Executive Summary
ทางศูนย์ CSOC พบรายงานการแจ้งเตือนจาก SentinelOne ที่ได้รายงานถึงกิจกรรมที่ถูกจัดตั้งโดย ScarCruft
ทำให้องค์กรสื่อและผู้เชี่ยวชาญด้านความปลอดภัยของเกาหลีเหนือที่ตกเป็นเหยื่อ ซึ่งนักวิจัยของ SentinelOne
Aleksandar Milenkoski และ Tom Hegel รายงานว่า ScarCruft ได้ทดลองใช้เส้นทางการติดเชื้อใหม่รวมถึงการใช้
รายงานการวิจัยที่เกี่ยวกับ Technical threat ที่เป็นกุญแจสำคัญที่เป็นไปได้สำหรับเป้าหมายที่เป็นผู้ใช้งานข้อมูลเกี่ยวกับ
ความเสี่ยง เช่น ผู้เชี่ยวชาญด้านความมั่นคง โดย ScarCruft ซึ่งเป็นผู้ที่เกี่ยวข้องกับเหตุการณ์ต่างๆ ก่อนหน้านี้ โดยมี
ชื่อเสียงอย่าง APT37, InkySquid, RedEyes, Ricochet Chollima และ Ruby Sleet ถูกประเมินว่าเป็นส่วนหนึ่งของ
กระทรวงความมั่นคงของรัฐ(MSS) ทำให้ต่างจาก Lazarus Group และ Kimsuky ซึ่งเป็นองค์ประกอบภายในของการ
ขนส่งข้อมูลข่าวสาร Reconnaissance General Bureau (RGB) โดยกลุ่มนี้มีชื่อเสียงที่ก าหนดเป้าหมายที่เป็นรัฐและผู้
หลบหนีโดยใช้กลไก Spear-phishing lures เพื่อส่ง RokRAT และ backdoors โดยมีวัตถุประสงค์คือการเก็บข้อมูลลับ
เพื่อใช้หาประโยชน์ทางยุทธภัณฑ์ของเกาหลีเหนือ ซึ่งในเดือนสิงหาคม 2566 ScarCruft ถูกเชื่อมโยงกับการโจมตีบน
NPO Mashinostroyeniyaและบริษัทวิศวกรรมขีปนาวุธรัสเซียพร้อมกับ Lazarus Group ถูกกล่าวว่าเป็นภารกิจการสอด
แนมที่มีลักษณะที่ดีที่ออกแบบมาเพื่อประโยชน์ในโปรแกรมขีปนาวุธ ซึ่งในต้นสัปดาห์ที่ผ่านมาสื่อรัฐบาลเกาหลีเหนือ
รายงานว่าประเทศได้ท าการทดสอบระบบอาวุธนิวเคลียร์ใต้น้ำโดยตอบโต้ต่อการฝึกซ้อมของสหรัฐ เกาหลีใต้และญี่ปุ่น
โดยอธิบายว่าการฝึกซ้อมเป็นอันตรายต่อความมั่นคงของประเทศ
การโจมตีล่าสุดที่ SentinelOne สังเกตเห็นเป้าหมายที่เป็นนักวิชาการด้านเกาหลีเหนือโดยวางตัวในฐานะ
สมาชิกของสถาบันวิจัยเกาหลีเหนือเพื่อกระตุ้นให้ผู้รับเปิดไฟล์ ZIP ที่มีเอกสารนำเสนอ โดย SentinelOne รายงานว่าจาก
ไฟล์ทั้งหมดในเอกสารมี 9 ไฟล์ มี 7 ไฟล์ที่ไม่มีอันตรายและ2 ไฟล์เป็นไฟล์ malicious Windows shortcut (LNK) ซึ่งเป็น
เป็นล าดับการติดเชื้อหลายขั้นตอนที่ Check Point เพื่อกระจาย RokRAT backdoor และ SentinelOneรายงานว่าการ
ตรวจสอบยังค้นพบมัลแวร์2 ไฟล์ LNK inteligence.lnk และ news.lnk รวมทั้ง shellcode variants ที่ให้ RokRATซึ่งเป็น
