กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือที่ชื่อว่า Konni (หรือเป็นที่รู้จักในชื่อ Opal Sleet, TA406) กำลังใช้มัลแวร์ PowerShell ที่สร้างขึ้นโดย AI เพื่อมุ่งเป้าโจมตีนักพัฒนา และวิศวกรในวงการ Blockchain

เชื่อกันว่ากลุ่ม Konni มีความเชื่อมโยงกับกลุ่ม APT37 และ Kimsuky โดยกลุ่มนี้มีการเคลื่อนไหวมาตั้งแต่อย่างน้อยปี 2014 และถูกตรวจพบว่าได้มุ่งเป้าโจมตีองค์กรต่าง ๆ ในเกาหลีใต้, รัสเซีย, ยูเครน และหลาย ๆ ประเทศในยุโรป

จากการวิเคราะห์ตัวอย่างโดยนักวิจัยของ Check Point พบว่าแคมเปญล่าสุดของกลุ่มผู้ไม่หวังดีเน้นเป้าหมายไปที่ภูมิภาคเอเชียแปซิฟิก เนื่องจากมีการส่งตัวอย่างมัลแวร์ดังกล่าวเข้ามาตรวจสอบจากประเทศญี่ปุ่น, ออสเตรเลีย และอินเดีย

การโจมตีเริ่มต้นเมื่อเหยื่อได้รับลิงก์ที่ฝากไว้บน Discord ซึ่งจะส่งไฟล์ ZIP ที่ภายในประกอบด้วยไฟล์ PDF สำหรับล่อลวง และไฟล์ LNK shortcut (.LNK) ที่เป็นอันตราย

ไฟล์ LNK ดังกล่าวจะสั่งทำงานตัว PowerShell loader ที่ฝังอยู่ เพื่อแตกไฟล์เอกสาร DOCX และไฟล์ CAB archive ออกมา โดยภายในประกอบด้วย PowerShell Backdoor, ไฟล์ Batch สองไฟล์ และไฟล์ Executable สำหรับหลบเลี่ยงระบบ UAC (User Account Control)

เมื่อเปิดไฟล์ shortcut เอกสาร DOCX จะถูกเปิดขึ้นพร้อมกับการสั่งรันไฟล์ Batch หนึ่งไฟล์ที่รวมอยู่ในไฟล์ Cabinet นั้น

เอกสาร DOCX ที่ใช้หลอกลวง แสดงให้เห็นเจตนาว่าแฮ็กเกอร์ต้องการโจมตีเข้าสู่ development environments ซึ่งจะช่วยให้พวกเขาสามารถเข้าถึง Assets ที่สำคัญ ได้แก่ โครงสร้างพื้นฐาน, ข้อมูล API credentials, การเข้าถึง Wallet และท้ายที่สุดคือเหรียญ Cryptocurrency ที่ถือครองอยู่"

ไฟล์ Batch ไฟล์แรกจะสร้าง Staging Directory สำหรับตัว Backdoor และไฟล์ Batch ไฟล์ที่สอง จะสร้าง Scheduled Task ให้ทำงานทุกชั่วโมง โดยอำพรางตัวเป็น Startup Task ของ OneDrive

Task ดังกล่าวจะอ่านสคริปต์ PowerShell ที่ถูกเข้ารหัสแบบ XOR จาก Disk และทำการถอดรหัสเพื่อสั่งประมวลผลภายในหน่วยความจำ จากนั้นในขั้นตอนสุดท้าย มันจะลบตัวเองทิ้งเพื่อกำจัดร่องรอยของการติดมัลแวร์

Backdoor ที่ถูกสร้างขึ้นโดย AI

ตัว PowerShell backdoor ดัวกล่าวจะถูกอำพรางไว้อย่างซับซ้อน โดยอาศัยการเข้ารหัส String ที่อิงตามหลัก Arithmetic การสร้าง String ขึ้นใหม่ในขณะที่โปรแกรมกำลังทำงาน และการสั่งทำงาน Logic ส่วนสุดท้ายผ่านคำสั่ง ‘Invoke-Expression’

