร์ที่ยังไม่ได้เปิดเผย ข้อมูลข้างขึ้นของพนักงานและการสื่อสารภายใน
กลุ่มนี้ยังใช้มัลแวร์ในการโจมตีซึ่งทำให้เกิดความเสียหายให้กับคอมพิวเตอร์ของ Sony ประมาณ 70% ไม่สามารถใช้งานได้ ความเสียหายทางการเงินจากการเจาะระบบมีขนาดใหญ่ โดย Sony รายงานว่าขาดทุนถึง 15 ล้านเหรียญ ซึ่งรายงานโดยอื่นๆ ระบุว่าต้นทุนในการกู้คืนอาจเกินกว่า 85 ล้านเหรียญ
แรงบันดาลใจของการโจมตีคือการแก้แค้นต่อการวางแผนการเปิดตัวของ Sony ในการฉาย The Interview ภาพยนตร์ตลกที่เล่าเรื่องการลอบสังหารผู้นำเกาหลีเหนือ คิม จง อึน
นโยบายปกครองอเหนกเหตุการณ์ แต่รัฐบาลสหรัฐอเมริกาได้ตีความเหตุการณ์ว่าเป็นผลจากผู้มีเสน่ห์จากเหตุการณ์ประเทศเหนือ โดยเน้นให้เห็นถึงความสามารถของกลุ่มลาซารุสในการดำเนินการซีเบิร์ที่ซับซ้อนด้วยผลกระทบทางการเมืองที่สำคัญ
คุณรู้หรือไม่? เมื่อสิงหาคม 2024 ZachXBT เปิดเผยว่ามีนักพัฒนา 21 คนจากเหนือเกาหลีที่แอบแทรกเข้าไปใน crypto startups และได้รับรายได้ 500,000 ดอลลาร์ต่อเดือน
FBI ระบุชื่อ Lazarus Group ที่เป็นแฮกเกอร์หลัก คนที่อยู่เบื้องหลังการโจมตีไซเบอร์ใหญ่
หน่วยงาน FBI ได้ระบุตัวตนสามคนที่เชื่อว่าเป็นแฮ็กเกอร์ชาวเหนือเกาหลี ที่เป็นสมาชิกของกลุ่ม Lazarus ในทางสาธารณะ
ในเดือนกันยายน 2018 ฝ่ายการสืบสวนอาชญากรรมแห่งชาติ (FBI) กล่าวหา Park Jin Hyok ชาวเกาหลีเหนือที่เชื่อมโยงกับ Lazarus ในบทบาทที่เขาถูกกล่าวหา ทำให้เกิดการโจมตีไซเบอร์ที่สำคัญ Park ซึ่งเป็นพนักงานของ Chosun Expo Joint Venture บริษัทหน้าที่เกาหลีเหนือ ถูกเชื่อมโยงกับการแฮ็กซอนี่พิคเจอร์สปอร์ตส์และการปล้นธนาคารของบังคลาเดชในปี 2016 ที่เกิดการปล้นเงินรวม 81 ล้านเหรียญ
FBIยังกล่าวหา Park เกี่ยวกับความสัมพันธ์กับการโจมตี ransomware รุ่น 2.0 ของ WannaCry ในปี 2017 ซึ่งทำให้โรงพยาบาลต่างๆ รวมถึง NHS ของสหราชอาณาจักรถูกขัดจังหวะ ผู้สืบสวนตามรอยเขาและเพื่อนร่วมทางผ่านรหัส malware ที่ถูกแชร์กัน, การเก็บรักษา credential ที่ถูกขโมย และบริการโปรกซี่ที่ปกป้อง IP ของเกาหลีเหนือและจีน
ในเดือนกุมภาพันธ์ 2021 กรมยุติธรรมของสหรัฐฯ ได้กล่าวหา Jon Chang Hyok และ Kim Il สำหรับความมั่นใจของพวกเขาในการกระทำออกไปโดยการทำผิดกฎหมายทางไซเบอร์ระดับโลก Jon ได้พัฒนาและแพร่กระจายแอปพลิเคชันคริปโตที่ไม่ดีเพื่อซึ่งเข้าไปในสถาบันการเงินในขณะที่ Kim กำ coordinate การกระจาย malware, การปล้นคริปโต และการเสนอ initial coin offering ของ Marine Chain อย่างทุกข์
ยุทธวิธีทั่วไปที่ใช้โดยกลุ่มลาซารุส
กลุ่มเลซารุสใช้กลยุทธ์หลากหลายวิธีเพื่อดำเนินการโจมตีทางไซเบอร์อย่างชาญฉลาด ซึ่งรวมถึงกลยุทธ์การรบกวน การเลี่ยงทาง การต่อต้านการสืบสวนและเทคนิคการป้องกัน
ความขัดแย้ง
Lazarus conducts disruptive attacks usingการปฏิบัติการปฏิเสธการให้บริการแบบกระจาย (DDoS)และมัลแวร์ wiper ที่มีตัวกระตุ้นตามเวลา เช่น ตลอดจน trojan KILLMBR ลบข้อมูลในระบบเป้าหมายในวันที่ตั้งไว้ ในขณะที่ QDDOS มัลแวร์ ลบไฟล์หลังจากถูกติดเชื้อ อีกเครื่องมือหนึ่ง DESTOVER ทำหน้าที่เป็นประตูหลัง แต่ยังมีความสามารถในการลบ ยุทธวิธีเหล่านี้มุ่งเน้นทำให้ระบบเสียหายและทำให้ไม่สามารถใช้งานได้
การชะตากรรม
เพื่อทำให้ความเกี่ยวข้องของพวกเขามัวลง, ลาซารุสปลอมแอทแทคบางรายให้ดูเหมือนว่าเป็นงานของกลุ่มจินตจาการเช่น 'GOP', 'WhoAmI' และ 'New Romanic Army' กลุ่มเหล่านี้อ้างว่ารับผิดชอบในการโจมตีในขณะที่ลาซารุสเป็นผู้เล่นที่อยู่เบื้องหลังเกมพวกเขาอาจจะทำลายเว็บไซต์ด้วยโปรพาแกนด้านบางส่วน ลาซารุสยังซ่อนฝ่ายธงเท็จในมัลแวร์ของตนเอง เช่น การใช้คำภาษารัสเซียที่ถอดรหัสเป็นตัวย่อของรัสเซียในช่องโหว่ KLIPOD
Backdoors
Lazarus พึ่งพาทางหลังสำหรับการเข้าถึงระบบที่ถูกบุกรุกอย่างต่อเนื่อง โดยการใช้เครื่องมือเช่น Manuscrypt (NukeSped) backdoor ในแคมเปญการโจมตีฟิชชิ่ง และ BLINDINGCAN และ COPPERHEDGE implants ต่อเป้าหมายทางกันเรือ
