Ένα νέο κοινωνικό trend με τη χρήση τεχνητής νοημοσύνης έχει κατακλύσει τα κοινωνικά δίκτυα – το λεγόμενο AI caricature, όπου χρήστες ανεβάζουν φωτογραφίες και προσωπικά στοιχεία σε chatbot όπως το ChatGPT για να δημιουργήσουν πολύχρωμες καλλιτεχνικές γελοιογραφίες του εαυτού τους. Παρά την αρχική ψυχαγωγική διάσταση, ειδικοί σε θέματα κυβερνοασφάλειας προειδοποιούν [...]
Το Εθνικό Κέντρο Κυβερνοασφάλειας (NCSC) της Νότιας Κορέας προειδοποιεί ότι οι υποστηριζόμενοι από το κράτος χάκερ της Λαϊκής Δημοκρατίας της Κορέας εκμεταλλεύτηκαν ατέλειες στην ενημέρωση λογισμικού ενός VPN για να αναπτύξουν κακόβουλο λογισμικό και να παραβιάσουν δίκτυα.
Συνδέει αυτή τη δραστηριότητα με ένα εθνικό πρόγραμμα εκσυγχρονισμού βιομηχανικών εργοστασίων που ανακοίνωσε ο Κιμ Γιονγκ Ουν, ο πρόεδρος της Βόρειας Κορέας, τον Ιανουάριο του 2023, πιστεύοντας ότι οι χάκερ επιδιώκουν να κλέψουν εμπορικά μυστικά από τη Νότια Κορέα.
Οι δύο ομάδες απειλών που εμπλέκονται σε αυτή τη δραστηριότητα είναι η Kimsuky (APT43) και η Andariel (APT45), κρατικά χρηματοδοτούμενοι φορείς που είχαν συνδεθεί στο παρελθόν με την περιβόητη Lazarus Group.
“Η Κοινότητα Πληροφοριών αποδίδει αυτές τις δραστηριότητες hacking στις οργανώσεις hacking Kimsuky και Andariel που υπάγονται στο Γενικό Γραφείο Αναγνώρισης της Βόρειας Κορέας, σημειώνοντας την πρωτοφανή φύση των δύο οργανώσεων να στοχεύουν ταυτόχρονα τον ίδιο τομέα για συγκεκριμένους πολιτικούς στόχους”, προειδοποιεί το NCSC.
Eνημερώσεις και εγκαταστάτες Trojan
Στην πρώτη περίπτωση που επισημαίνεται στη συμβουλή, με ημερομηνία Ιανουάριος 2024, η Kimsuky παραβίασε τον ιστότοπο ενός νοτιοκορεατικού οργανισμού εμπορίου κατασκευών για να διαδώσει κακόβουλο λογισμικό στους επισκέπτες.
Σύμφωνα με μια έκθεση του Φεβρουαρίου από την ASEC, όταν οι εργαζόμενοι επιχείρησαν να συνδεθούν στον ιστότοπο του οργανισμού, τους ζητήθηκε να εγκαταστήσουν το απαιτούμενο λογισμικό ασφαλείας με την ονομασία “NX_PRNMAN” ή “TrustPKI”.
Αυτοί οι εγκαταστάτες Trojan ήταν ψηφιακά υπογεγραμμένοι με έγκυρο πιστοποιητικό από την κορεατική αμυντική εταιρεία “D2Innovation”, παρακάμπτοντας αποτελεσματικά τους ελέγχους των antivirus.
Όταν εγκαταστάθηκε το trojanized λογισμικό, το κακόβουλο λογισμικό αναπτύχθηκε επίσης για τη λήψη στιγμιότυπων οθόνης, την κλοπή δεδομένων που είναι αποθηκευμένα σε προγράμματα περιήγησης (διαπιστευτήρια, cookies, σελιδοδείκτες, ιστορικό) και την κλοπή πιστοποιητικών GPKI, κλειδιών SSH, Sticky Notes και δεδομένων FileZilla.
Αυτή η εκστρατεία “μόλυνε” τα συστήματα κατασκευαστικών εταιρειών της Νότιας Κορέας, δημόσιων οργανισμών και τοπικών κυβερνήσεων.