นักวิจัยระบุว่ามัลแวร์ PowerShell ตัวนี้ แสดงให้เห็นอย่างชัดเจนว่าถูกพัฒนาขึ้นโดยมี AI เข้ามาช่วยเหลือ มากกว่าจะเป็นมัลแวร์ที่เขียนขึ้นโดย Operator ตามวิธีแบบดั้งเดิม

หลักฐานที่นำไปสู่ข้อสรุปดังกล่าว ได้แก่ การมีส่วนเอกสารกำกับที่ชัดเจน และเป็นโครงสร้างอยู่ที่ส่วนบนของสคริปต์ ซึ่งถือเป็นเรื่องที่ผิดปกติสำหรับการพัฒนามัลแวร์ รวมไปถึงการจัดวางรูปแบบโค้ดที่เป็นระเบียบแบ่งเป็นสัดส่วน และการปรากฏอยู่ของคอมเมนต์ที่เขียนว่า “# <– your permanent project UUID”

Check Point อธิบายว่า "การใช้ถ้อยคำเช่นนี้เป็นลักษณะเด่นอย่างมากของโค้ดที่สร้างขึ้นโดย LLM (Large Language Model) ซึ่งตัวโมเดลจะระบุคำแนะนำแก่ผู้ใช้อย่างชัดเจนถึงวิธีการปรับแก้ค่าที่เว้นว่างไว้ (Placeholder value)"

"คอมเมนต์ลักษณะนี้มักพบได้ทั่วไปในสคริปต์ และบทเรียนสอนเขียนโค้ดที่สร้างขึ้นโดย AI"

ก่อนที่จะเริ่มทำงาน มัลแวร์จะทำการตรวจสอบ Hardware, Software และกิจกรรมของผู้ใช้ เพื่อให้มั่นใจว่ามันไม่ได้กำลังถูกรันอยู่ในสภาพแวดล้อมสำหรับการวิเคราะห์ จากนั้นจึงจะสร้าง Host ID ที่ไม่ซ้ำกันขึ้นมา

ลำดับถัดไป ขึ้นอยู่กับระดับสิทธิ์การสั่งการ ที่ตัวมัลแวร์มีอยู่บนเครื่องที่ถูกโจมตีระบบ มัลแวร์จะเลือกดำเนินการตามเส้นทางที่แตกต่างกัน ดังที่แสดงในแผนภาพต่อไปนี้

เมื่อ Backdoor ทำงานอย่างสมบูรณ์บนอุปกรณ์ที่ติดมัลแวร์ มันจะติดต่อไปยังเซิร์ฟเวอร์ C2 เป็นระยะเพื่อส่งข้อมูล Metadata พื้นฐานของเครื่อง Host และส่ง Request ข้อมูลไปยังเซิร์ฟเวอร์ในช่วงเวลาแบบสุ่ม

หากการตอบกลับจาก C2 มีโค้ด PowerShell แนบมาด้วย มันจะแปลงโค้ดนั้นให้เป็น Script block และสั่งประมวลผลแบบ Asynchronously โดยอาศัยการทำงานอยู่เบื้องหลัง

ทาง Check Point ระบุว่า การโจมตีเหล่านี้เป็นฝีมือของกลุ่มผู้ไม่หวังดี Konni โดยอ้างอิงจากรูปแบบตัว Launcher ในอดีต ความซ้ำซ้อนของชื่อไฟล์หลอกลวง และชื่อสคริปต์ รวมถึงความคล้ายคลึงกันในโครงสร้าง Execution chain เมื่อเทียบกับการโจมตีก่อนหน้านี้

นักวิจัยได้เผยแพร่ Indicators of compromise (IoCs) ที่เกี่ยวข้องกับแคมเปญล่าสุดนี้ เพื่อช่วยให้ฝ่ายป้องกันสามารถปกป้อง Assets ของตนได้

ที่มา : bleepingcomputer

ผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ Privilege Escalation ระดับ Critical (CVE-2025–8489) ใน King Addons for Elementor plugin สำหรับ WordPress ซึ่งช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ระดับผู้ดูแลระบบได้ในระหว่างขั้นตอนการลงทะเบียน