เทคนิคต้านการสืบสวน
เพื่อปิดทางตัวของพวกเขา, ลาซารุสใช้เทคนิคต้านการสืบสวนหลายอย่าง:
- การแยกส่วน: ในการดำเนินการที่เกี่ยวข้องกับกลุ่มย่อย Bluenoroff ของ Lazarus มันแยกส่วนองค์ประกอบของมัลแวร์เพื่อขัดขวางการวิเคราะห์
- เครื่องมือบรรทัดคำสั่ง: การโจมตีหลายรูปแบบพึ่งพาไปยัง backdoor และตัวติดตั้งที่ต้องการอาร์กิวเมนต์เฉพาะ ตัวอย่างเช่นตัวติดตั้งของกรอบการทำงาน Nestegg ต้องการรหัสผ่านเป็นอาร์กิวเมนต์
- Wipers: Lazarus ใช้ wipers เพื่อลบหลักฐานของการโจมตีหลังจากการดำเนินการเสร็จสมบูรณ์ ตัวอย่าง DESTOVER ถูกเห็นในการดำเนินการของ Bluenoroff บางรายการ
- การลบบันทึกและบันทึก: ลาซารุสลบข้อมูล prefetch, บันทึกเหตุการณ์ และบันทึกของ Master File Table (MFT) เพื่อลบหลักฐานเชิงพิสูจน์
โดยผสมผสานเทคนิคเหล่านี้ ลาซารุสสร้างความวุ่นวายให้เป้าหมาย ลวงลวงการพิสูจน์ตัวตน และปกปิดกิจกรรมของมันอย่างมีประสิทธิภาพ
วิธีป้องกันการโจมตีของกลุ่ม Lazarus
การป้องกันต่อต้านอันตรายที่เกิดจากกลุ่มลาซารัส ต้องใช้กลยุทธ์ด้านความปลอดภัยที่ครอบคลุม องค์กรต้องดำเนินการใช้ชั้นการป้องกันหลายชั้นเพื่อป้องกันสินทรัพย์ดิจิตอลของตนจากการโจมตีไซเบอร์ที่ซับซ้อน
มาตรการป้องกันสำคัญที่คุณต้องนำมาใช้ รวมถึง:
- การป้องกัน DDoS: องค์กรควรใช้กลยุทธ์การบรรเทาที่แข็งแกร่งเพื่อป้องกันการขัดข้องในการให้บริการและความเสี่ยงในการละเมิดข้อมูลที่เป็นไปได้ การระบุล่วงหน้าและปลดปล่อยการโจมตีเช่นนี้เป็นสิ่งสำคัญ
- ข้อมูลสารสนเทศเกี่ยวกับความเสี่ยง: การใช้ข้อมูลสารสนเทศเกี่ยวกับความเสี่ยงช่วยตรวจจับและตอบสนองต่อความเสี่ยงด้านไซเบอร์ เช่น การโจมตีแบบแรนซัมแวร์และ DDoS คุณต้องทราบเกี่ยวกับกลยุทธ์ที่เปลี่ยนแปลงไปของลาซารุสเพื่อดำเนินการของพวกเขา
- การป้องกันสินทรัพย์: สถาบันการเงิน บริษัทแลกเปลี่ยนเงินสกุลดิจิทัลและเป้าหมายค่าเงินมูลค่าสูงอื่น ๆ ต้องรักษาสินทรัพย์ดิจิทัลสำคัญจากการโจมตีของลาซารุส การป้องกันจุดปลายทางระบบ SWIFT เอทีเอ็ม และโครงสร้างพื้นฐานทางการเงินเป็นสิ่งสำคัญ
- การตรวจจับอันตรายอย่างต่อเนื่อง: การตรวจจับอุปกรณ์พื้นฐานของเครือข่ายอย่างต่อเนื่องจำเป็นต้องมีเพื่อตรวจจับและบรรเทาการบุกรุกที่เป็นไปได้ ทีมด้านความปลอดภัยต้องให้ความสำคัญในการตรวจสอบให้แน่ใจว่าระบบทั้งหมดได้รับการอัปเดตอย่างสม่ำเสมอด้วยเวอร์ชันล่าสุดเพื่อลดความเป็นอยู่ในช่องโหว่
- โซลูชันความปลอดภัยหลายชั้น: โซลูชันความปลอดภัยขั้นสูง เช่น การรวมการวิเคราะห์พฤติกรรม การเรียนรู้ของเครื่องและการป้องกันการโจมตี เพิ่มความปลอดภัยในการป้องกันการโจมตีที่เป็นเป้าหมาย เครื่องมือที่มีการรวมเข้ากับทราบายและการป้องกันการโจมตีแบบแรนซัมแบบลอย
- การป้องกันเรียลไทม์: เมื่อเกิดการโจมตีที่ซับซ้อน คุณต้องการการป้องกันแบบเรียลไทม์ ต่อต้านการโจมตีเป้าหมาย คุณควรสามารถตรวจจับการโจมตีเป้าหมายที่ใดก็ได้ในเครือข่ายโดยใช้เทคนิครุ่นใหม่เพื่อนำเทคโนโลยีที่เหมาะสมมาใช้ในเวลาที่เหมาะสม
อย่างไรก็ตาม เนื่องจากเทคโนโลยีเป็นสาขาที่พัฒนาอย่างรวดเร็วและฮากเกอร์ยังคงพัฒนาเวกเตอร์ภัยใหม่ บุคคลและองค์กรควรเป็นคนกระตือรือร้นและตรวจสอบภัยที่เกิดขึ้นอย่างต่อเนื่อง
เป็นศาสตราจารย์บิล บิวแคนแนนผู้เชี่ยวชาญด้านการใช้ในการเข้ารหัสข้อมูลเน้น, “เราต้องลงทุนอย่างหนักในด้านความมั่นคงของระบบสารสนเทศ มิฉะนั้นเรากำลังเดินทางสู่โลกที่ได้รับคุ้มครองโดยจอร์จ ออเวลล์ในปี 1984 หรือโลกที่เรากลายเป็นทาสของเครื่องจักร”
คำแถลงนี้เน้นถึงผลกระทบที่ลึกล้ำของการทำละเว้นดูแลระบบความปลอดภัยและความจำเป็นของการลงทุนในมาตรการป้องกันอย่างต่อเนื่อง
Remember, the battle against such sophisticated threat actors is not one of a single defense but of an ongoing strategy involving prevention, detection and rapid response.
