'โจรไซเบอร์' ใช้เครื่องมือ AI โจมตีผู้บริหารบน Windows และ macOS

ทีมวิจัยและวิเคราะห์ระดับโลกของ แคสเปอร์สกี้ (Kaspersky GReAT) พบกิจกรรมล่าสุดของกลุ่ม BlueNoroff APT ผ่านแคมเปญอันตราย 2 แคมเปญที่มุ่งเป้าโจมตีแบบเข้มข้น

ได้แก่ "GhostCall" และ "GhostHire" โดยปฏิบัติการร้ายที่กำลังดำเนินอยู่นี้มุ่งเป้าไปที่องค์กร Web3 และคริปโตในอินเดีย ตุรกี ออสเตรเลีย และประเทศอื่นๆ ในยุโรปและเอเชีย ตั้งแต่เดือนเมษายน 2025

BlueNoroff เป็นกลุ่มย่อยของกลุ่ม Lazarus ที่มีชื่อเสียงฉาวโฉ่ ได้ขยายแคมเปญ "SnatchCrypto" อันเป็นเอกลักษณ์ ปฏิบัติการร้ายทางการเงินที่มุ่งเป้าไปที่อุตสาหกรรมคริปโตทั่วโลก

แคมเปญ GhostCall และ GhostHire ที่เพิ่งได้รับการเปิดเผยใหม่นี้ใช้เทคนิคการแทรกซึมแบบใหม่ และใช้มัลแวร์ที่ปรับแต่งมาเพื่อโจมตีนักพัฒนาและผู้บริหารบล็อกเชน การโจมตีเหล่านี้ส่งผลกระทบต่อระบบ macOS และ Windows ที่เป็นเป้าหมายหลัก และจัดการผ่านโครงสร้างพื้นฐานแบบสั่งการและควบคุมแบบรวมศูนย์

ข้อมูลระบุว่า แคมเปญ GhostCall มุ่งเน้นโจมตีอุปกรณ์ macOS เริ่มจากการโจมตีทางวิศวกรรมสังคมที่ซับซ้อนและปรับแต่งเฉพาะบุคคล ผู้โจมตีปลอมตัวเป็นนักลงทุนร่วมทุนติดต่อผ่าน Telegram และในบางกรณีใช้บัญชีของผู้ประกอบการและผู้ก่อตั้งสตาร์ทอัพจริงๆ ที่ถูกละเมิดเพื่อเพิ่มโอกาสการลงทุนหรือความร่วมมือ

โดยเหยื่อจะได้รับเชิญให้เข้าร่วมการประชุมการลงทุนปลอมบนเว็บไซต์ฟิชชิงที่เลียนแบบ Zoom หรือ Microsoft Teams ซึ่งเหยื่อจะได้รับแจ้งให้ ‘อัปเดต’ ไคลเอ็นต์เพื่อแก้ไขปัญหาเสียง แต่จริงๆ แล้วเป็นดาวน์โหลดสคริปต์ที่เป็นอันตรายและแพร่กระจายมัลแวร์ในอุปกรณ์

โซจุน ริว นักวิจัยด้านความปลอดภัย ทีม Kaspersky GReAT กล่าวว่า แคมเปญนี้อาศัยการหลอกลวงที่วางแผนอย่างรอบคอบ ผู้โจมตีจะเล่นวิดีโอของเหยื่อก่อนหน้าซ้ำระหว่างการประชุมที่จัดฉากขึ้น ทำให้การสนทนาโต้ตอบดูเหมือนการโทรจริงเพื่อหลอกล่อเป้าหมายใหม่

ข้อมูลที่รวบรวมได้นี้ไม่เพียงแต่จะนำมาใช้กับเหยื่อรายแรกเท่านั้น แต่ยังนำไปใช้เพื่อโจมตีเหยื่อรายถัดไปและการโจมตีแบบซัพพลายเชน โดยอาศัยความสัมพันธ์ที่เชื่อถือได้เพื่อโจมตีองค์กรและผู้ใช้ในวงกว้างมากขึ้น