การโจมตีเริ่มขึ้นตั้งแต่วันที่ 31 ตุลาคม ซึ่งเป็นเวลาเพียงหนึ่งวันหลังจากที่มีการเปิดเผยช่องโหว่ดังกล่าวสู่สาธารณะ ล่าสุด Wordfence ผู้ให้บริการด้านความปลอดภัยสำหรับเว็บไซต์ WordPress รายงานว่าได้บล็อกความพยายามในการโจมตีไปแล้วกว่า 48,400 ครั้ง

King Addons เป็นปลั๊กอินเสริมจาก third-party สำหรับใช้งานร่วมกับ Elementor ซึ่งเป็นปลั๊กอินสร้างหน้าเว็บไซต์แบบภาพยอดนิยมสำหรับเว็บไซต์ WordPress ปัจจุบัน King Addons ถูกใช้งานบนเว็บไซต์ประมาณ 10,000 แห่ง โดยทำหน้าที่เพิ่ม widgets templates และฟีเจอร์เสริมต่าง ๆ

CVE-2025–8489 นี้ถูกพบโดยนักวิจัย Peter Thaleikis โดยเป็นช่องโหว่ registration handler ของ plugin ซึ่งทำให้ผู้ที่ลงทะเบียนสามารถระบุ role ผู้ใช้บนเว็บไซต์ รวมถึง role ผู้ดูแลระบบได้ โดยที่ระบบไม่มีการตรวจสอบ หรือจำกัดสิทธิ์ใด ๆ

จากการตรวจสอบของ Wordfence พบว่าผู้โจมตีใช้วิธีส่ง Crafted Request ไปยังไฟล์ admin-ajax.

เบราว์เซอร์ที่ใช้ Chromium-based เช่น Chrome, Edge, และ Brave จัดการ extensions ที่ติดตั้งผ่านไฟล์ JSON preference ซึ่งจัดเก็บไว้ที่ %AppData%\Google\User Data\Default\Preferences (สำหรับเครื่องที่อยู่ในโดเมน) หรือ Secure Preferences (สำหรับระบบทั่วไป)

(more…)

พบผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ zero-day ในการติดตั้ง Sitecore รุ่นเก่าเพื่อติดตั้งมัลแวร์ WeepSteel reconnaissance (more…)

คณะกรรมาธิการการค้าของรัฐบาลกลางสหรัฐฯ (FTC) เตือนบริษัทเทคโนโลยีรายใหญ่ของสหรัฐฯ ไม่ให้ตอบสนองต่อแรงกดดันจากรัฐบาลต่างชาติ ที่อาจทำลายความปลอดภัยของข้อมูล, ละเมิดการเข้ารหัสข้อมูล หรือส่งเสริมการเซ็นเซอร์บนแพลตฟอร์มของตน (more…)

มีการพบว่ากลุ่ม APT ที่ใช้ภาษาจีน กำลังมุ่งเป้าการโจมตีไปยังหน่วยงานด้านโครงสร้างพื้นฐานเว็บในไต้หวัน โดยใช้เครื่องมือ Open-Source ที่ถูกปรับแต่งเพื่อสร้างการแฝงตัวระยะยาวในสภาพแวดล้อมของเหยื่อที่มีมูลค่าสูง (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแพ็กเกจอันตรายซึ่งถูกอัปโหลดขึ้นไปยัง Python Package Index (PyPI) repository ซึ่งทำหน้าที่เป็นเครื่องมือตรวจสอบ เพื่อยืนยันความถูกต้องของ email addresses ที่ถูกขโมยมาว่าสามารถใช้งานกับ API ของ TikTok และ Instagram ได้หรือไม่

ปัจจุบันแพ็กเกจทั้งสามรายการนี้ ไม่สามารถดาวน์โหลดได้บน PyPI แล้ว โดยชื่อของแพ็กเกจ Python มีดังต่อไปนี้ :

checker-SaGaF (ดาวน์โหลด 2,605 ครั้ง)
steinlurks (ดาวน์โหลด 1,049 ครั้ง)
sinnercore (ดาวน์โหลด 3,300 ครั้ง)

Olivia Brown นักวิจัยของ Socket ระบุว่า "แพ็กเกจ 'checker-SaGaF' จะทำหน้าที่ในการตรวจสอบว่าอีเมลนั้นมีการเชื่อมโยงกับบัญชีของ TikTok และ Instagram หรือไม่"

