ไมโครซอฟท์รายงานถึงกลุ่มแฮกเกอร์ ZINC ที่มีฐานอยู่ในเกาหลีเหนือพยายามโจมตีองค์กรจำนวนมาก ทั้งในสหรัฐฯ, สหราชอาณาจักร, อินเดีย, และรัสเซีย โดยอาศัยการหลอกเหยื่อประกอบกับการแปลงโปรแกรมโอเพนซอร์สที่ใช้งานได้จริง แต่มีฟีเจอร์มุ่งร้ายฝังอยู่ภายใน
ช่วงเริ่มต้นกลุ่ม ZINC จะแสดงตัวเป็นฝ่ายบุคคลที่ตามหาผู้สมัครให้กับบริษัทใหญ่ๆ แล้วติดต่อเหยื่อผ่านทาง LinkedIn จากนั้นจะพยายามหลอกล่อให้เหยื่อไปคุยกันผ่านทาง WhatsApp และส่งโปรแกรมให้เหยื่อ โดยโปรแกรมทำงานได้ตามปกติแต่แอบติดต่อเซิร์ฟเวอร์ของคนร้ายเพื่อขโมยข้อมูล
โปรแกรมหนึ่งที่คนร้ายใช้คือ KiTTY ที่ใช้สำหรับติดต่อเซิร์ฟเวอร์ด้วยโปรโตคอล Secure Shell ตัวโปรแกรมที่คนร้ายดัดแปลงยังคงใช้งานได้ แต่จะเก็บข้อมูลชื่อเครื่อง, ชื่อผู้ใช้, และรหัสผ่าน ส่งกลับไปยังเซิร์ฟเวอร์ของคนร้าย หรือโปรแกรม TightVNC ที่ถูกดัดแปลงให้ส่งข้อมูลกลับไปยังเซิร์ฟเวอร์เช่นกัน
ไมโครซอฟท์เปิดเผยรายชื่อไอพีเซิร์ฟเวอร์ของคนร้าย, รายการค่าแฮชของโปรแกรมที่คนร้ายดัดแปลงแล้ว, และโดเมนต่างๆ ที่คนร้ายแฮก พร้อมกับแนะนำให้บล็อคอินเทอร์เน็ตไม่ให้เชื่อมต่อไปยังเครื่องในรายกร และแนะนำให้เปิดใช้การล็อกอินสองขั้นตอนเพื่อป้องกันการโจมตีในกรณีเช่นนี้ที่คนร้ายขโมยรหัสผ่านออกไปได้
ที่มา - Microsoft