แคสเปอร์สกี้เผยกลุ่ม BlueNoroff ใช้เครื่องมือ AI โจมตีผู้บริหารบน Windows และ macOS [PR]

ในงาน Security Analyst Summit ที่จัดขึ้นที่ประเทศไทย ทีมวิจัยและวิเคราะห์ระดับโลกของแคสเปอร์สกี้ (Kaspersky GReAT) ได้เปิดเผยกิจกรรมล่าสุดของกลุ่ม BlueNoroff APT ผ่านแคมเปญอันตรายสองแคมเปญที่มุ่งเป้าโจมตีเข้มข้น ได้แก่ ‘GhostCall’ และ ‘GhostHire’ ปฏิบัติการร้ายที่กำลังดำเนินอยู่นี้มุ่งเป้าไปที่องค์กร Web3 และคริปโตในอินเดีย ตุรกี ออสเตรเลีย และประเทศอื่นๆ ในยุโรปและเอเชีย ตั้งแต่เดือนเมษายน 2025 เป็นอย่างช้า

BlueNoroff ซึ่งกลุ่มย่อยของกลุ่ม Lazarus ที่มีชื่อเสียงฉาวโฉ่ ได้ขยายแคมเปญ ‘SnatchCrypto’ อันเป็นเอกลักษณ์ ซึ่งเป็นปฏิบัติการร้ายทางการเงินที่มุ่งเป้าไปที่อุตสาหกรรมคริปโตทั่วโลก แคมเปญ GhostCall และ GhostHire ที่เพิ่งได้รับการเปิดเผยใหม่นี้ใช้เทคนิคการแทรกซึมแบบใหม่ และใช้มัลแวร์ที่ปรับแต่งมาเพื่อโจมตีนักพัฒนาและผู้บริหารบล็อกเชน การโจมตีเหล่านี้ส่งผลกระทบต่อระบบ macOS และ Windows ที่เป็นเป้าหมายหลัก และจัดการผ่านโครงสร้างพื้นฐานแบบสั่งการและควบคุมแบบรวมศูนย์

แคมเปญ GhostCall มุ่งเน้นโจมตีอุปกรณ์ macOS เริ่มจากการโจมตีทางวิศวกรรมสังคมที่ซับซ้อนและปรับแต่งเฉพาะบุคคล ผู้โจมตีปลอมตัวเป็นนักลงทุนร่วมทุนติดต่อผ่าน Telegram และในบางกรณีใช้บัญชีของผู้ประกอบการและผู้ก่อตั้งสตาร์ทอัพจริงๆ ที่ถูกละเมิด เพื่อเพิ่มโอกาสการลงทุนหรือความร่วมมือ เหยื่อจะได้รับเชิญให้เข้าร่วมการประชุมการลงทุนปลอมบนเว็บไซต์ฟิชชิงที่เลียนแบบ Zoom หรือ Microsoft Teams ซึ่งเหยื่อจะได้รับแจ้งให้ ‘อัปเดต’ ไคลเอ็นต์เพื่อแก้ไขปัญหาเสียง แต่จริงๆ แล้วเป็นดาวน์โหลดสคริปต์ที่เป็นอันตรายและแพร่กระจายมัลแวร์ในอุปกรณ์

โซจุน ริว นักวิจัยด้านความปลอดภัย ทีม Kaspersky GReAT กล่าวว่า “แคมเปญนี้อาศัยการหลอกลวงที่วางแผนอย่างรอบคอบ ผู้โจมตีจะเล่นวิดีโอของเหยื่อก่อนหน้าซ้ำระหว่างการประชุมที่จัดฉากขึ้น ทำให้การสนทนาโต้ตอบดูเหมือนการโทรจริงเพื่อหลอกล่อเป้าหมายใหม่ ข้อมูลที่รวบรวมได้นี้ไม่เพียงแต่จะนำมาใช้กับเหยื่อรายแรกเท่านั้น แต่ยังนำไปใช้เพื่อโจมตีเหยื่อรายถัดไปและการโจมตีแบบซัพพลายเชน โดยอาศัยความสัมพันธ์ที่เชื่อถือได้เพื่อโจมตีองค์กรและผู้ใช้ในวงกว้างมากขึ้น”

