Microsoft ได้ออกประกาศเตือนเกี่ยวกับความเคลื่อนไหวของแคมเปญ Cryptojacking ซึ่งมีการนำระบบ AI Chatbot มาใช้เป็นกลไกในการชี้นำผู้ใช้งานไปยังเว็บไซต์ดาวน์โหลดมัลแวร์ที่เป็นอันตราย
ทีมผู้เชี่ยวชาญด้านการป้องกันของ Microsoft และทีมวิจัยความปลอดภัยของ Microsoft ระบุในรายงานที่เผยแพร่ว่า "เทคนิคการแพร่กระจายรูปแบบใหม่นี้เป็นการขยายขอบเขตของ Social Engineering ให้ไปไกลกว่าผลลัพธ์บนเครื่องมือค้นหาแบบเดิม และเพิ่มการแนะนำซอฟต์แวร์ที่เป็นอันตราย"
Microsoft ระบุว่า กิจกรรมดังกล่าวมีการแอบอ้างเป็นโปรแกรม utilities ของระบบที่ถูกต้อง เช่น CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack และ PDFgear ซึ่งน่าจะเป็นความพยายามในการมุ่งเป้าไปที่กลุ่มผู้ใช้งานที่เป็นเจ้าของ high-performance GPUs พร้อมทั้งระบุเสริมว่า แนวคิดดังกล่าวคือการมุ่งเน้นไปที่การโจมตีระบบที่มีมูลค่าในการ mining มากกว่าการแพร่กระจายไปยังเครื่องคอมพิวเตอร์จำนวนมากโดยไม่เลือกเป้าหมาย
เป้าหมายของแคมเปญดังกล่าวไม่ได้เกิดจากแรงจูงใจทางการเงินเพียงอย่างเดียว เนื่องจากตรวจพบว่าผู้โจมตีได้สร้างช่องทาง remote access แบบถาวรไปยังเครื่องโฮสต์ที่ตกเป็นเหยื่อ ผ่านการติดตั้งใช้งานโปรแกรม ScreenConnect ซึ่งสามารถนำไปใช้ประโยชน์สำหรับปฏิบัติการในขั้นถัดไปได้ เช่น การโจรกรรมข้อมูล, การโจมตีต่อไปภายในเครือข่าย หรือการเรียกค่าไถ่
Attack chain นี้มีความจงใจ และคิดมาเป็นอย่างดีมากกว่าความพยายามในการขุด cryptocurrency ทั่วไป โดยเลือกมุ่งเป้าไปที่อุปกรณ์อย่างมีแบบแผน เพื่อเพิ่มผลผลิตการขุดของ GPU ให้ได้สูงสุดต่อหนึ่งอุปกรณ์ที่ถูกโจมตี ทั้งนี้ Microsoft ระบุว่า ได้ตรวจพบ และสกัดกั้นกิจกรรมที่เกี่ยวข้องกับแคมเปญดังกล่าวเป็นที่เรียบร้อยแล้ว
กระบวนการทั้งหมดเริ่มต้นขึ้นเมื่อผู้ใช้งานค้นหาโปรแกรม utilities ของระบบ และซอฟต์แวร์ตรวจสอบฮาร์ดแวร์ที่น่าเชื่อถือบนเครื่องมือค้นหา ซึ่งจะแสดงผลเว็บไซต์อันตรายที่ถูกแทรกแซงผ่านเทคนิคต่าง ๆ เช่น SEO poisoning อย่างไรก็ตาม รูปแบบการโจมตีที่ตรวจพบในเวลาต่อมาเมื่อเดือนเมษายน 2026 แสดงให้เห็นว่า ผู้ใช้งานกำลังถูกนำไปยังเว็บไซต์เหล่านี้ โดยไม่ได้ผ่านผลลัพธ์จากเครื่องมือค้นหาอีกต่อไป แต่เป็นการชี้นำผ่านระบบโต้ตอบของโมเดล LLM