ส่วนหนึ่งของกระบวนการวางแผนและทดสอบ ในขณะที่ไฟล์ LNK ตัวแรกเปิด Notepad แอปพลิเคชันที่ถูกต้องเท่านั้น แต่
shellcode ที่ทำงานผ่าน news.lnk จะเปิดทางให้ RokRAT ด าเนินการ แม้ว่าขั้นตอนการติดเชื้อนี้ยังไม่ได้รับการสังเกตแต่
มีข้อบ่งชี้ว่ามีแนวโน้มที่จะใช้สำหรับอนาคต สิ่งนี้ได้เพิ่มความเป็นไปได้สำหรับการรวบรวมข้อมูลที่สามารถช่วยปรับปรุง
Playbook ในการปฏิบัติงานและก าหนดเป้าหมายที่เฉพาะเจาะจงผ่านเทคนิค Brand impersonation
ศูนย์ CSOC แนะนำให้ลูกค้าตรวจสอบรายละเอียดด้านความปลอดภัยของอุปกรณ์ที่ใช้งานภายในการองค์กร
รวมถึงตรวจสอบไฟล์ที่อาจมีความเสี่ยงที่เป็น Malicious Windows Shortcutซึ่งเป็นความเสี่ยงที่อาจทำให้เกิดการโจมตี
แบบ Shellcode และเพื่อลดความเสี่ยงที่อาจเกิดขึ้น ทั้งนี้ช่องโหว่นี้เป็นช่องโหว่ที่ก่อให้เกิดความเสี่ยงที่ยอมรับไม่ได้ต่อ
องค์กรควรต้องมีการดำเนินการตรวจสอบเพื่อลดความเสี่ยง ทั้งนี้ในช่วงเวลาที่รายงานฉบับนี้ออก (22 ม.ค. 2567) และยัง
พบ Proof-of-concept code สำหรับการโจมตีช่องโหว่นี้และยังพบรายงานเกี่ยวกับการโจมตีช่องโหว่เหล่านี้ในอินเทอร์เน็ต
รายละเอียดของช่องโหว่โดยสรุป
• ผลิตภัณฑ์ที่ได้รับผลกระทบ: Windows
• หน่วยงานที่ออกคำแนะนำด้านความปลอดภัย
• ผลกระทบ (Impact): Malicious Windows Shortcut, Malicious Windows Shortcut
• การแก้ไขปัญหา:
o การอัพเดตระบบปฏิบัติการ โปรแกรมและแอปพลิเคชันทุกตัวบนอุปกรณ์เป็นเวอร์ชันล่าสุดเพื่อช่วย
ป้องกันการโจมตีที่ใช้ช่องโหว่ที่มีอยู่ในเวอร์ชันที่เก่า
o ติดตั้งและใช้โปรแกรม Antivirus, Anti-malware ที่มีการอัพเดตอยู่เสมอ
o ระมัดระวังในคลิกลิงค์หรือเปิดไฟล์จากแหล่งที่ไม่น่าเชื่อถือและควรตรวจสอบความถูกต้องของ
แหล่งที่มา
o การสำรองข้อมูลสำคัญและเก็บไฟล์สำรองนอกเครื่องเพื่อลดผลกระทบที่ได้รับจากความเสี่ยงที่อาจเกิดขึ้น
ข้อมูลที่พบจาก Threat intelligence
• ในช่วงเวลาที่รายงานฉบับนี้ออก (22 ม.ค. 2567) ยังพบ Proof-of-concept code ส าหรับการโจมตีช่องโหว่นี้
และยังพบรายงานเกี่ยวกับการโจมตีช่องโหว่เหล่านี้ในอินเทอร์เน็ต
ทั้งนี้การแก้ไข Configuration เพื่อลดความเสี่ยงจากช่องโหว่ดังกล่าว ลูกค้าควรปฏิบัติตาม Change
Management Policy หรือ Risk Management Policy หรือ Business Impact Assessment ของหน่วยงานอย่างเคร่งครัด
ข้อมูลอ้างอิง
• https://thehackernews.com/2024/01/north-korean-hackers-weaponize-fake.html