โดยเฉพาะ แพ็กเกจนี้ถูกออกแบบมาเพื่อส่ง HTTP POST request ไปยัง API การกู้คืนรหัสผ่านของ TikTok และการเข้าสู่ระบบของ Instagram เพื่อตรวจสอบว่าอีเมลที่กรอกเข้าไปนั้นถูกต้องหรือไม่ ซึ่งหมายความว่ามีบัญชีที่ผูกกับอีเมลดังกล่าวนั้นอยู่จริง

Brown ระบุว่า "เมื่อแฮ็กเกอร์ได้ข้อมูลอีเมลมาแล้ว พวกเขาสามารถข่มขู่เหยื่อด้วยการเปิดเผยข้อมูลส่วนตัว หรือส่งสแปมโจมตีด้วย fake report เพื่อทำให้บัญชีถูกระงับ หรือแค่ยืนยันเป้าหมายก่อนที่จะเริ่มดำเนินการโจมตีด้วยเทคนิค credential stuffing หรือ password spraying"

"รายชื่อผู้ใช้งานที่ผ่านการตรวจสอบแล้วก็มักถูกนำไปขายต่อบน dark web เพื่อทำกำไรอีกด้วย แม้การรวบรวมรายชื่ออีเมลที่ยังใช้งานอยู่จะดูเหมือนไม่เป็นอันตราย แต่ข้อมูลเหล่านี้สามารถนำไปใช้ และเร่งกระบวนการโจมตีทั้งหมด อีกทั้งยังช่วยหลีกเลี่ยงการตรวจจับได้ ด้วยการมุ่งเป้าไปที่บัญชีที่ยืนยันแล้วว่ามีการใช้งานจริงเท่านั้น"

สำหรับแพ็กเกจที่สองชื่อว่า "steinlurks" ก็ใช้วิธีคล้ายกัน โดยมุ่งเป้าไปที่บัญชี Instagram ผ่านการส่ง HTTP POST request ปลอม โดยเลียนแบบแอป Instagram บน Android เพื่อหลบเลี่ยงการตรวจจับ ซึ่งแพ็กเกจนี้ใช้วิธีการเข้าถึง API ที่แตกต่างออกไป

i.instagram[.]com/api/v1/users/lookup/
i.instagram[.]com/api/v1/bloks/apps/com.

กลุ่มผู้ไม่หวังดีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลตุรกี ได้ใช้ช่องโหว่ Zero-Day เพื่อโจมตีผู้ใช้งาน Output Messenger ที่เชื่อมโยงกับกองทัพเคิร์ดในอิรัก (more…)

ผู้โจมตีเริ่มมุ่งเป้าไปที่การใช้งาน Cisco Smart Licensing Utility (CSLU) ที่ไม่ได้รับการอัปเดตแพตช์จากช่องโหว่ที่ส่งผลให้มีการเปิดเผยบัญชีผู้ดูแลระบบที่เป็นลักษณะ backdoor

แอปพลิเคชัน CSLU สำหรับ Windows ช่วยให้ผู้ดูแลระบบสามารถจัดการ licenses และผลิตภัณฑ์ที่เชื่อมโยงภายในองค์กรโดยไม่ต้องเชื่อมต่อกับโซลูชัน Smart Software Manager บน Cloud ของ Cisco

Cisco ได้แก้ไขช่องโหว่ด้านความปลอดภัยนี้ (CVE-2024-20439) ในเดือนกันยายน โดยอธิบายว่าเป็นช่องโหว่ที่เกิดจาก "ข้อมูล credential ของบัญชีผู้ใช้ระดับผู้ดูแลระบบแบบ static ที่ไม่ได้ถูกบันทึกไว้" ซึ่งอาจทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยัน สามารถเข้าสู่ระบบที่ยังไม่ได้รับการอัปเดตแพตช์จากระยะไกลด้วยสิทธิ์ผู้ดูแลระบบผ่าน API ของแอปพลิเคชัน CSLU

