กลุ่มแฮกเกอร์ ‘KONNI’ ซึ่งเชื่อว่าเป็นของเกาหลีเหนือ ได้เปิดฉากการโจมตีครั้งใหม่ โดยใช้ปัญญาประดิษฐ์ (AI) ในการสร้างโค้ด PowerShell เพื่อส่งมอบแบ็คดอร์ที่ซ่อนเร้น การปฏิบัติการนี้มุ่งเป้าไปที่ทีมพัฒนาและวิศวกรที่ทำงานด้าน Blockchain และ Crypto ในภูมิภาคเอเชียแปซิฟิก โดยใช้เอกสารล่อลวงที่แนบมากับไฟล์ทางลัดเพื่อติดตั้งมัลแวร์ แบ็คดอร์ที่สร้างโดย AI นี้มีความซับซ้อน สามารถรวบรวมข้อมูลฮาร์ดแวร์และรันแบบ File-less แสดงให้เห็นถึงการปรับใช้เครื่องมือ AI ของผู้ไม่หวังดีเพื่อเร่งการพัฒนาและปกปิดร่องรอยการโจมตีอย่างรวดเร็ว
Severity: สูง
System Impact:
- ทีมพัฒนาซอฟต์แวร์
- นักพัฒนาและทีมวิศวกร
- โครงการ Blockchain และ Crypto
- ที่เก็บโค้ด (Repositories)
- คอนโซลคลาวด์ (Cloud consoles)
- คีย์การลงนาม (Signing keys)
- ระบบ Build Pipeline
- ระบบการผลิต (Production systems)
- เวิร์กสเตชันที่ถูกบุกรุก
Technical Attack Steps:
- **การล่อเหยื่อ (Lure)**: กลุ่ม KONNI สร้างเอกสารความต้องการโครงการที่ดูเหมือนจริงเกี่ยวกับบอตซื้อขาย, ระบบยืนยันตัวตน และแผนงานการส่งมอบผลิตภัณฑ์ เพื่อใช้เป็นเอกสารล่อในรูปแบบ PDF
- **การแพร่กระจาย (Delivery)**: เอกสาร PDF ล่อลวงจะถูกจัดเก็บอยู่ในไฟล์ ZIP พร้อมกับไฟล์ทางลัด Windows (.LNK)
- **การเรียกใช้ Initial Loader**: เมื่อผู้ใช้เป้าหมายเปิดไฟล์ ZIP และดับเบิลคลิกไฟล์ .LNK ไฟล์ทางลัดจะเรียกใช้ PowerShell loader ที่ฝังอยู่
- **การติดตั้งแบ็คดอร์ (Backdoor Installation)**: PowerShell loader จะแอบปล่อยเอกสารล่อลวงชุดที่สองและไฟล์ CAB ที่ถูกบีบอัดลงบนระบบ
- **การสร้างกลไกคงอยู่ (Persistence Mechanism)**: ไฟล์ Batch ที่ถูกแกะจากไฟล์ CAB จะย้ายแบ็คดอร์ไปยังโฟลเดอร์ ProgramData ที่ซ่อนอยู่ และสร้าง Scheduled Task ที่เลียนแบบการเริ่มต้นของ OneDrive
- **การเรียกใช้แบบ File-less**: Scheduled Task นี้จะทำงานทุกชั่วโมง เพื่อถอดรหัส Payload ของ PowerShell จากดิสก์ด้วยคีย์ XOR และรัน Payload ในหน่วยความจำโดยตรง ทำให้มัลแวร์ทำงานแบบ File-less (ไม่มีไฟล์บนดิสก์ระหว่างรัน)
- **การปฏิบัติการของแบ็คดอร์**: แบ็คดอร์จะรวบรวมรายละเอียดฮาร์ดแวร์, ตรวจสอบเครื่องมือดีบัก (debugging tools) และตรวจสอบให้แน่ใจว่ามีเพียงอินสแตนซ์เดียวเท่านั้นที่ทำงานอยู่
Recommendations:
Short Term:
- **การฝึกอบรมพนักงาน**: เตือนพนักงานและทีมพัฒนาให้ระมัดระวังไฟล์แนบที่น่าสงสัย โดยเฉพาะไฟล์นามสกุล .LNK หรือไฟล์ที่ซ่อนนามสกุล และให้ความรู้เกี่ยวกับเทคนิค Social Engineering และ Phishing
- **การป้องกัน Endpoint**: ติดตั้งและอัปเดตโซลูชันความปลอดภัยอีเมลและ Endpoint (เช่น Antivirus/EDR) ที่สามารถตรวจจับการโจมตีแบบ File-less และการรัน PowerShell ที่น่าสงสัย
- **การจำกัด PowerShell**: ตรวจสอบและจำกัดการใช้งาน PowerShell โดยผู้ใช้ทั่วไป หรือบังคับใช้การตรวจสอบการรันสคริปต์ (script execution policies)
Long Term:
- **Endpoint Detection and Response (EDR)**: ใช้โซลูชัน EDR ที่มีประสิทธิภาพสูงเพื่อตรวจจับและตอบสนองต่อภัยคุกคามขั้นสูงที่อาจเล็ดลอดผ่านการป้องกันพื้นฐาน
- **การจัดการแพตช์**: อัปเดตระบบปฏิบัติการและซอฟต์แวร์ทั้งหมดอย่างสม่ำเสมอเพื่อแก้ไขช่องโหว่ที่ทราบ
- **การแบ่งแยกเครือข่าย (Network Segmentation)**: แบ่งแยกเครือข่าย โดยเฉพาะสภาพแวดล้อมสำหรับนักพัฒนาออกจากเครือข่ายส่วนอื่น เพื่อจำกัดการแพร่กระจายของการโจมตี
- **Multi-Factor Authentication (MFA)**: บังคับใช้ MFA สำหรับการเข้าถึงระบบและแพลตฟอร์มสำคัญทั้งหมด รวมถึงที่เก็บโค้ดและคอนโซลคลาวด์
- **การฝึกอบรมความตระหนักด้านความปลอดภัยขั้นสูง**: จัดอบรมความตระหนักรู้ด้านความปลอดภัยอย่างสม่ำเสมอ โดยเน้นภัยคุกคามใหม่ๆ เช่น มัลแวร์ที่สร้างด้วย AI และเทคนิคการหลบเลี่ยงการตรวจจับ
- **Application Whitelisting**: ใช้ Application Whitelisting เพื่ออนุญาตเฉพาะแอปพลิเคชันที่เชื่อถือได้และจำเป็นเท่านั้นที่สามารถรันได้บนเวิร์กสเตชันของนักพัฒนา
- **Secure Software Development Lifecycle (SSDLC)**: ผสานรวมแนวทางการพัฒนาซอฟต์แวร์ที่ปลอดภัยตลอดวงจรชีวิตการพัฒนา (เช่น การตรวจสอบความปลอดภัยของโค้ด, การสแกนช่องโหว่) เพื่อลดความเสี่ยงจากการโจมตี Supply Chain
Source: https://cybersecuritynews.com/north-korean-hackers-adopted-ai-to-generate-malware/
Share this content: