แคสเปอร์สกี้ (Kaspersky) เปิดเผยปฏิบัติการจารกรรมไซเบอร์ครั้งใหญ่ “GhostCall” และ “GhostHire” โดยกลุ่ม BlueNoroff ที่เชื่อมโยงกับ Lazarus มุ่งเป้าโจมตีผู้บริหารและนักพัฒนาในอุตสาหกรรม Web3 และคริปโทเคอร์เรนซี ในหลายประเทศทั่วโลก โดยใช้เครื่องมือที่ขับเคลื่อนด้วย AI และเทคนิควิศวกรรมสังคมที่ซับซ้อน เพื่อขโมยสินทรัพย์ดิจิทัล สร้างความสั่นสะเทือนต่อความเชื่อมั่นและเสถียรภาพของเศรษฐกิจดิจิทัล
ณ การประชุมสุดยอดนักวิเคราะห์ความปลอดภัย (Security Analyst Summit) ที่จัดขึ้นในประเทศไทย ทีมวิจัยและวิเคราะห์ระดับโลก (GReAT) ของแคสเปอร์สกี้ ได้เปิดเผยรายงานการค้นพบที่น่าตกใจ ซึ่งอาจส่งผลกระทบโดยตรงต่อระบบเศรษฐกิจดิจิทัลและอุตสาหกรรมการเงินยุคใหม่
ปฏิบัติการมุ่งร้ายล่าสุดนี้ ถูกขนานนามว่า ‘GhostCall’ และ ‘GhostHire’ เป็นการยกระดับการโจมตีของกลุ่ม BlueNoroff ซึ่งเป็นที่รู้จักกันดีว่าเป็นหน่วยงานย่อยของกลุ่ม Lazarus ที่ปฏิบัติการโดยมีแรงจูงใจทางการเงินเป็นหลัก โดยเฉพาะการขยายแคมเปญ ‘SnatchCrypto’ ที่มุ่งเป้าไปที่อุตสาหกรรมคริปโทฯ ทั่วโลก
การโจมตีระลอกใหม่นี้กำลังดำเนินอยู่อย่างต่อเนื่องอย่างน้อยตั้งแต่เดือนเมษายน 2568 โดยมีเป้าหมายหลักคือองค์กรที่เกี่ยวข้องกับ Web3 และคริปโทเคอร์เรนซี ซึ่งถือเป็นหัวใจสำคัญของนวัตกรรมทางการเงินในปัจจุบัน เป้าหมายการโจมตีได้ขยายวงกว้างครอบคลุมหลายประเทศ ทั้งในอินเดีย, ตุรกี, ออสเตรเลีย และประเทศอื่นๆ ในยุโรปและเอเชีย
ความน่ากังวลอยู่ที่การเปลี่ยนแปลงกลยุทธ์ของ BlueNoroff ซึ่งในครั้งนี้ได้มุ่งเป้าไปที่บุคลากรระดับสูง นั่นคือ นักพัฒนาบล็อกเชนและผู้บริหารระดับสูง (Executives) โดยใช้เทคนิคการแทรกซึมแบบใหม่และมัลแวร์ที่ออกแบบมาโดยเฉพาะ เพื่อเจาะระบบปฏิบัติการทั้ง macOS และ Windows โดยมีการจัดการผ่านโครงสร้างพื้นฐานการสั่งการและควบคุม (C2) แบบรวมศูนย์
กลยุทธ์ “GhostCall”: ล่าผู้บริหารบน macOS
แคมเปญ ‘GhostCall’ แสดงให้เห็นถึงความเชี่ยวชาญในการโจมตีแบบวิศวกรรมสังคม (Social Engineering) ที่ซับซ้อนและมีการวางแผนมาอย่างดี โดยมุ่งเป้นไปที่ผู้ใช้งาน macOS ซึ่งมักเป็นกลุ่มผู้บริหารระดับสูง
กระบวนการโจมตีเริ่มต้นอย่างแยบยล ผู้โจมตีจะติดต่อเป้าหมายผ่านแอปพลิเคชัน Telegram โดยปลอมตัวเป็นนักลงทุนร่วมทุน (Venture Capitalists) ในบางกรณี พวกเขาใช้บัญชีที่ถูกประนีประนอม (Compromised Accounts) ของผู้ประกอบการจริงหรือผู้ก่อตั้งสตาร์ทอัพ เพื่อสร้างความน่าเชื่อถือ และนำเสนอโอกาสในการลงทุนหรือความร่วมมือทางธุรกิจ