บริษัทยังได้แก้ไขช่องโหว่การเปิดเผยข้อมูล CSLU ระดับ Critical อีกหนึ่งรายการ (CVE-2024-20440) ซึ่งผู้โจมตีที่ไม่ได้ผ่านการยืนยันสามารถใช้เพื่อเข้าถึง log files ที่มีข้อมูลที่มีความสำคัญ (รวมถึงข้อมูล API credentials) โดยการส่ง HTTP request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังอุปกรณ์ที่มีช่องโหว่

ช่องโหว่ทั้งสองรายการนี้ส่งผลกระทบกับระบบที่ใช้งานเวอร์ชัน Cisco Smart Licensing Utility ที่มีช่องโหว่เท่านั้น และสามารถถูกโจมตีได้เฉพาะเมื่อผู้ใช้งานเปิดใช้งานแอปพลิเคชัน CSLU ซึ่งไม่ได้ออกแบบให้ทำงานใน background โดยค่าเริ่มต้น

Nicholas Starke นักวิจัยด้านภัยคุกคามจาก Aruba ได้ทำ reverse-engineered กับช่องโหว่นี้ และเผยแพร่บทความที่มีรายละเอียดทางเทคนิค (รวมถึงรหัสผ่าน static ที่ถูกเข้ารหัส) ประมาณสองสัปดาห์หลังจากที่ Cisco ปล่อยแพตช์ความปลอดภัย

เป้าหมายในการโจมตี

Johannes Ullrich คณบดีฝ่ายวิจัยของสถาบันเทคโนโลยี SANS รายงานว่า กลุ่มผู้โจมตีกำลังเชื่อมโยงช่องโหว่ทั้งสองรายการในความพยายามโจมตีที่มุ่งเป้าไปที่การใช้งาน CSLU ที่เปิดเผยอยู่บนอินเทอร์เน็ต

Ullrich ระบุว่า "การค้นหาคร่าว ๆ ไม่พบการใช้ช่องโหว่ในการโจมตี (ในขณะนั้น) แต่รายละเอียดต่าง ๆ รวมถึงข้อมูล backdoor credentials ถูกเผยแพร่ในบล็อกของ Nicholas Starke หลังจาก Cisco ออกคำแนะนำด้านความปลอดภัย ดังนั้นจึงไม่น่าแปลกใจที่อาจจะเห็นพฤติกรรมการโจมตีหลังจากนี้"

แม้ว่าจะยังไม่ทราบเป้าหมายของการโจมตีด้วยช่องโหว่เหล่านี้ แต่กลุ่มผู้โจมตียังพยายามใช้ประโยชน์จากช่องโหว่ความปลอดภัยอื่น ๆ รวมถึงช่องโหว่การเปิดเผยข้อมูลที่ดูเหมือนจะเป็นช่องโหว่ที่มีการโจมตีโดยใช้ proof-of-concept (POC) ที่ถูกเผยแพร่ออกสู่สาธารณะ (CVE-2024-0305) ซึ่งส่งผลกระทบต่อเครื่องบันทึกวิดีโอดิจิตอล (DVR) ของ Guangzhou Yingke Electronic

คำแนะนำความปลอดภัยของ Cisco สำหรับ CVE-2024-20439 และ CVE-2024-20440 ยังคงระบุว่า ทีมตอบสนองเหตุการณ์ความปลอดภัยของผลิตภัณฑ์ (PSIRT) ยังไม่พบหลักฐานว่าผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ทั้งสองรายการ

CVE-2024-20439 ไม่ใช่บัญชี backdoor ตัวแรกที่ Cisco ลบออกจากผลิตภัณฑ์ในช่วงไม่กี่ปีที่ผ่านมา โดยพบข้อมูล credentials ที่ฝังอยู่ในซอฟต์แวร์ต่าง ๆ ของบริษัท เช่น Digital Network Architecture (DNA) Center, IOS XE, Wide Area Application Services (WAAS) และ Emergency Responder

ที่มา : bleepingcomputer

กลุ่มแฮ็กเกอร์จากจีนกำลังใช้วิธีการ hijacking SSH daemon บนอุปกรณ์เครือข่าย โดยส่งมัลแวร์เข้าสู่ process เพื่อให้สามารถแฝงตัวอยู่ในระบบได้อย่างถาวร และดำเนินการอย่างลับ ๆ (more…)