ในที่สุดการป้องกันตัวจากกลุ่มลาซารุส ต้องใช้ความระมัดระวัง เครื่องมือด้านความปลอดภัยขั้นสูงและการมุ่งมั่นขององค์กรที่ต้องการการปรับปรุงอย่างต่อเนื่อง มีเพียงแต่ผ่านความพยายามร่วมนี้ธุรกิจและสถาบันจึงสามารถป้องกันสินทรัพย์ของพวกเขา รักษาความเชื่อมั่น และอยู่ข้างหน้าของผู้ก่อการร้ายทางไซเบอร์
คำประกาศ:
- บทความนี้ถูกนำมาจาก [CoinTelegraph]. All copyrights belong to the original author [Dilip Kumar Patairya]. If there are objections to this reprint, please contact the Gate Learnทีม และพวกเขาจะดำเนินการโดยเร่งด่วน
- คำประกาศความรับผิด: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่เป็นที่ปรึกษาด้านการลงทุนใด ๆ
- การแปลบทความเป็นภาษาอื่นๆ นำมาทำโดยทีม Gate Learn หากไม่ได้ระบุไว้ การคัดลอก การกระจายหรือการลอกเลียนบทความที่ถูกแปลนั้นถือเป็นการละเมิดลิขสิทธิ์
分享
相关文章
การใช้ Bitcoin (BTC) ในเอลซัลวาดอร์ - การวิเคราะห์สถานะปัจจุบัน
โคติคืออะไร? สิ่งที่คุณต้องรู้เกี่ยวกับ COTI
เทคโนโลยีบัญชีแยกประเภทแบบกระจาย (DLT) คืออะไร?
ใครคือกลุ่มลาซารุส? มือปล้นที่อยู่เบื้องหลังการปล้นพันล้าน
Scams & Hacks
ข้อความสำคัญ
- กลุ่มลาซารุสเป็นทีมแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐเกาหลีเหนือ ที่รับผิดชอบในการโจรกรรมไซเบอร์มูลค่าพันล้านดอลลาร์ การดำเนินการของพวกเขาเป็นทุนให้กับโปรแกรมขีปนาวุธและนิวเคลียร์ของประเทศ
- Lazarus employs custom malware, zero-day vulnerabilities and spear-phishing campaigns to breach financial institutions, cryptocurrency exchanges and government agencies.
- การโจมตีที่น่าสังเกตเช่น การโจมตี Bybit มูลค่า 1.5 พันล้านดอลลาร์ (2025), การแฮ็ก Ronin Bridge มูลค่า 625 ล้านดอลลาร์ (2022) และการปล้นธนาคารแบงค็อกแห่งบังกลาเทศมูลค่า 101 ล้านดอลลาร์ (2016)
- กลุ่มใช้การสร้างความสับสน, ทางอ้อม, เทคนิคต้านการสืบสวนและเครื่องมือลบข้อมูลเพื่อซ่อนรอยเท้าและรักษาการเข้าถึงเครือข่ายที่ถูกคุกคามในระยะยาว
การโจมตีคริปโตของ Bybit เมื่อวันที่ 21 กุมภาพันธ์ 2025 ได้เริ่มต้นการเนรมิตความสนใจอีกครั้งให้กับกลุ่ม Lazarus ที่เป็นที่รู้จักด้วยการโจมตีร้ายแรงต่อธุรกิจคริปโต ตั้งแต่ปี 2017 กลุ่ม Lazarus ได้ขโมยเงินประมาณ 6 พันล้านดอลลาร์จากอุตสาหกรรมคริปโตตามไปที่ บริษัท วิเคราะห์บล็อกเชน Elliptic ไม่แปลกใจว่า Lazarus ได้รับชื่อเรียกว่า มหาวายร้ายในโลกคริปโต
เป็นหนึ่งในองค์กรผู้มีกิจกรรมทางไซเบอร์มากที่สุดในประวัติศาสตร์ กลุ่ม Lazarus ใช้เทคนิคการโจมตีขั้นสูงและบ่อนทำงานระดับหน้าสีขาวบ่อนจำกัดว่ามีการสนับสนุนจากรัฐอย่างเต็มที่
นี้เป็นเหตุการณ์ที่สำคัญที่ยกขึ้นเกี่ยวกับกลุ่มลาซารุส การดำเนินการโจมตีที่ซับซ้อนของ Bybit และการโจมตีที่เหมือนกันอื่น ๆ และวิธีการที่องค์กรด้านคริปโตสามารถต่อสู้กับการลุกลามที่กำลังเติบโตนี้ บทความนี้สำรวจเรื่องเหล่านี้และอื่น ๆ
ต้นกำเนิดและพื้นหลังของกลุ่มลาซารุส
กลุ่มลาซารุสเป็นนักแอคเตอร์ที่มีชื่อเสียงจากประเทศเกาหลีเหนือหรือเกาหลีเหนือที่ทำการสอดคล้องและหลงเหลวในการดักรับข้อมูลแบบไซเบอร์และการโอนเงินออกไป
Active since 2009, it is associated with the North Korean government’s Reconnaissance General Bureau (RGB), the nation’s primary intelligence agency. The advanced persistent threat (APT) group is known for staging sophisticated cross-platform attacks on financial institutions,บริษัทแลกเปลี่ยนสกุลเงินดิจิทัล, จุดสิ้นสุดของระบบ SWIFT, คาสิโน และ ATM ทั่วโลก
ความเชื่อมโยงของกลุ่มกับหน่วยข่าวสารของประเทศชี้ให้เห็นถึงการสนับสนุนจากรัฐ แฮกเกอร์ได้รับการสนับสนุนจากรัฐสำหรับกิจกรรมชั่วร้ายของพวกเขาซึ่งหมายความว่าพวกเขาสามารถดำเนินการโดยไม่กลัวหน่วยงานการอาญาท้องถิ่น กิจกรรมของพวกเขามุ่งเน้นไม่เพียงแต่การรวบรวมข้อมูลสารสนเทศเท่านั้น แต่ยังเพื่อจัดหาเงินทุนสำหรับโปรแกรมของประเทศที่เกี่ยวกับขีปนาวุธและนิวเคลียร์
หน่วยงานสืบสวนของสหรัฐ (FBI) เรียกกลุ่มลาซารัสว่าเป็น "องค์กรที่โจมตีด้วยการแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ" ผู้ถอดถอนตัวชาวเกาหลีเหนือ Kim Kuk-song ได้เปิดเผยว่าหน่วยงานนี้เป็นที่รู้จักในภายในว่า Office in North Korea 414
เมื่อผ่านมา กลุ่มลาซารุสได้เพิ่มความซับซ้อนและประสิทธิภาพของกลยุทธ์ของตน รวมถึงขอบเขตของกิจกรรมของตนอย่างมีนัยสำคัญ
คุณรู้หรือไม่? ศูนย์สารสนเทคโนโลยีของไมโครซอฟต์ได้ระบุทีมแฮ็กเกอร์ที่รู้จักกันด้วยชื่อว่า “Sapphire Sleet” เป็นกลุ่มอันตรายของเกาหลีเหนือที่มีส่วนร่วมอย่างมากในการปล้นสกุลเงินดิจิทัลและการแอบแฝงในองค์กร คำว่า “sleet” แสดงถึงความเชื่อต่อกับเกาหลีเหนือของกลุ่ม
วิธีการทำงานของกลุ่ม Lazarus คืออย่างไร?
