Lazarus Group ของเกาหลีเหนือสร้างเกม NFT เพื่อแสวงหาประโยชน์จากผู้ใช้ Chrome

จากข้อมูลของ Berdnikov และ Larin แฮกเกอร์ในกลุ่ม Lazarus Group ใช้เกมนี้เพื่อเกลี้ยกล่อมผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตราย และแพร่ระบาดคอมพิวเตอร์ด้วย Manuscript มัลแวร์ ซึ่งมันถูกใช้มาตั้งแต่ปี 2013 เป็นอย่างน้อย

โค้ดดังกล่าวอนุญาตให้แฮกเกอร์ทำลายหน่วยความจำของ Chrome ได้ และทำให้พวกเขาสามารถเข้าถึงคุกกี้ของผู้ใช้ โทเค็นการตรวจสอบสิทธิ์ รหัสผ่านที่บันทึกไว้ และประวัติการท่องเว็บ ซึ่งเป็นทุกสิ่งที่พวกเขาต้องการเพื่อขโมยเงินของผู้ใช้

ปัญหาอีกประการหนึ่งของกลไกการรักษาความปลอดภัยของ Javascript แซนด์บ็อกซ์ V8 ทำให้ Lazarus สามารถเข้าถึงพีซีเพื่อตรวจสอบว่าการโจมตีทางไซเบอร์ต่อไปนั้นคุ้มค่าหรือไม่

“เราสามารถ trac การโจมตีขั้นแรกได้ ซึ่งเป็นช่องโหว่ที่ดำเนินการโค้ดจากระยะไกลในกระบวนการของ Google Chrome” Berdnikov และ Larin กล่าว

“หลังจากยืนยันว่าช่องโหว่นั้นขึ้นอยู่กับช่องโหว่แบบ Zero-day ที่กำหนดเป้าหมายไปที่ Google Chrome เวอร์ชันล่าสุด เราได้รายงานการค้นพบของเราไปยัง Google ในวันเดียวกัน”

สองวันหลังจากที่ Google ตระหนักถึงช่องโหว่ดังกล่าว ก็ได้เปิดตัวแพทช์ที่อัปเดตเพื่อแก้ไขปัญหานี้

ซอร์สโค้ดที่ถูกขโมยที่ใช้ในการสร้างเกม

ตัวเกมเองคือ DeTankZone หรือ DeTankWar เป็นเกมต่อสู้ในสนามประลองออนไลน์ที่มีผู้เล่นหลายคนแบบเล่นเพื่อหารายได้เต็มรูปแบบพร้อมรถถังโทเค็นที่ไม่สามารถเข้ากันได้ (NFT) ผู้เล่นสามารถต่อสู้กันเองในการแข่งขันออนไลน์

Berdnikov และ Larin กล่าวว่า Lazarus ขโมยซอร์สโค้ดจากเกมที่ถูกกฎหมายอีกเกมหนึ่ง และโปรโมตเวอร์ชันละเมิดลิขสิทธิ์อย่างหนักบนโซเชียลมีเดีย

เกมปลอมมีเว็บไซต์และรูปภาพส่งเสริมการขายที่สร้างขึ้นโดยใช้ปัญญาประดิษฐ์

“โดยผิวเผิน เว็บไซต์นี้มีลักษณะคล้ายกับหน้าผลิตภัณฑ์ที่ออกแบบอย่างมืออาชีพสำหรับเกมรถถังต่อสู้ออนไลน์แบบผู้เล่นหลายคนในสนามรบออนไลน์ (MOBA) แบบกระจายอำนาจ ( DeFi ) ที่ใช้ NFT (non-fungible token) โดยเชิญชวนให้ผู้ใช้ดาวน์โหลดเวอร์ชันทดลอง” Berdnikov และ ลารินกล่าวว่า

