EncryptHub หรือที่รู้จักในชื่อ LARVA-208 และ Water Gamayun เป็นกลุ่มภัยคุกคามที่มีแรงจูงใจทางด้านการเงิน โดยกลุ่มนี้อยู่เบื้องหลังแคมเปญล่าสุดที่มุ่งเป้าไปที่นักพัฒนา Web3 โดยมีเป้าหมายเพื่อติดตั้งมัลแวร์ขโมยข้อมูลบนอุปกรณ์ของเหยื่อ
PRODAFT บริษัทความปลอดภัยทางไซเบอร์จากสวิตเซอร์แลนด์ เปิดเผยกับ The Hacker News ว่า "LARVA-208 เปลี่ยนกลยุทธ์มาใช้แพลตฟอร์ม AI ปลอมอย่าง Norlax AI ซึ่งแอบอ้างเป็น Teampilot เพื่อหลอกล่อเหยื่อด้วยข้อเสนองาน หรือการขอให้ช่วยตรวจสอบพอร์ตโฟลิโอ"
แม้ LARVA-208 จะมีประวัติการใช้แรนซัมแวร์เป็นหลัก แต่การค้นพบล่าสุดเผยให้เห็นถึงการพัฒนากลยุทธ์การโจมตี และการกระจายแหล่งรายได้ โดยหันมาใช้มัลแวร์ขโมยข้อมูลเพื่อขโมยข้อมูลจาก cryptocurrency wallets ของเหยื่อ
EncryptHub จงใจเลือกโจมตีนักพัฒนา Web3 เนื่องจากเป็นกลุ่มที่มีบทบาทสำคัญในการดูแล cryptocurrency wallets การเข้าถึง Smart Contract repositories และการทำงานในสภาพแวดล้อมการทดสอบที่มีข้อมูลสำคัญ อีกทั้งนักพัฒนาเหล่านี้ส่วนใหญ่ทำงานในลักษณะฟรีแลนซ์ หรือมีส่วนร่วมในหลายโปรเจกต์ ทำให้การป้องกันด้วยระบบรักษาความปลอดภัยขององค์กรทำได้ยาก
ดังนั้น ชุมชนนักพัฒนาที่มีการกระจายตัว และมีมูลค่าสูง จึงกลายเป็นเป้าหมายที่เหมาะสมอย่างยิ่งสำหรับผู้โจมตีที่ต้องการสร้างรายได้อย่างรวดเร็ว โดยหลีกเลี่ยงระบบป้องกันส่วนกลาง
กลุ่มผู้โจมตีเริ่มต้นด้วยการหลอกล่อเหยื่อเข้าสู่แพลตฟอร์ม AI ปลอม และหลอกให้คลิกลิงก์การประชุมที่ซ่อนอยู่ในเว็บไซต์
ลิงก์เหล่านี้ถูกส่งไปยังนักพัฒนาที่สนใจเนื้อหาเกี่ยวกับ Web3 และบล็อกเชนผ่านแพลตฟอร์ม X และ Telegram โดยปลอมตัวเป็นคำเชิญสัมภาษณ์งาน หรือการพูดคุยเกี่ยวกับพอร์ตโฟลิโอ นอกจากนี้ ผู้โจมตียังส่งลิงก์เหล่านี้ให้แก่ผู้สมัครที่ตอบรับตำแหน่งงานที่โพสต์ไว้บนบอร์ดหางาน Web3 ชื่อ Remote3 อีกด้วย
กลยุทธ์ที่น่าสนใจของผู้โจมตีคือการหลีกเลี่ยงการแจ้งเตือนความปลอดภัยบนเว็บไซต์ Remote3 ซึ่งปกติจะเตือนผู้สมัครงานให้ระมัดระวังการดาวน์โหลดซอฟต์แวร์วิดีโอคอลที่ไม่รู้จัก โดยเริ่มแรก ผู้โจมตีจะสนทนาผ่าน Google Meet ก่อนที่จะเปลี่ยนไปใช้แพลตฟอร์ม Norlax AI
เมื่อเหยื่อคลิกลิงก์การประชุม และกรอกอีเมล และรหัสเชิญ ระบบจะแสดงข้อความผิดพลาดปลอมที่อ้างว่าไดรเวอร์เสียงของเครื่องไม่พร้อมใช้งานหรือล้าสมัย
หากเหยื่อคลิกข้อความดังกล่าว ซอฟต์แวร์ที่ดูเหมือนเป็นไดรเวอร์เสียง Realtek HD ของแท้จะถูกดาวน์โหลด แต่แท้จริงแล้วมันคือมัลแวร์ที่สั่งรันคำสั่ง PowerShell เพื่อติดตั้ง Fickle Stealer ซึ่งเป็นมัลแวร์ขโมยข้อมูล ข้อมูลที่ถูกขโมยทั้งหมดจะถูกส่งไปยังเซิร์ฟเวอร์ภายนอกที่รู้จักกันในชื่อ SilentPrism