เนื่องจากมีการสนับสนุนจากรัฐ กลุ่มลาซารุสมีทรัพยากรและความเชี่ยวชาญเพียงพอดำเนินการโจมตีไซเบอร์ซับซ้อนมันดำเนินการด้วยการดำเนินการหลายชั้น ซึ่งรวมถึงการพัฒนาและการใช้งานมัลแวร์ที่ปรับแต่งและการใช้งานช่องโหว่ zero-day คำว่า "ช่องโหว่ zero-day" หมายถึงช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์หรือฮาร์ดแวร์ที่ไม่เป็นที่รู้จักของผู้พัฒนา นี่หมายความว่าไม่มีการแก้ไขใด ๆ สำหรับมันหรือการเตรียมความพร้อมใด ๆ
ลัซารุสกรุ๊ปมีลัซารุสกรุ๊ปเป็นเครื่องหมายการสร้างมัลแวร์ที่ทันสมัย เช่น MagicRAT และ QuiteRAT ที่ออกแบบมาเพื่อซึมเซาะและควบคุมระบบเป้าหมาย พวกเขายังเคยทราบถึงการใช้ช่องโหว่ด้านความปลอดภัยที่ไม่รู้จักก่อนเพื่อละเมิดระบบก่อนที่จะมีการแก้ไขให้ใช้งานได้
Social engineering is another critical component of their strategy. It is about hackers using emotions to trick users and persuade them to perform a specific action, such as sharing crucial data. The Lazarus Group conducts spear-การโจมตีการหลอกเอาข้อมูล, ซึ่งส่งอีเมลฉ้อโกงถึงบุคคลที่ไม่สงสัยโดยปลอมตัวเป็นเครือข่ายของพวกเขาเพื่อกระตุ้นให้เปิดเผยข้อมูลลับ
ของพวกเขาความสามารถในการปรับตัวและเทคนิคที่ก้าวขึ้นทำให้กลุ่มลาซารุสเป็นอุปสรรค์ที่คงทนและน่าเกรงขามในภูมิทัศน์ความปลอดภัยระดับโลก
เหตุการณ์ปล้นยอดเยี่ยมโดยกลุ่มลาซารุส
ในระหว่างหลายปีที่ผ่านมา มีการโจมตีทางไซเบอร์จำนวนมากที่เกี่ยวข้องกับกลุ่มลาซารุส นี่คือบางการปล้นที่สำคัญที่ดำเนินการโดยกลุ่ม
การปล้นคริปโต
1. Bybit (February 2025)
Bybit, บริษัทแลกเปลี่ยนสกุลเงินดิจิตอลที่มีบทบาทดูไบประสบความเสียหายทางด้านความปลอดภัยอย่างมหาศาล, สูญเสีย $1.5 พันล้านดอลลาร์ในสินทรัพย์ดิจิทัลในเดือนกุมภาพันธ์ พ.ศ. 2568 ทำให้มันกลายเป็นการปล้นสำคัญที่สุดของสกุลเงินดิจิทัลจนถึงปัจจุบัน
การโจมตีเป้าหมายที่อินเทอร์เฟซ SafeWallet ที่ใช้โดยผู้บริหาร Bybit เพื่อดำเนินการทรัพย์สินที่ผิด ทุนที่ถูกขโมยโดยส่วนใหญ่เป็น Ether ถูกกระจ散ไปอย่างรวดเร็วทั่วทั้งกระเป๋าสตางค์หลายแห่งและถูกละทิ้งผ่านแพลตฟอร์มต่าง ๆ. ประธานบริษัท Bybit, Ben Zhou, ยืนยันให้ผู้ใช้มั่นใจว่ากระเป๋าเงินเย็นอื่น ๆ ยังคงปลอดภัยและการถอนเงินทำงานได้อย่างปกติ
บริษัทวิเคราะห์บล็อกเชน เช่น Elliptic และ Arkham Intelligence สืบค้นสินทรัพย์ที่ถูกขโมยและตีความว่าการโจมตีนี้เกิดจากกลุ่ม Lazarus ที่ได้รับการสนับสนุนจากรัฐเหนือเกาหลีเหนือ การแฮ็กนี้สร้างคลื่นการถอนเงินจาก Bybit ซึ่งกระตุ้นให้แลกเปลี่ยนหาเงินกู้เพื่อครอบคลุมความสูญเสีย
2. WazirX (กรกฎาคม 2024)
ในเดือนกรกฎาคม 2024 WazirX ซึ่งเป็นการแลกเปลี่ยนสกุลเงินดิจิทัลที่ใหญ่ที่สุดของอินเดียประสบกับการละเมิดความปลอดภัยที่สําคัญส่งผลให้สูญเสียสินทรัพย์ดิจิทัลประมาณ 234.9 ล้านดอลลาร์ การโจมตีดังกล่าวมีสาเหตุมาจากกลุ่มลาซารัสของเกาหลีเหนือเกี่ยวข้องกับเทคนิคฟิชชิ่งที่ซับซ้อนและการแสวงหาประโยชน์จาก API
มือโจมตีได้ทำให้ระบบกระเป๋าเงินมัลติซิกเนเจอร์ของ WazirX ถูกปรับแต่งโดยไม่ได้รับอนุญาตให้เข้าถึงกระเป๋าเงินร้อนและเย็น การละเมิดนี้ทำให้ต้องระงับกิจกรรมการซื้อขายและกระตุ้นทวงถามทางกฎหมาย รวมถึงคดีต่างๆ เช่น คดีที่ถูกดำเนินการโดยแลกเปลี่ยนสกุลเงินเสมือน CoinSwitch ซึ่งกำลังพยายามกู้คืนเงินที่ติดขัดมูลค่า 9.65 ล้านดอลลาร์
ในเดือนมกราคม 2025 ศาลสูงสิงคโปร์ได้อนุมัติแผนโครงสร้างองค์กรของ WazirX ซึ่งอนุญาตให้บริษัทเข้าพบกับเจ้าหนี้เพื่อหารวยกู้คืน
3. Stake.com (กันยายน 2023)
ในเดือนกันยายน 2023 กลุ่มได้ฝ่าเข้าไปใน Stake.com แพลตฟอร์มการพนันคริปโตเคอร์เรนซี โดยการเข้าถึงและใช้ข้อมูลที่ถูกโจมตีคีย์ส่วนตัว. นี้ช่วยให้พวกเขาสามารถดูดซึมเงิน 41 ล้านดอลลาร์ทั่วทั้งบนเครือข่ายบล็อกเชน