เมื่อเหยื่อหลงเชื่อ จะถูกเชิญให้เข้าร่วมการประชุมการลงทุนปลอมผ่านเว็บไซต์ฟิชชิ่งที่เลียนแบบแพลตฟอร์มยอดนิยมอย่าง Zoom หรือ Microsoft Teams ในระหว่างการประชุมปลอมนี้ เหยื่อจะถูกแจ้งเตือนให “อัปเดต” ไคลเอนต์เพื่อแก้ไขปัญหาเสียงที่เกิดขึ้น การกระทำดังกล่าวคือการหลอกให้ดาวน์โหลดสคริปต์ที่เป็นอันตราย (Malicious Script) ซึ่งจะนำไปสู่การติดตั้งมัลแวร์บนอุปกรณ์ของเหยื่อในที่สุด
โซจุน รยู (Sojun Ryu) นักวิจัยด้านความปลอดภัยของ Kaspersky GReAT ให้ความเห็นว่า “แคมเปญนี้อาศัยการหลอกลวงที่วางแผนมาอย่างรอบคอบและมีเจตนา”
“ผู้โจมตีจะเล่นวิดีโอของเหยื่อคนก่อนๆ ซ้ำในระหว่างการประชุมที่จัดฉากขึ้น เพื่อให้การโต้ตอบดูเหมือนเป็นการโทรจริงและหลอกลวงเป้าหมายใหม่ ข้อมูลที่รวบรวมได้ในกระบวนการนี้ ไม่เพียงแต่จะถูกใช้กับเหยื่อรายแรกเท่านั้น แต่ยังถูกนำไปใช้ประโยชน์เพื่อเปิดใช้งานการโจมตีครั้งต่อไปและการโจมตีแบบซัพพลายเชน โดยใช้ประโยชน์จากความสัมพันธ์ที่เชื่อถือได้เพื่อประนีประนอมกับองค์กรและผู้ใช้ในวงกว้างขึ้น”
ผลลัพธ์ของการโจมตีนี้คือการติดตั้งเพย์โหลด (Payloads) ที่ออกแบบมาเฉพาะ โดยแคสเปอร์สกี้ตรวจพบห่วงโซ่การดำเนินการหลายขั้นตอนถึง 7 รูปแบบ ซึ่ง 4 ในนั้นไม่เคยพบเห็นมาก่อน มัลแวร์เหล่านี้มุ่งเป้าไปที่การขโมยข้อมูลทางการเงินโดยตรง ได้แก่:
- Crypto Stealers: ตัวขโมยคริปโทเคอร์เรนซี
- Browser Credential Stealers: ตัวขโมยข้อมูลรับรองของเบราว์เซอร์
- Secrets Stealer: ตัวขโมยข้อมูลลับ (เช่น API keys)
- Telegram Credential Stealers: ตัวขโมยข้อมูลรับรองของ Telegram (เพื่อใช้ในการโจมตีครั้งต่อไป)
การโจมตีผู้บริหารระดับสูงโดยตรงเช่นนี้ ถือเป็นภัยคุกคามทางเศรษฐกิจที่ร้ายแรงอย่างยิ่ง เพราะผู้บริหารคือผู้กุมกุญแจสำคัญในการเข้าถึงกองทุนของบริษัท (Corporate Wallets) การตัดสินใจลงทุน และข้อมูลกลยุทธ์ทางธุรกิจ การสูญเสียการควบคุมอาจหมายถึงการล่มสลายของทั้งองค์กร
กลยุทธ์ “GhostHire”: กับดักนักพัฒนาผ่าน GitHub
ในขณะที่ GhostCall มุ่งเป้าไปที่ผู้บริหาร แคมเปญ ‘GhostHire’ กลับมุ่งเน้นไปที่รากฐานของอุตสาหกรรม นั่นคือ นักพัฒนาบล็อกเชน (Blockchain Developers)
ในแคมเปญนี้ ผู้โจมตีจะสวมรอยเป็นนายหน้าจัดหางาน (Recruiters) และหลอกลวงเหยื่อให้ดาวน์โหลดและเรียกใช้ Repository บน GitHub ที่มีมัลแวร์แฝงอยู่ โดยอ้างว่าไฟล์ดังกล่าวเป็นแบบทดสอบทักษะ (Skill Assessment)