Η δεύτερη περίπτωση συνέβη τον Απρίλιο του 2024, όταν, σύμφωνα με το NCSC, οι φορείς απειλών Andariel εκμεταλλεύτηκαν μια αδυναμία στο πρωτόκολλο επικοινωνίας ενός εγχώριου λογισμικού VPN για να προωθήσουν ψεύτικες ενημερώσεις λογισμικού που εγκαθιστούσαν το κακόβουλο λογισμικό DoraRAT.
“Τον Απρίλιο του 2024, η ομάδα χάκερ Andariel εκμεταλλεύτηκε αδυναμίες σε εγχώριο λογισμικό ασφαλείας (VPN και ασφάλεια διακομιστή) για να αντικαταστήσει αρχεία ενημέρωσης με κακόβουλο λογισμικό, διανέμοντας κακόβουλο λογισμικό απομακρυσμένου ελέγχου με την ονομασία “DoraRAT” σε εταιρείες κατασκευών και μηχανημάτων”, εξηγεί μια μηχανογραφικά μεταφρασμένη έκδοση της συμβουλευτικής της NCSC.
Το NCSC αναφέρει ότι η αδυναμία επέτρεπε στους φορείς απειλών να παραποιούν πακέτα στους υπολογιστές των χρηστών, οι οποίοι τα αναγνώριζαν εσφαλμένα ως νόμιμες ενημερώσεις διακομιστή, επιτρέποντας την εγκατάσταση των κακόβουλων εκδόσεων.
Το DoraRAT είναι ένα ελαφρύ trojan απομακρυσμένης πρόσβασης (RAT) με ελάχιστη λειτουργικότητα που του επιτρέπει να λειτουργεί πιο αθόρυβα.
Η παραλλαγή που παρατηρήθηκε στη συγκεκριμένη επίθεση είχε ρυθμιστεί για την κλοπή μεγάλων αρχείων, όπως έγγραφα σχεδιασμού μηχανημάτων και εξοπλισμού, και την εκροή τους στον διακομιστή διοίκησης και ελέγχου του επιτιθέμενου.
Η NCSC αναφέρει ότι οι φορείς εκμετάλλευσης ιστότοπων που κινδυνεύουν να γίνουν στόχος κρατικών χάκερ θα πρέπει να ζητήσουν επιθεωρήσεις ασφαλείας από τον Οργανισμό Διαδικτύου και Ασφάλειας της Κορέας (KISA).
Επιπλέον, συνιστάται η εφαρμογή αυστηρών πολιτικών έγκρισης της διανομής λογισμικού και η απαίτηση πιστοποίησης του διαχειριστή για το τελικό στάδιο της διανομής.
Άλλες γενικές συμβουλές περιλαμβάνουν την έγκαιρη ενημέρωση λογισμικού και λειτουργικού συστήματος, τη συνεχή εκπαίδευση των εργαζομένων σε θέματα ασφάλειας και την παρακολούθηση των κυβερνητικών συμβουλών για την ασφάλεια στον κυβερνοχώρο, ώστε να εντοπίζονται και να σταματούν γρήγορα οι αναδυόμενες απειλές.
Σε παρόμοια δραστηριότητα, μια κινεζική ομάδα χάκερ παραβίασε έναν πάροχο υπηρεσιών διαδικτύου για να δηλητηριάσει τις καταχωρήσεις DNS, ώστε οι αυτόματες ενημερώσεις λογισμικού για νόμιμο λογισμικό να εγκαθιστούν κακόβουλο λογισμικό.
*Πληροφορίες από “BleepingComputer”
Η INTERPOL ανακοίνωσε ότι ανέπτυξε έναν “παγκόσμιο μηχανισμό διακοπής πληρωμών” που βοήθησε στην ανάκτηση ενός μεγάλου ποσού από απάτη επιχειρηματικής ηλεκτρονικής αλληλογραφίας (BEC). Μια εταιρεία εμπορευμάτων στη Σιγκαπούρη έπεσε θύμα ...
Υπηρεσίες Κυβερνοασφάλειας – Κυβερνοέγκλημα