The US FBIattributedการโจรกรรมนี้ถูกติดตามไปสู่กลุ่ม Lazarus หรือที่รู้จักกันในนาม APT38 สินทรัพย์ที่ถูกขโมยได้ถูกติดตามไปทั่วเครือข่ายบล็อกเชนหลายราย เช่น Ethereum, BNB Smart Chain และ Polygon
4. CoinEx (กันยายน 2023)
ในภายหลังในเดือนกันยายน พ.ศ. 2566 CoinEx ซึ่งเป็นบริษัทแลกเปลี่ยนสกุลเงินดิจิทัลระดับโลก รายงานว่ามีการทำธุรกรรมที่ไม่ได้รับอนุญาต导致ขาดทุนประมาณ 54 ล้านเหรียญ
การสอบสวนโดยนักวิเคราะห์บล็อกเชน รวมถึงนักวิเคราะห์ออนเชน ZachXBT,เปิดเผยรูปแบบกระเป๋าเงินและพฤติกรรมบนเชนเชื่อมโยงการละเมิดนี้กับการ hack ของ Stake.com ก่อนหน้านี้ แนะนำถึงความพยายามที่ประสบความสำเร็จโดยกลุ่ม Lazarus
5. CoinsPaid and Alphapo (กรกฎาคม 2023)
ในวันที่ 22 กรกฎาคม 2023 CoinsPaid ประสบการณ์การโจมตีไซเบอร์ที่วางแผนอย่างพิถีพิถันทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่ทำให้เกิดการโจมตีที่
ในขณะที่ถูกโจมตี พบการเพิ่มขึ้นของกิจกรรมในเครือข่ายที่ไม่ธรรมดา โดยมีมากกว่า 150,000 ที่อยู่ IP ที่มีส่วนร่วม ผลกระทบกับการเสียเสียงทางการเงินอย่างมาก ทีมงานภายในของ CoinsPaid ทำงานอย่างขยันเพื่อเสริมระบบของพวกเขา โดยทำให้เงินของลูกค้ายังคงไม่ได้รับผลกระทบและสามารถใช้งานได้อย่างเต็มที่
ในวันเดียวกัน Alphapo ผู้ให้บริการชำระเงินด้านสกุลเงินดิจิทัลที่มีศูนย์กลางสำหรับแพลตฟอร์มออนไลน์ต่าง ๆ ประสบปัญหาความปลอดภัยในวันที่ 23 กรกฎาคม 2023 รายงานเบื้องต้นประมาณว่าขาดทุนประมาณ 23 ล้านเหรียญ อย่างไรก็ตามการสืบสวนเพิ่มเติมพบว่ายอดเงินทั้งหมดที่ถูกขโมยเกิน 60 ล้านเหรียญ นักวิเคราะห์บล็อกเชนได้กล่าวว่าการโจมตีนี้เกิดจากกลุ่มลาซารุส โดยระบุว่าเงินที่ถูกขโมยได้ถูกติดตามไปยังหลายที่อย่างและโซ่
6. สะพานประตูชัยราชนครินทร์ (มิถุนายน 2565)
กลุ่มลาซารุสใช้ช่องโหว่ใน Horizon Bridge ของ Harmony ในเดือนมิถุนายน 2022 ผ่านการวิศวกรรมสังคมและการบุกรุกกระเป๋าเงินมัลติซิกเนเจอร์ พวกเขาหนีไปพร้อมกับ $100 ล้าน โดดเดี่ยวเน้นถึงความเสี่ยงที่เกี่ยวข้องกับสะพานครอสเชน (การอ faciliting การโอนเงินระหว่างเครือข่ายเช่น Ethereum, Bitcoin และ BNB Smart Chain)
ผู้โจมตีใช้ประโยชน์จากจุดอ่อนด้านความปลอดภัยโดยเข้าควบคุมกระเป๋าเงินหลายลายเซ็นที่ใช้ในการอนุญาตการทําธุรกรรม การละเมิดนี้ทําให้พวกเขาสามารถดูดเงินได้ประมาณ 100 ล้านดอลลาร์ในสกุลเงินดิจิทัลต่างๆ ทรัพย์สินที่ถูกขโมยถูกฟอกผ่านเครื่องผสม Tornado Cash ทําให้ความพยายามในการติดตามมีความซับซ้อน Elliptic เป็นหนึ่งในกลุ่มแรกๆ ที่กล่าวถึงการโจมตีครั้งนี้กับ Lazarus Group ซึ่งเป็นการประเมินที่ได้รับการยืนยันในภายหลังโดย FBI ในเดือนมกราคม 2023
7. สะพาน Ronin (มีนาคม 2022)
ในเดือนมีนาคม 2022 สะพาน Ronin, หนึ่งสะพาน crosschainsupporting the Axie Infinity game,ประสบความเสี่ยงด้านความปลอดภัยที่สำคัญที่มือของกลุ่มเลซารัส ซึ่งส่งผลให้มีการปล้นขโมยเงินสกุลดิจิตอลประมาณ 625 ล้านเหรียญ
เครือข่าย Ronin ดำเนินการด้วยผู้ตรวจสอบเก้าคน โดยต้องการอย่างน้อยห้าลายเซ็นเจอร์เพื่ออนุมัติธุรกรรม ผู้โจมตีสามารถควบคุมกว่าห้ากุญแจส่วนตัวทำให้พวกเขาสามารถอนุมัติการถอนเงินโดยไม่ได้รับอนุญาต
ฮากเกอร์ได้ล่วงลวงพนักงานของ Sky Mavis ด้วยข้อเสนองานที่เป็นปลอม โดยส่ง PDF ที่ติดมัลแวร์ที่ทำให้ระบบภายในของบริษัทเสี่ยงต่อการถูกบุกรุก การเข้าถึงนี้ทำให้ผู้โจมตีสามารถเคลื่อนที่ไปในเครือข่ายได้ การรับควบคุมของสี่ผู้ตรวจสอบที่ดำเนินการโดย Sky Mavis และผู้ตรวจสอบเพิ่มเติมที่ได้รับการจัดการโดย AxieDAO (องค์กรอิสระท้องถิ่น).