ในกรณีนี้ ผู้ใช้งานที่สอบถาม AI ChatBot เพื่อขอคำแนะนำในการดาวน์โหลดซอฟต์แวร์ จะได้รับลิงก์ที่เชื่อมโยงไปยังโดเมนที่ผู้โจมตีควบคุมอยู่ภายในคำตอบที่ระบบสร้างขึ้น แม้ว่าพฤติกรรมนี้จะอ้างอิงจากรูปแบบที่ตรวจพบ และแหล่งข้อมูลที่มีความเชื่อมโยงกัน แต่ก็สอดคล้องกับเทคนิคใหม่ที่กำลังเกิดขึ้นใน AI search result poisoning ซึ่งถือเป็นการขยายขอบเขตให้ผลลัพธ์การค้นหา SEO poisoning ไปไกลกว่าเครื่องมือค้นหาทั่วไป
เว็บไซต์เหล่านี้แต่ละแห่งจะมีปุ่มดาวน์โหลดที่เห็นได้อย่างชัดเจน ซึ่งจะทำการดึงไฟล์ ZIP มาจาก Subdomain ของแคมเปญภายใต้ชื่อ gleeze[.]com โดยโดเมนดังกล่าวถูกจัดเก็บอยู่บน infrastructure ที่เกี่ยวข้องกับ Dynu ซึ่งเป็นผู้ให้บริการ Dynamic DNS ที่กลุ่มแฮ็กเกอร์มักนิยมใช้ ทั้งนี้ มีการตรวจพบโดเมนอันตรายมากกว่า 150 โดเมนที่ทำหน้าที่แพร่กระจายเครื่องมือที่เป็นอันตรายเหล่านี้
ไฟล์ ZIP ที่ดาวน์โหลดมานั้นประกอบด้วยไฟล์ executable ที่ถูกต้องตามปกติ พร้อมกับไฟล์ DLL ที่เป็นอันตราย ("autorun.dll") ซึ่งจะถูกติดตั้งโดยอัตโนมัติเมื่อผู้ใช้เรียกใช้ไฟล์ไบนารี ไฟล์ DLL นี้ถูกออกแบบมาเพื่อติดตั้งไฟล์ DLL ที่เป็นอันตรายอีกไฟล์หนึ่งชื่อ "vcredist_x64.dll" โดยใช้ "msiexec.exe" ไฟล์ดังกล่าวเป็นแพ็กเกจติดตั้งซอฟต์แวร์ ScreenConnect
เมื่อติดตั้ง ScreenConnect แล้ว Client จะพยายามติดต่อกับเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมอยู่อย่างต่อเนื่องซึ่งอยู่ที่ IP 193.42.11[.]108 Session ScreenConnect จะทำหน้าที่เป็นช่องทางสำหรับไฟล์ executable ที่ชื่อว่า "SimpleRunPE.exe
ไฟล์ไบนารีดังกล่าวมีหน้าที่ในการสร้างช่องทางการเข้าถึงระบบอย่างถาวรบนเครื่องโฮสต์ โดยใช้ Registry Run keys และ Scheduled tasks รวมถึง Microsoft Defender exclusions การเรียก Anti-analysis checks และการใช้เทคนิค Process hollowing เพื่อเปิดรันโค้ดขุดคริปโตภายใต้ไฟล์ไบนารีที่น่าเชื่อถือซึ่งได้รับ Digital Sign โดย Microsoft
ในบางกรณี แทนที่จะใช้ฟังก์ชันการถ่ายโอนไฟล์ของ ScreenConnect เพื่อลบไฟล์ไบนารี จะมีการใช้สคริปต์ PowerShell เพื่อดึงไฟล์ไบนารีจากไดรฟ์ภายนอกเก็บไว้ในเครื่องในชื่อ "vlc.exe" เพื่อหลบเลี่ยงการตรวจจับ สร้าง Scheduled task ไว้เพื่อเรียกใช้งาน และจากนั้นลบตัวเองทิ้ง