แม้ว่า GhostHire จะใช้โครงสร้างพื้นฐานและเครื่องมือร่วมกับ GhostCall แต่แทนที่จะใช้วิดีโอคอล กลับมุ่งเน้นไปที่การเข้าถึงนักพัฒนาและวิศวกรโดยตรงผ่านการรับสมัครงานปลอม
กระบวนการเริ่มต้นจากการติดต่อครั้งแรก จากนั้นเหยื่อจะถูกเพิ่มเข้าไปใน Telegram Bot ซึ่งจะส่งไฟล์ ZIP หรือลิงก์ GitHub มาให้ พร้อมกับกำหนดเวลาสั้นๆ เพื่อกดดันให้ทำงานให้เสร็จ เมื่อเหยื่อหลงกลและรันไฟล์ดังกล่าว มัลแวร์จะติดตั้งตัวเองลงบนเครื่องของเหยื่อ โดยมีการปรับแต่งให้เข้ากับระบบปฏิบัติการนั้นๆ
การโจมตีนักพัฒนาถือเป็นการโจมตีซัพพลายเชน (Supply-Chain Attack) ที่อันตรายอย่างยิ่งในระบบเศรษฐกิจ Web3 หากนักพัฒนาถูกประนีประนอม ผู้โจมตีอาจสามารถแทรกแซงโค้ดของโครงการ (Smart Contracts, Protocols) ซึ่งอาจนำไปสู่การขโมยเงินทุนจากผู้ใช้ทั้งหมดในระบบนิเวศนั้นๆ ได้
AI: ตัวเร่งปฏิกิริยาการโจมตีทางเศรษฐกิจ
จุดเปลี่ยนที่น่ากังวลที่สุดในการเปิดเผยครั้งนี้ คือการที่ BlueNoroff นำ Generative AI (ปัญญาประดิษฐ์เชิงกำเนิด) มาใช้เป็นเครื่องมือหลัก
การใช้ AI ช่วยให้ BlueNoroff สามารถเร่งกระบวนการพัฒนามัลแวร์และปรับแต่งเทคนิคการโจมตีให้เฉียบคมยิ่งขึ้น ผู้โจมตีได้นำภาษาโปรแกรมใหม่ๆ มาใช้และเพิ่มคุณสมบัติเพิ่มเติม ทำให้การตรวจจับและวิเคราะห์มีความซับซ้อนอย่างมากสำหรับฝ่ายป้องกัน
ยิ่งไปกว่านั้น AI ยังช่วยให้ผู้โจมตีสามารถจัดการและขยายปฏิบัติการของตนได้ เพิ่มทั้งความซับซ้อนและขนาดของการโจมตี
โอมาร์ อามิน (Omar Amin) นักวิจัยด้านความปลอดภัยอาวุโสของ Kaspersky GReAT กล่าวว่า กลยุทธ์การกำหนดเป้าหมายของผู้คุกคามได้พัฒนาไปไกลกว่าการขโมยข้อมูลรับรองคริปโทฯ และเบราว์เซอร์แบบเดิมๆ
“การใช้ Generative AI ได้เร่งกระบวนการนี้อย่างมีนัยสำคัญ ช่วยให้การพัฒนามัลแวร์ง่ายขึ้นโดยมีค่าใช้จ่ายในการดำเนินงานลดลง แนวทางที่ขับเคลื่อนด้วย AI นี้ช่วยเติมเต็มช่องว่างของข้อมูลที่มีอยู่ ทำให้สามารถกำหนดเป้าหมายได้แม่นยำยิ่งขึ้น ด้วยการรวมข้อมูลที่ถูกประนีประนอมเข้ากับความสามารถในการวิเคราะห์ของ AI ขอบเขตของการโจมตีเหล่านี้จึงขยายออกไป เราหวังว่าการวิจัยของเราจะมีส่วนช่วยในการป้องกันความเสียหายเพิ่มเติม”
นี่คือการแข่งขันทางอาวุธในโลกไซเบอร์ที่ชัดเจน เมื่อฝ่ายอาชญากรนำ AI มาใช้เพื่อลดต้นทุนและเพิ่มประสิทธิภาพการโจมตี ภาคธุรกิจและเศรษฐกิจดิจิทัลจึงตกอยู่ในความเสี่ยงที่สูงขึ้นอย่างก้าวกระโดด
ภาคธุรกิจต้องรับมืออย่างไร: คำแนะนำจากผู้เชี่ยวชาญ