กลุ่มนี้ผสานการทำเทคนิคทางเทคนิคกับความชำนาญทางเทคนิคเพื่อดำเนินการแฮ็กล้มล้าง Ronin Bridge
8. Atomic Wallet (2022)
ตลอดปี 2022 ผู้ใช้ Atomic Wallet แอปพลิเคชันเก็บเงินดิจิทัลที่กระจายอยู่ กลายเป็นเหยื่อของการโจมตีต่อเนื่องที่ถูกจัดทำโดยกลุ่ม Lazarus
ผู้แฮกเกอร์ได้ใช้มัลแวร์ที่ปรับแต่งเพื่อบุกรุกกระเป๋าเงินรายบุคคล โดยผลที่เกิดขึ้นเป็นการสูญเสียที่ประมาณระหว่าง 35 ล้านถึง 100 ล้านเหรียญดอลลาร์ บริษัท Elliptic ได้เชื่อมโยงการละเมิดเหล่านี้กับกลุ่ม Lazarus โดยการตามรอยการเคลื่อนไหวของเงินที่ถูกขโมยและการระบุรูปแบบการซักรีที่สอดคล้องกับกิจกรรมก่อนหน้าของกลุ่ม
9. บิทฮัมบ์ แลกเชน (กรกฎาคม 2017)
ในเดือนกรกฎาคม ค.ศ. 2017 กลุ่มลาซารุส ปฏิบัติการโจมตีการตั้งกระสุนด้วยการโจมตีการหลอกลวงผ่านอีเมล (spear-phishing) บน Bithumb ซึ่งเป็นอีกหนึ่งตลาดแลกเปลี่ยนเงินดิจิทัลขนาดใหญ่ของเกาหลีใต้
โดยการทำศึกษาระบบภายในของตลาดซื้อขาย พวกเขาสามารถขโมยเงินสกุลเงินดิจิตอลประมาณ 7 ล้านเหรียญ ซึ่งเหตุการณ์นี้เป็นการเข้าถึงของกลุ่มหนึ่งที่สำคัญและเริ่มต้นในอุตสาหกรรมสินทรัพย์ดิจิตอลที่กำลังเติบโต
10. แลกเปลี่ยน Youbit (เมษายนและธันวาคม 2017)
กลุ่มลาซารุส ดำเนินการทำลายทางไซเบอร์ที่สำคัญสองครั้งกับตลาดแลกเปลี่ยน Youbit ในเกาหลีใต้ในปี 2017 การโจมตีครั้งแรกในเดือนเมษายนเกี่ยวข้องกับการใช้มัลแวร์และเทคนิคการล่อลวง ทำให้ความปลอดภัยของตลาดแลกเปลี่ยนถูกขัดข้อง และส่งผลให้สูญเสียสินทรัพย์มากมาย
การโจมตีต่อมาในเดือนธันวาคม ทำให้สูญเสียทรัพย์สินรวม 17% ของ Youbit การกดดันทางการเงินจากการบุกรุกต่อเนื่องเหล่านี้ทำให้ต้องประกาศล้มละลาย โดยย้ำย้ำถึงผลกระทบที่รุนแรงของกิจกรรมไซเบอร์ของกลุ่มนี้ต่อแพลตฟอร์มสินทรัพย์ดิจิทัล
คุณทราบหรือไม่? เกาหลีเหนือใช้คนงานด้านเทคโนโลยีสารสนเป็นพันๆคนทั่วโลก รวมถึงในประเทศรัสเซียและจีน เพื่อทำรายได้ พวกเขาใช้โปรไฟล์ที่สร้างด้วย AI และสร้างตัวตนที่ถูกขโมยเพื่อหางานด้านเทคโนโลยีที่มีรายได้สูง ทำให้พวกเขาสามารถขโมยทรัพย์สินทางปัญญา ขู่เจ้านาย และส่งเงินให้กับเผด็จการ
การปล้นร้ายอีกที่สำคัญ
1. WannaCry (พฤษภาคม 2560)
The WannaCryการโจมตีแรนซัมแวร์ เป็นเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ครั้งใหญ่ที่ส่งผลกระทบต่อองค์กรทั่วโลก เมื่อวันที่ 12 พฤษภาคม 2017 หนอนแรนซัมแวร์ WannaCry ติดไวรัสคอมพิวเตอร์มากกว่า 200,000 เครื่องใน 150+ ประเทศ เหยื่อรายใหญ่ ได้แก่ FedEx, Honda, Nissan และ National Health Service (NHS) ของสหราชอาณาจักร ซึ่งต้องเปลี่ยนเส้นทางรถพยาบาลเนื่องจากระบบหยุดชะงัก
นักวิจัยด้านความปลอดภัยค้นพบ "kill switch" ที่หยุดการโจมตีชั่วคราว แต่ระบบมากมีการล็อคที่ยังคงอยู่จนกว่าเหยื่อจะจ่ายค่าไถ่ครองหรือหาวิธีในการกู้คืนข้อมูลของพวกเขา วานนาครายหลุดใช้ช่องโหว่ที่เรียกว่า "EternalBlue" ซึ่งเป็นการโจมตีที่พัฒนาขึ้นเริ่มแรกโดยหน่วยงานการรัฐบาลสหรัฐอเมริกา (NSA)
ช่องโหว่นี้ถูกโจมตีภัยโดย Shadow Brokers และถูกรั่วไหลในภายหลัง WannaCry เน้นหมุนเวียนไปที่ระบบ Microsoft Windows เวอร์ชันเก่าที่ยังไม่ได้รับการแก้ไข ทำให้การแพร่กระจายเร็วขึ้นและสร้างความเสียหายอย่างแพร่หลาย การโจมตีเน้นที่ความจำเป็นของการอัพเดตซอฟต์แวร์แบบเป็นประจำและการตระหนักด้านความมั่นคงปลอดภัยของข้อมูล
2. ธนาคารประเทศบังกลาเท่ากับ (กุมภาพันธ์ 2016)
ในเดือนกุมภาพันธ์ 2016 ธนาคารแห่งบังกลาเดช ประสบการณ์การโจรกรรมไซเบอร์ที่สำคัญ โดยมีผู้โจมตีพยายามขโมยเงินเกือบ 1 พันล้านดอลลาร์จากบัญชีของมันที่ธนาคารสำรองสหรัฐฯ ณ นิวยอร์ก ผู้กระทำความผิดภัยที่ตรวจจับภายหลังเป็นกลุ่มลาซารุส ที่แทรกเข้าระบบของธนาคารในเดือนมกราคม 2015 ผ่านไฟล์แนบที่เป็นอันตราย พวกเขาศึกษาการดำเนินงานของธนาคาร โดยสุดท้ายเริ่มเรียกใช้ 35 คำขอโอนเงินปลอมผ่านเครือข่าย SWIFT
ขณะที่มีบล็อกไว้ส่วนใหญ่ มีการทำธุรกรรม 5 ครั้งทั้งหมดรวมถึง $101 ล้าน ที่ประสบความสำเร็จ โดยมียอดเงิน $81 ล้าน ไปถึงบัญชีในฟิลิปปินส์ ข้อผิดพลาดในการพิมพ์ในคำขอการโอนเงินหนึ่งรายการเสียงสงสัย ทำให้ไม่สามารถทำการปล้นที่เต็มรูปแบบ
3. ภาพยนตร์โซนี่ (พฤศจิกายน 2014)
ในเดือนพฤศจิกายน ค.ศ. 2014 บริษัท Sony Pictures Entertainment ประสบการณ์การโจมตีไซเบอร์ที่สำคัญโดย Guardians of Peace ซึ่งมีความเชื่อมโยงกับ Lazarus Group ผู้โจมตีซึ่งเข้าสู่เครือข่ายของ Sony และเข้าถึงข้อมูลที่ลับมากมายรวมถึงภาพยนตร์ที่ยังไม่ได้เปิดเผย ข้อมูลข้างขึ้นของพนักงานและการสื่อสารภายใน