สำหรับไฟล์ไบนารีที่ถูกใช้ จะทำหน้าที่สื่อสารกับเซิร์ฟเวอร์ของผู้โจมตี ส่งข้อมูลโดยละเอียดของเครื่องโฮสต์ ดาวน์โหลดไฟล์ ZIP ของโปรแกรมขุดคริปโตที่เหมาะสมในระหว่างการรันระบบ และดำเนินการเปิดใช้งาน โดยมัลแวร์ดังกล่าวรองรับโปรแกรมขุดคริปโตจำนวน 3 โปรแกรม ได้แก่ gminer, lolMiner และ SRBMiner-MULTI
นอกจากนี้ ไฟล์ไบนารีดังกล่าว จะสร้างเครื่องมือที่ใช้ในการแฝงตัวอยู่ในระบบขึ้นมาใหม่ เพื่อสร้างการเข้าถึงระบบอย่างต่อเนื่อง และทำการกำหนด exception ในโปรแกรม Microsoft Defender exclusions ใหม่ซ้ำอีกครั้งในกรณีที่ exception เหล่านั้นถูกลบออก ทั้งยังทำหน้าที่เฝ้าติดตาม process ที่กำลังเปิดรันอยู่ และจะดำเนินการยุติการทำงานของโปรแกรมขุดคริปโตในทันทีหากตรวจพบ process ใด ๆ ดังต่อไปนี้
- taskmgr.exe (Windows Task Manager)
- processhacker.exe, processhacker2.exe (Process Hacker)
- procexp.exe, procexp64.exe (Process Explorer)
- systeminformer.exe (System Informer)
Microsoft ระบุว่า การผสานรวมกันระหว่างการแพร่กระจายโดยใช้ AI ช่วย, การแอบอ้างเป็นซอฟต์แวร์ และการสร้างช่องทางการเข้าถึงระบบอย่างถาวรนี้ แสดงให้เห็นอย่างชัดเจนว่ากลุ่มผู้โจมตีกำลังปรับเปลี่ยนวิธีการ Social Engineering และการแสวงหาผลประโยชน์ทางการเงินให้สอดรับกับพฤติกรรมของผู้ใช้งานในยุคปัจจุบัน
การเปิดเผยข้อมูลนี้เกิดขึ้นเพียงไม่กี่วันหลังจากที่ Microsoft ได้อธิบายรายละเอียดว่า ผู้โจมตีที่ไม่ทราบชื่อได้เจาะระบบ F5 BIG-IP ที่เชื่อมต่อกับอินเทอร์เน็ต และเจาะเข้าไปยังโฮสต์ Linux ภายในองค์กร ซึ่งแสดงให้เห็นถึงการใช้ประโยชน์จากอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตอย่างต่อเนื่องในฐานะจุดเริ่มต้นในการเข้าถึงระบบ
ระบบปฏิบัติการ Linux ช่วยให้ผู้โจมตีสามารถทำการสอดแนมได้อย่างครอบคลุม และสามารถโจมตีต่อไปยังเซิร์ฟเวอร์ Atlassian Confluence ที่มีช่องโหว่ได้ แม้ว่าความพยายามในการเรียกใช้โค้ดจากระยะไกลผ่านช่องโหว่ด้านความปลอดภัยที่ยังไม่ได้แก้ไขในซอฟต์แวร์จะไม่ประสบความสำเร็จก็ตาม
เพื่อเป็นแนวทางในการหลีกเลี่ยงข้อจำกัดเหล่านี้ มีรายงานว่าผู้โจมตีได้ตั้งค่าเซิร์ฟเวอร์ FTP บนเครื่องโฮสต์ระบบปฏิบัติการ Linux เริ่มต้นโดยใช้ module ftplib ของ Python เพื่อถ่ายโอนเครื่องมือสแกนที่ปรับแต่งขึ้นเองไปยัง Confluence server และหลังจากนั้นจึงได้ Credentials สำหรับใช้ในการยืนยันตัวตนในขั้นถัดไปกับ Windows infrastructure ซึ่งตามมาด้วยการโจมตีแบบ Kerberos relay attacks และการใช้ประโยชน์จากช่องโหว่ CVE-2025-33073