พบด้วยว่า ผู้โจมตีได้ปรับการดำเนินการแบบหลายขั้นตอนทั้งหมดเจ็ดขั้น ซึ่งสี่ขั้นนั้นไม่เคยปรากฏมาก่อน เพื่อกระจายเพย์โหลดแบบกำหนดเองใหม่ๆ มากมาย ซึ่งรวมถึงตัวขโมยต่างๆ (stealers) ทั้งตัวขโมยคริปโต ตัวขโมยข้อมูลประจำตัวของเบราว์เซอร์ ตัวขโมยความลับ และตัวขโมยข้อมูลประจำตัวของ Telegram

ส่วนในแคมเปญ GhostHire นั้น กลุ่ม APT มุ่งเป้าไปที่นักพัฒนาบล็อกเชน โดยปลอมตัวเป็นผู้สรรหาบุคลากรเหยื่อจะถูกหลอกให้ดาวน์โหลดและรันคลังข้อมูล GitHub ที่มีมัลแวร์ ซึ่งนำเสนอในรูปแบบของการประเมินทักษะ GhostHire ใช้โครงสร้างพื้นฐานและเครื่องมือต่างๆ ร่วมกับแคมเปญ GhostCall

แต่แทนที่จะใช้วิดีโอคอล แคมเปญนี้มุ่งเน้นไปที่การเข้าหานักพัฒนาและวิศวกรที่ลงมือปฏิบัติจริงผ่านการสรรหาบุคลากรปลอม หลังจากการติดต่อครั้งแรก เหยื่อจะถูกเพิ่มเข้าไปในบ็อต Telegram ซึ่งจะส่งไฟล์ ZIP หรือลิงก์ GitHub พร้อมกับกำหนดเวลาสั้นๆ ในการทำงานให้เสร็จสิ้น เมื่อมัลแวร์ทำงานแล้ว มัลแวร์จะติดตั้งตัวเองลงในเครื่องของเหยื่อ ซึ่งปรับแต่งให้เหมาะกับระบบปฏิบัติการ

การใช้  Generative AI ช่วยให้กลุ่ม BlueNoroff สามารถเร่งการพัฒนามัลแวร์และปรับปรุงเทคนิคการโจมตีได้ ผู้โจมตีได้นำภาษาโปรแกรมใหม่ๆ มาใช้และเพิ่มฟีเจอร์เพิ่มเติม ทำให้การตรวจจับและวิเคราะห์มีความซับซ้อนมากขึ้น มากกว่านั้นยังช่วยให้ผู้โจมตีสามารถจัดการและขยายการดำเนินงานได้ ซึ่งเพิ่มทั้งความซับซ้อนและขนาดของการโจมตี

โอมาร์ อามิน นักวิจัยด้านความปลอดภัยอาวุโส ทีม Kaspersky GReAT เผยว่า นับตั้งแต่แคมเปญก่อนหน้านี้ กลยุทธ์การกำหนดเป้าหมายของผู้ก่อภัยคุกคามได้พัฒนาไปไกลกว่าแค่การขโมยสกุลเงินดิจิทัลและการขโมยข้อมูลประจำตัวของเบราว์เซอร์

การใช้ Generative AI ได้เร่งกระบวนการนี้ขึ้นอย่างมาก ทำให้การพัฒนามัลแวร์ง่ายขึ้นและลดค่าใช้จ่ายในการดำเนินงาน ช่วยเติมเต็มช่องว่างของข้อมูลที่มีอยู่ ทำให้สามารถกำหนดเป้าหมายได้อย่างตรงจุดมากขึ้น

ด้วยการผสานข้อมูลที่ถูกละเมิดเข้ากับความสามารถในการวิเคราะห์ของ AI ทำให้ขอบเขตการโจมตีขยายกว้างขึ้น