กลุ่มผู้โจมตีได้เปลี่ยนกลยุทธ์การสร้างรายได้ โดยมุ่งเน้นการขโมยข้อมูล และบัญชีที่มีมูลค่าสูงเพื่อขายต่อ หรือใช้ประโยชน์ในตลาดมืด จากการเปิดเผยของ PRODAFT กลุ่มนี้ได้เผยแพร่มัลแวร์ Fickle Stealer ผ่านแอปพลิเคชัน AI ปลอม ซึ่งประสบความสำเร็จในการขโมยข้อมูลจาก cryptocurrency wallets, ข้อมูลล็อกอินของนักพัฒนา และข้อมูลโปรเจกต์ที่สำคัญ
ในเวลาเดียวกัน Trustwave SpiderLabs ได้รายงานการค้นพบแรนซัมแวร์สายพันธุ์ใหม่ชื่อ KAWA4096 ที่มีรูปแบบการโจมตีคล้ายกับกลุ่ม Akira และใช้โน้ตเรียกค่าไถ่ที่ใกล้เคียงกับของ Qilin ซึ่งคาดว่าเป็นการพยายามสร้างความน่าเชื่อถือในวงการแรนซัมแวร์
KAWA4096 ซึ่งปรากฏครั้งแรกในเดือนมิถุนายน 2025 ถูกระบุว่า โจมตีบริษัทไปแล้วถึง 11 แห่ง โดยส่วนใหญ่เป็นเป้าหมายที่ตั้งอยู่ในสหรัฐอเมริกา และญี่ปุ่น โดยช่องทางเข้าถึงเบื้องต้นในการโจมตียังไม่เป็นที่ทราบแน่ชัด
จุดเด่นที่น่าสนใจของ KAWA4096 คือความสามารถในการเข้ารหัสไฟล์บนไดรฟ์เครือข่ายที่แชร์ร่วมกัน รวมถึงการใช้เทคนิคมัลติเธรดเพื่อเพิ่มประสิทธิภาพการทำงาน และเร่งกระบวนการสแกนพร้อมเข้ารหัสให้รวดเร็วยิ่งขึ้น
นักวิจัย Nathaniel Morales และ John Basmayor อธิบายว่า แรนซัมแวร์จะเพิ่มไฟล์ที่เข้ารหัสได้ลงในคิวกลาง ซึ่งประมวลผลโดยเธรดที่ทำงานร่วมกัน โดยแต่ละเธรดจะดึงเส้นทางไฟล์ และส่งต่อให้กระบวนการเข้ารหัส มีการใช้ semaphore เพื่อควบคุมการทำงานระหว่างเธรดให้ประมวลผลคิวไฟล์ได้อย่างมีประสิทธิภาพ
ในขณะเดียวกัน Crux แรนซัมแวร์ใหม่ที่อ้างว่าเป็นส่วนหนึ่งของกลุ่ม BlackByte ก็เริ่มปรากฏตัวในโลกไซเบอร์ โดยถูกใช้โจมตีในวันที่ 4 และ 13 กรกฎาคม 2025 ตามรายงานของ Huntress
กลุ่มแฮ็กเกอร์สามารถเข้าถึงเครือข่ายของเหยื่อได้โดยใช้ข้อมูลล็อกอินจริงผ่านการเชื่อมต่อ RDP (Remote Desktop Protocol) จากนั้นใช้เครื่องมือ Windows ที่ถูกต้อง เช่น svchost.exe และ bcdedit.exe เพื่อซ่อนคำสั่งที่เป็นอันตราย และแก้ไขการตั้งค่าการบูตระบบเพื่อป้องกันไม่ให้เหยื่อกู้คืนระบบได้
Huntress บริษัทด้านความปลอดภัยไซเบอร์ ให้คำแนะนำว่าผู้โจมตีมักใช้ Process ของระบบที่ถูกต้องเพื่อหลีกเลี่ยงการตรวจจับ ดังนั้นองค์กรควรเฝ้าระวังพฤติกรรมที่ผิดปกติของ Process เหล่านี้อย่างสม่ำเสมอผ่านระบบ EDR (Endpoint Detection and Response) เพื่อช่วยในการระบุ และรับมือกับภัยคุกคามได้อย่างทันท่วงที
ที่มา: thehackernews
You must be logged in to post a comment.