รายงานระบุว่า จากนั้นผู้โจมตีได้เจาะระบบแอปพลิเคชัน SaaS ที่มีช่องโหว่ และใช้ข้อมูล credentials ของแอปพลิเคชันนั้นในการโจมตีแบบ relay-style authentication ต่อ Active Directory
ในเหตุการณ์นี้ ผู้โจมตีได้ทำการยืนยันตัวตนเข้าสู่เซิร์ฟเวอร์ระบบปฏิบัติการ Linux ผ่านทาง SSH โดยใช้บัญชีผู้ใช้ที่ได้รับสิทธิ์ระดับสูง ซึ่งผู้โจมตีสามารถรักษาการเข้าถึงในระดับดังกล่าวไว้ได้ตลอดระยะเวลาของกิจกรรมที่ตรวจพบ โดยไม่มีการสร้างกลไกการเข้าถึงอย่างถาวรแต่อย่างใด เป็นการตอกย้ำถึงความเสี่ยงที่เกิดจากการกำหนดสิทธิ์บัญชีผู้ใช้ที่สูงเกินความจำเป็นที่มีสิทธิ์ระดับ sudo
เมื่อต้นเดือนที่ผ่านมา Microsoft ยังได้เปิดเผยถึงการโจมตีอีกรูปแบบหนึ่งที่ผู้โจมตีใช้ประโยชน์จากการแอบอ้างความสัมพันธ์ในการดำเนินงานที่ได้รับความไว้วางใจ และกระบวนการยืนยันตัวตนเพื่อสร้างการเข้าถึงระบบ โดยใช้ประโยชน์จาก Third-party IT services provider และเครื่องมือการจัดการไอทีที่ถูกต้องเพื่อวางแผนการโจมตีลับ ๆ ที่มุ่งเน้นการเข้าถึงระยะยาว และการขโมยข้อมูล Credential
Microsoft ระบุว่า ผู้ให้บริการภายนอก และ Integrated management tools สามารถกลายเป็นช่องโหว่ในการบังคับใช้มาตรการความปลอดภัยได้ เมื่อความสามารถในการ Monitor ระบบมีจำกัด หรือเมื่อมีการคิดเอาเองว่าระบบมีความปลอดภัย ซึ่งกลุ่มผู้โจมตีเข้าใจในจุดนี้ดี พวกเขาจึงใช้ประโยชน์จากส่วนประกอบที่ถูกต้อง ช่องทางการอัปเดตที่ได้รับความไว้วางใจ และระบบที่ได้รับอนุมัติ เพื่อแฝงตัวอยู่ในระบบ
ผู้ดูแลระบบควรปรับเปลี่ยนมาตรการไปสู่การตรวจสอบอย่างถี่ถ้วน การวางใจในผู้ให้บริการ และเครื่องมือสามารถทำได้ แต่ต้องทำการตรวจสอบพฤติกรรมการทำงานของเครื่องมือเหล่านี้ภายในสภาพแวดล้อมระบบ ทั้งนี้ องค์กรที่ดำเนินงานในภาคส่วนที่มีความละเอียดอ่อน และเสี่ยงต่อภัยคุกคาม ควรตระหนักอยู่เสมอว่ากลุ่มผู้โจมตีที่มีทักษะ และความเชี่ยวชาญ จะยังคงเดินหน้าปรับปรุงรูปแบบการหาผลประโยชน์จากบุคคลภายนอก การขโมย Credential และกลไกการแฝงตัวอย่างถาวรในระบบอย่างแนบเนียน เพื่อรักษาช่องทางการเข้าถึงเอาไว้ต่อไป
ที่มา : thehackernews
You must be logged in to post a comment.