กลุ่มนี้ยังใช้มัลแวร์ในการโจมตีซึ่งทำให้เกิดความเสียหายให้กับคอมพิวเตอร์ของ Sony ประมาณ 70% ไม่สามารถใช้งานได้ ความเสียหายทางการเงินจากการเจาะระบบมีขนาดใหญ่ โดย Sony รายงานว่าขาดทุนถึง 15 ล้านเหรียญ ซึ่งรายงานโดยอื่นๆ ระบุว่าต้นทุนในการกู้คืนอาจเกินกว่า 85 ล้านเหรียญ
แรงบันดาลใจของการโจมตีคือการแก้แค้นต่อการวางแผนการเปิดตัวของ Sony ในการฉาย The Interview ภาพยนตร์ตลกที่เล่าเรื่องการลอบสังหารผู้นำเกาหลีเหนือ คิม จง อึน
นโยบายปกครองอเหนกเหตุการณ์ แต่รัฐบาลสหรัฐอเมริกาได้ตีความเหตุการณ์ว่าเป็นผลจากผู้มีเสน่ห์จากเหตุการณ์ประเทศเหนือ โดยเน้นให้เห็นถึงความสามารถของกลุ่มลาซารุสในการดำเนินการซีเบิร์ที่ซับซ้อนด้วยผลกระทบทางการเมืองที่สำคัญ
คุณรู้หรือไม่? เมื่อสิงหาคม 2024 ZachXBT เปิดเผยว่ามีนักพัฒนา 21 คนจากเหนือเกาหลีที่แอบแทรกเข้าไปใน crypto startups และได้รับรายได้ 500,000 ดอลลาร์ต่อเดือน
FBI ระบุชื่อ Lazarus Group ที่เป็นแฮกเกอร์หลัก คนที่อยู่เบื้องหลังการโจมตีไซเบอร์ใหญ่
หน่วยงาน FBI ได้ระบุตัวตนสามคนที่เชื่อว่าเป็นแฮ็กเกอร์ชาวเหนือเกาหลี ที่เป็นสมาชิกของกลุ่ม Lazarus ในทางสาธารณะ
ในเดือนกันยายน 2018 ฝ่ายการสืบสวนอาชญากรรมแห่งชาติ (FBI) กล่าวหา Park Jin Hyok ชาวเกาหลีเหนือที่เชื่อมโยงกับ Lazarus ในบทบาทที่เขาถูกกล่าวหา ทำให้เกิดการโจมตีไซเบอร์ที่สำคัญ Park ซึ่งเป็นพนักงานของ Chosun Expo Joint Venture บริษัทหน้าที่เกาหลีเหนือ ถูกเชื่อมโยงกับการแฮ็กซอนี่พิคเจอร์สปอร์ตส์และการปล้นธนาคารของบังคลาเดชในปี 2016 ที่เกิดการปล้นเงินรวม 81 ล้านเหรียญ
FBIยังกล่าวหา Park เกี่ยวกับความสัมพันธ์กับการโจมตี ransomware รุ่น 2.0 ของ WannaCry ในปี 2017 ซึ่งทำให้โรงพยาบาลต่างๆ รวมถึง NHS ของสหราชอาณาจักรถูกขัดจังหวะ ผู้สืบสวนตามรอยเขาและเพื่อนร่วมทางผ่านรหัส malware ที่ถูกแชร์กัน, การเก็บรักษา credential ที่ถูกขโมย และบริการโปรกซี่ที่ปกป้อง IP ของเกาหลีเหนือและจีน
ในเดือนกุมภาพันธ์ 2021 กรมยุติธรรมของสหรัฐฯ ได้กล่าวหา Jon Chang Hyok และ Kim Il สำหรับความมั่นใจของพวกเขาในการกระทำออกไปโดยการทำผิดกฎหมายทางไซเบอร์ระดับโลก Jon ได้พัฒนาและแพร่กระจายแอปพลิเคชันคริปโตที่ไม่ดีเพื่อซึ่งเข้าไปในสถาบันการเงินในขณะที่ Kim กำ coordinate การกระจาย malware, การปล้นคริปโต และการเสนอ initial coin offering ของ Marine Chain อย่างทุกข์
ยุทธวิธีทั่วไปที่ใช้โดยกลุ่มลาซารุส
กลุ่มเลซารุสใช้กลยุทธ์หลากหลายวิธีเพื่อดำเนินการโจมตีทางไซเบอร์อย่างชาญฉลาด ซึ่งรวมถึงกลยุทธ์การรบกวน การเลี่ยงทาง การต่อต้านการสืบสวนและเทคนิคการป้องกัน
ความขัดแย้ง
Lazarus conducts disruptive attacks usingการปฏิบัติการปฏิเสธการให้บริการแบบกระจาย (DDoS)และมัลแวร์ wiper ที่มีตัวกระตุ้นตามเวลา เช่น ตลอดจน trojan KILLMBR ลบข้อมูลในระบบเป้าหมายในวันที่ตั้งไว้ ในขณะที่ QDDOS มัลแวร์ ลบไฟล์หลังจากถูกติดเชื้อ อีกเครื่องมือหนึ่ง DESTOVER ทำหน้าที่เป็นประตูหลัง แต่ยังมีความสามารถในการลบ ยุทธวิธีเหล่านี้มุ่งเน้นทำให้ระบบเสียหายและทำให้ไม่สามารถใช้งานได้
การชะตากรรม
เพื่อทำให้ความเกี่ยวข้องของพวกเขามัวลง, ลาซารุสปลอมแอทแทคบางรายให้ดูเหมือนว่าเป็นงานของกลุ่มจินตจาการเช่น 'GOP', 'WhoAmI' และ 'New Romanic Army' กลุ่มเหล่านี้อ้างว่ารับผิดชอบในการโจมตีในขณะที่ลาซารุสเป็นผู้เล่นที่อยู่เบื้องหลังเกมพวกเขาอาจจะทำลายเว็บไซต์ด้วยโปรพาแกนด้านบางส่วน ลาซารุสยังซ่อนฝ่ายธงเท็จในมัลแวร์ของตนเอง เช่น การใช้คำภาษารัสเซียที่ถอดรหัสเป็นตัวย่อของรัสเซียในช่องโหว่ KLIPOD
Backdoors
Lazarus พึ่งพาทางหลังสำหรับการเข้าถึงระบบที่ถูกบุกรุกอย่างต่อเนื่อง โดยการใช้เครื่องมือเช่น Manuscrypt (NukeSped) backdoor ในแคมเปญการโจมตีฟิชชิ่ง และ BLINDINGCAN และ COPPERHEDGE implants ต่อเป้าหมายทางกันเรือ
เทคนิคต้านการสืบสวน
เพื่อปิดทางตัวของพวกเขา, ลาซารุสใช้เทคนิคต้านการสืบสวนหลายอย่าง:
- การแยกส่วน: ในการดำเนินการที่เกี่ยวข้องกับกลุ่มย่อย Bluenoroff ของ Lazarus มันแยกส่วนองค์ประกอบของมัลแวร์เพื่อขัดขวางการวิเคราะห์
- เครื่องมือบรรทัดคำสั่ง: การโจมตีหลายรูปแบบพึ่งพาไปยัง backdoor และตัวติดตั้งที่ต้องการอาร์กิวเมนต์เฉพาะ ตัวอย่างเช่นตัวติดตั้งของกรอบการทำงาน Nestegg ต้องการรหัสผ่านเป็นอาร์กิวเมนต์