“แต่นั่นเป็นเพียงการปลอมตัว ภายใต้ฝากระโปรง เว็บไซต์นี้มีสคริปต์ที่ซ่อนอยู่ซึ่งทำงานในเบราว์เซอร์ Google Chrome ของผู้ใช้ เปิดตัวการโจมตีแบบซีโรเดย์และให้ผู้โจมตีควบคุมพีซีของเหยื่อได้อย่างสมบูรณ์”

Microsoft Security ยังติดธงเกมใน โพสต์เมื่อ เดือนพฤษภาคมบน X โดยสังเกตว่าเกมที่เป็นอันตราย DeTankWar กำลังส่งแรนซัมแวร์แบบกำหนดเองใหม่ที่ Microsoft ขนานนามว่า FakePenny

“Microsoft ได้ dent ตัวแสดงภัยคุกคามชาวเกาหลีเหนือรายใหม่ Moonstone Sleet (Storm-1789) ซึ่งรวมเอาเทคนิคที่พยายามจริงมากมายที่ใช้โดยผู้แสดงภัยคุกคามชาวเกาหลีเหนือรายอื่น ด้วยวิธีการโจมตีที่เป็นเอกลักษณ์เพื่อวัตถุประสงค์ทางการเงินและการจารกรรมทางไซเบอร์” Microsoft Security พูดว่า.

“Moonstone Sleet ถูกตั้งข้อสังเกตว่าจัดตั้งบริษัทปลอมและโอกาสในการทำงานกับเป้าหมายที่เป็นไปได้ ใช้เครื่องมือที่ถูกต้องตามกฎหมายในเวอร์ชันโทรจัน สร้างเกมอันตรายที่เรียกว่า DeTankWar และส่งมอบแรนซัมแวร์แบบกำหนดเองใหม่ที่ Microsoft ตั้งชื่อว่า FakePenny”

การสูญเสีย Lazarus Group มีมูลค่ามากกว่า 3 พันล้านดอลลาร์

Lazarus กลายเป็นกลุ่มแฮ็กเกอร์ crypto ที่โด่งดังที่สุดนับตั้งแต่เข้ามามีบทบาทในปี 2009 บริษัทรักษาความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา Recorded Future ประเมิน ในปี 2023 ว่าแฮกเกอร์ชาวเกาหลีเหนือขโมยเงินดิจิทัลไปมากกว่า 3 พันล้านดอลลาร์ในช่วงหกปีก่อนถึงปี 2023

รายงานขององค์การสหประชาชาติยังพบว่าแฮกเกอร์ชาวเกาหลีเหนือขโมยสินทรัพย์ crypto จำนวนมากในปี 2022 โดยประมาณการระหว่าง 630 ล้านดอลลาร์ถึงมากกว่า 1 พันล้านดอลลาร์ หลังจากกลุ่มต่างๆ เริ่มกำหนดเป้าหมายเครือข่ายของบริษัทการบินและอวกาศและการป้องกันต่างประเทศ

ZachXBT นักสืบบล็อค เชนประเมินว่า Lazarus ฟอกเงินคริปโตมากกว่า 200 ล้านดอลลาร์จากการถูกแฮ็ก 25 ครั้งระหว่างปี 2020 ถึง 2023 ใน โพสต์ เมื่อวันที่ 15 สิงหาคมบน X เขายังอ้างว่าได้เปิดเผยหลักฐานของเครือข่ายที่ซับซ้อนของนักพัฒนาชาวเกาหลีเหนือที่สร้างรายได้ 500,000 ดอลลาร์ต่อเดือนจากการทำงานให้กับ “ ก่อตั้ง” โครงการ crypto

ในเวลาเดียวกัน กระทรวงการคลังของสหรัฐฯ ยังได้กล่าวหาว่า Lazarus เป็นผู้กระทำผิดหลักที่อยู่เบื้องหลังการโจมตี Ronin Bridge ในปี 2022 ซึ่งกวาดรายได้ให้กับแฮกเกอร์มากกว่า 600 ล้านเหรียญสหรัฐในสกุลเงินดิจิทัล