ผู้โจมตีได้ปรับการดำเนินการแบบหลายขั้นตอนทั้งหมดเจ็ดขั้น ซึ่งสี่ขั้นนั้นไม่เคยปรากฏมาก่อน เพื่อกระจายเพย์โหลดแบบกำหนดเองใหม่ๆ มากมาย ซึ่งรวมถึงตัวขโมยต่างๆ (stealers) ทั้งตัวขโมยคริปโต ตัวขโมยข้อมูลประจำตัวของเบราว์เซอร์ ตัวขโมยความลับ และตัวขโมยข้อมูลประจำตัวของ Telegram

ในแคมเปญ GhostHire นั้น กลุ่ม APT มุ่งเป้าไปที่นักพัฒนาบล็อกเชนโดยปลอมตัวเป็นผู้สรรหาบุคลากร เหยื่อจะถูกหลอกให้ดาวน์โหลดและรันคลังข้อมูล GitHub ที่มีมัลแวร์ ซึ่งนำเสนอในรูปแบบของการประเมินทักษะ GhostHire ใช้โครงสร้างพื้นฐานและเครื่องมือต่างๆ ร่วมกับแคมเปญ GhostCall แต่แทนที่จะใช้วิดีโอคอล แคมเปญนี้มุ่งเน้นไปที่การเข้าหานักพัฒนาและวิศวกรที่ลงมือปฏิบัติจริงผ่านการสรรหาบุคลากรปลอม หลังจากการติดต่อครั้งแรก เหยื่อจะถูกเพิ่มเข้าไปในบ็อต Telegram ซึ่งจะส่งไฟล์ ZIP หรือลิงก์ GitHub พร้อมกับกำหนดเวลาสั้นๆ ในการทำงานให้เสร็จสิ้น เมื่อมัลแวร์ทำงานแล้ว มัลแวร์จะติดตั้งตัวเองลงในเครื่องของเหยื่อ ซึ่งปรับแต่งให้เหมาะกับระบบปฏิบัติการ

การใช้ AI เชิงสร้างสรรค์ช่วยให้กลุ่ม BlueNoroff สามารถเร่งการพัฒนามัลแวร์และปรับปรุงเทคนิคการโจมตีได้ ผู้โจมตีได้นำภาษาโปรแกรมใหม่ๆ มาใช้และเพิ่มฟีเจอร์เพิ่มเติม ทำให้การตรวจจับและวิเคราะห์มีความซับซ้อนมากขึ้น นอกจากนี้ยังช่วยให้ผู้โจมตีสามารถจัดการและขยายการดำเนินงานได้ ซึ่งเพิ่มทั้งความซับซ้อนและขนาดของการโจมตี

โอมาร์ อามิน นักวิจัยด้านความปลอดภัยอาวุโส ทีม Kaspersky GReAT กล่าวว่า “นับตั้งแต่แคมเปญก่อนหน้านี้ กลยุทธ์การกำหนดเป้าหมายของผู้ก่อภัยคุกคามได้พัฒนาไปไกลกว่าแค่การขโมยสกุลเงินดิจิทัลและการขโมยข้อมูลประจำตัวของเบราว์เซอร์ การใช้ AI เชิงสร้างสรรค์ได้เร่งกระบวนการนี้ขึ้นอย่างมาก ทำให้การพัฒนามัลแวร์ง่ายขึ้นและลดค่าใช้จ่ายในการดำเนินงาน ช่วยเติมเต็มช่องว่างของข้อมูลที่มีอยู่ ทำให้สามารถกำหนดเป้าหมายได้อย่างตรงจุดมากขึ้น ด้วยการผสานข้อมูลที่ถูกละเมิดเข้ากับความสามารถในการวิเคราะห์ของ AI ทำให้ขอบเขตการโจมตีขยายกว้างขึ้น เราหวังว่างานวิจัยของเราจะช่วยป้องกันไม่ให้เกิดอันตรายเพิ่มเติม”