- Wipers: Lazarus ใช้ wipers เพื่อลบหลักฐานของการโจมตีหลังจากการดำเนินการเสร็จสมบูรณ์ ตัวอย่าง DESTOVER ถูกเห็นในการดำเนินการของ Bluenoroff บางรายการ
- การลบบันทึกและบันทึก: ลาซารุสลบข้อมูล prefetch, บันทึกเหตุการณ์ และบันทึกของ Master File Table (MFT) เพื่อลบหลักฐานเชิงพิสูจน์
โดยผสมผสานเทคนิคเหล่านี้ ลาซารุสสร้างความวุ่นวายให้เป้าหมาย ลวงลวงการพิสูจน์ตัวตน และปกปิดกิจกรรมของมันอย่างมีประสิทธิภาพ
วิธีป้องกันการโจมตีของกลุ่ม Lazarus
การป้องกันต่อต้านอันตรายที่เกิดจากกลุ่มลาซารัส ต้องใช้กลยุทธ์ด้านความปลอดภัยที่ครอบคลุม องค์กรต้องดำเนินการใช้ชั้นการป้องกันหลายชั้นเพื่อป้องกันสินทรัพย์ดิจิตอลของตนจากการโจมตีไซเบอร์ที่ซับซ้อน
มาตรการป้องกันสำคัญที่คุณต้องนำมาใช้ รวมถึง:
- การป้องกัน DDoS: องค์กรควรใช้กลยุทธ์การบรรเทาที่แข็งแกร่งเพื่อป้องกันการขัดข้องในการให้บริการและความเสี่ยงในการละเมิดข้อมูลที่เป็นไปได้ การระบุล่วงหน้าและปลดปล่อยการโจมตีเช่นนี้เป็นสิ่งสำคัญ
- ข้อมูลสารสนเทศเกี่ยวกับความเสี่ยง: การใช้ข้อมูลสารสนเทศเกี่ยวกับความเสี่ยงช่วยตรวจจับและตอบสนองต่อความเสี่ยงด้านไซเบอร์ เช่น การโจมตีแบบแรนซัมแวร์และ DDoS คุณต้องทราบเกี่ยวกับกลยุทธ์ที่เปลี่ยนแปลงไปของลาซารุสเพื่อดำเนินการของพวกเขา
- การป้องกันสินทรัพย์: สถาบันการเงิน บริษัทแลกเปลี่ยนเงินสกุลดิจิทัลและเป้าหมายค่าเงินมูลค่าสูงอื่น ๆ ต้องรักษาสินทรัพย์ดิจิทัลสำคัญจากการโจมตีของลาซารุส การป้องกันจุดปลายทางระบบ SWIFT เอทีเอ็ม และโครงสร้างพื้นฐานทางการเงินเป็นสิ่งสำคัญ
- การตรวจจับอันตรายอย่างต่อเนื่อง: การตรวจจับอุปกรณ์พื้นฐานของเครือข่ายอย่างต่อเนื่องจำเป็นต้องมีเพื่อตรวจจับและบรรเทาการบุกรุกที่เป็นไปได้ ทีมด้านความปลอดภัยต้องให้ความสำคัญในการตรวจสอบให้แน่ใจว่าระบบทั้งหมดได้รับการอัปเดตอย่างสม่ำเสมอด้วยเวอร์ชันล่าสุดเพื่อลดความเป็นอยู่ในช่องโหว่
- โซลูชันความปลอดภัยหลายชั้น: โซลูชันความปลอดภัยขั้นสูง เช่น การรวมการวิเคราะห์พฤติกรรม การเรียนรู้ของเครื่องและการป้องกันการโจมตี เพิ่มความปลอดภัยในการป้องกันการโจมตีที่เป็นเป้าหมาย เครื่องมือที่มีการรวมเข้ากับทราบายและการป้องกันการโจมตีแบบแรนซัมแบบลอย
- การป้องกันเรียลไทม์: เมื่อเกิดการโจมตีที่ซับซ้อน คุณต้องการการป้องกันแบบเรียลไทม์ ต่อต้านการโจมตีเป้าหมาย คุณควรสามารถตรวจจับการโจมตีเป้าหมายที่ใดก็ได้ในเครือข่ายโดยใช้เทคนิครุ่นใหม่เพื่อนำเทคโนโลยีที่เหมาะสมมาใช้ในเวลาที่เหมาะสม
อย่างไรก็ตาม เนื่องจากเทคโนโลยีเป็นสาขาที่พัฒนาอย่างรวดเร็วและฮากเกอร์ยังคงพัฒนาเวกเตอร์ภัยใหม่ บุคคลและองค์กรควรเป็นคนกระตือรือร้นและตรวจสอบภัยที่เกิดขึ้นอย่างต่อเนื่อง
เป็นศาสตราจารย์บิล บิวแคนแนนผู้เชี่ยวชาญด้านการใช้ในการเข้ารหัสข้อมูลเน้น, “เราต้องลงทุนอย่างหนักในด้านความมั่นคงของระบบสารสนเทศ มิฉะนั้นเรากำลังเดินทางสู่โลกที่ได้รับคุ้มครองโดยจอร์จ ออเวลล์ในปี 1984 หรือโลกที่เรากลายเป็นทาสของเครื่องจักร”
คำแถลงนี้เน้นถึงผลกระทบที่ลึกล้ำของการทำละเว้นดูแลระบบความปลอดภัยและความจำเป็นของการลงทุนในมาตรการป้องกันอย่างต่อเนื่อง
Remember, the battle against such sophisticated threat actors is not one of a single defense but of an ongoing strategy involving prevention, detection and rapid response.
ในที่สุดการป้องกันตัวจากกลุ่มลาซารุส ต้องใช้ความระมัดระวัง เครื่องมือด้านความปลอดภัยขั้นสูงและการมุ่งมั่นขององค์กรที่ต้องการการปรับปรุงอย่างต่อเนื่อง มีเพียงแต่ผ่านความพยายามร่วมนี้ธุรกิจและสถาบันจึงสามารถป้องกันสินทรัพย์ของพวกเขา รักษาความเชื่อมั่น และอยู่ข้างหน้าของผู้ก่อการร้ายทางไซเบอร์
คำประกาศ:
- บทความนี้ถูกนำมาจาก [CoinTelegraph]. All copyrights belong to the original author [Dilip Kumar Patairya]. If there are objections to this reprint, please contact the Gate Learnทีม และพวกเขาจะดำเนินการโดยเร่งด่วน
- คำประกาศความรับผิด: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่เป็นที่ปรึกษาด้านการลงทุนใด ๆ
- การแปลบทความเป็นภาษาอื่นๆ นำมาทำโดยทีม Gate Learn หากไม่ได้ระบุไว้ การคัดลอก การกระจายหรือการลอกเลียนบทความที่ถูกแปลนั้นถือเป็นการละเมิดลิขสิทธิ์
相关文章
การใช้ Bitcoin (BTC) ในเอลซัลวาดอร์ - การวิเคราะห์สถานะปัจจุบัน
โคติคืออะไร? สิ่งที่คุณต้องรู้เกี่ยวกับ COTI