ข้อมูลเพิ่มเติมพร้อมตัวบ่งชี้การบุกรุก สามารถดูได้ในรายงานที่เว็บไซต์ Securelist.com

องค์กรต่างๆ ควรปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดเพื่อป้องกันการโจมตีอย่าง GhostCall และ GhostHire ดังต่อไปนี้

• ระมัดระวังข้อเสนอการลงทุนที่ดูดีเกินไป ตรวจสอบตัวตนของผู้ติดต่อใหม่ทุกคน โดยเฉพาะอย่างยิ่งผู้ที่ติดต่อผ่าน Telegram, LinkedIn หรือแพลตฟอร์มโซเชียลมีเดียอื่นๆ ใช้ช่องทางการสื่อสารขององค์กรที่ผ่านการตรวจสอบและปลอดภัยสำหรับการสื่อสารที่ละเอียดอ่อนทั้งหมด
• พิจารณาความเป็นไปได้ที่บัญชีของผู้ติดต่อที่เชื่อถือได้อาจถูกละเมิด ตรวจสอบตัวตนผ่านช่องทางอื่นๆ ก่อนเปิดไฟล์และลิงก์ใดๆ ตรวจสอบเสมอว่าใช้โดเมนอย่างเป็นทางการ หลีกเลี่ยงการรันสคริปต์หรือคำสั่งที่ไม่ผ่านการตรวจสอบเพื่อแก้ไขปัญหา
• เพื่อปกป้องบริษัทจากภัยคุกคามที่หลากหลาย แนะนำโซลูชันจากกลุ่มผลิตภัณฑ์ Kaspersky Next ที่ให้การปกป้องแบบเรียลไทม์ การมองเห็นภัยคุกคาม การตรวจสอบ และความสามารถในการตอบสนองของ EDR และ XDR สำหรับองค์กรทุกขนาดและทุกอุตสาหกรรม สามารถเลือกระดับผลิตภัณฑ์ที่เหมาะสมที่สุดและเปลี่ยนไประดับอื่นได้อย่างง่ายดายหากข้อกำหนดด้านความปลอดภัยทางไซเบอร์เปลี่ยนแปลงไป ขึ้นอยู่กับความต้องการปัจจุบันและทรัพยากรที่มีอยู่
• ใช้บริการรักษาความปลอดภัยที่ได้รับการจัดการโดยแคสเปอร์สกี้ อย่างเช่น การประเมินการบุกรุก (Compromise Assessment), การตรวจจับและการตอบสนองที่ได้รับการจัดการ (Managed Detection and Response หรือ MDR) และ/หรือ การตอบสนองต่อเหตุการณ์ (Incident Response) ซึ่งครอบคลุมวงจรการจัดการเหตุการณ์ทั้งหมด ตั้งแต่การระบุภัยคุกคามไปจนถึงการป้องกันและการแก้ไขอย่างต่อเนื่อง บริการเหล่านี้ช่วยป้องกันการโจมตีทางไซเบอร์แบบหลบเลี่ยง ตรวจสอบเหตุการณ์ และให้ความเชี่ยวชาญเพิ่มเติม แม้ว่าบริษัทจะขาดแคลนบุคลากรด้านความปลอดภัยทางไซเบอร์ก็ตาม
• ให้ผู้เชี่ยวชาญด้าน InfoSec รับทราบข้อมูลภัยคุกคามทางไซเบอร์ที่มุ่งเป้าไปที่องค์กรอย่างลึกซึ้ง Kaspersky Threat Intelligence ล่าสุดจะช่วยให้ผู้เชี่ยวชาญได้รับข้อมูลที่ครอบคลุมตลอดวงจรการจัดการเหตุการณ์ทั้งหมด และช่วยให้สามารถระบุความเสี่ยงทางไซเบอร์ได้อย่างทันท่วงที