ในภาวะที่ภัยคุกคามมีความซับซ้อนสูงและขับเคลื่อนด้วย AI เช่นนี้ องค์กรต่างๆ ในอุตสาหกรรม Web3, คริปโทฯ และภาคการเงิน จำเป็นต้องยกระดับมาตรการป้องกันในทุกมิติ แคสเปอร์สกี้ได้ให้คำแนะนำแนวทางปฏิบัติที่ดีที่สุดเพื่อป้องกันการโจมตีอย่าง GhostCall และ GhostHire ดังนี้:
- เพิ่มความระมัดระวังสูงสุด (Be Cautious):
- ระวังข้อเสนอที่ดูดีเกินจริง (Generous Offers) และข้อเสนอการลงทุน
- ตรวจสอบตัวตน (Verify Identity) ของผู้ติดต่อใหม่ทุกคน โดยเฉพาะผู้ที่ติดต่อผ่าน Telegram, LinkedIn หรือแพลตฟอร์มโซเชียลอื่นๆ
- ใช้ช่องทางที่ปลอดภัย (Secure Channels):
- ใช้ช่องทางการสื่อสารขององค์กรที่ผ่านการตรวจสอบและปลอดภัย สำหรับการสื่อสารที่ละเอียดอ่อนทั้งหมด
- ตั้งสมมติฐานว่าถูกแฮ็ก (Assume Compromise):
- พึงระลึกไว้เสมอว่าบัญชีของผู้ติดต่อที่เชื่อถือได้อาจถูกแฮ็กหรือถูกประนีประนอม
- ตรวจสอบตัวตนซ้ำผ่านช่องทางอื่น (Alternative Channels) ก่อนเปิดไฟล์และลิงก์ใดๆ และต้องแน่ใจเสมอว่ากำลังอยู่บนโดเมนที่เป็นทางการ
- ห้ามรันสคริปต์ที่ไม่รู้จัก (Avoid Unverified Scripts):
- หลีกเลี่ยงการรันสคริปต์หรือคำสั่งที่ไม่ได้รับการตรวจสอบเพื่อแก้ไขปัญหาต่างๆ โดยเฉพาะปัญหา “เสียง” หรือ “การเชื่อมต่อ”
- ใช้โซลูชันความปลอดภัยขั้นสูง (Advanced Security Solutions):
- องค์กรควรใช้โซลูชันจากกลุ่มผลิตภัณฑ์ Kaspersky Next ซึ่งให้การป้องกันแบบเรียลไทม์, การมองเห็นภัยคุกคาม, และความสามารถในการตรวจสอบและตอบสนอง (EDR และ XDR) โซลูชันเหล่านี้สามารถปรับขนาดได้ตามความต้องการขององค์กร
- ใช้บริการแบบจัดการ (Managed Security Services):
- พิจารณาใช้บริการรักษาความปลอดภัยแบบมีการจัดการโดยผู้เชี่ยวชาญ เช่น Compromise Assessment, Managed Detection and Response (MDR) และ Incident Response (IR) จากแคสเปอร์สกี้
- บริการเหล่านี้ช่วยป้องกันการโจมตีแบบหลบเลี่ยง (Evasive Cyberattacks), ตรวจสอบเหตุการณ์ และให้ความเชี่ยวชาญเพิ่มเติม แม้ว่าบริษัทจะขาดแคลนบุคลากรด้านความปลอดภัยไซเบอร์ก็ตาม
- เสริมสร้างข่าวกรองภัยคุกคาม (Threat Intelligence):
- ผู้เชี่ยวชาญด้านความปลอดภัยขององค์กร (InfoSec) จำเป็นต้องมีข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามทางไซเบอร์ที่มุ่งเป้ามายังองค์กร
- การใช้บริการ Kaspersky Threat Intelligence ล่าสุด จะช่วยให้ทีมงานมีบริบทที่สมบูรณ์ตลอดวงจรการจัดการเหตุการณ์ และช่วยระบุความเสี่ยงทางไซเบอร์ได้ทันท่วงที
การโจมตีครั้งนี้ตอกย้ำว่า ภูมิทัศน์ของภัยคุกคามทางไซเบอร์ต่อเศรษฐกิจดิจิทัลกำลังเปลี่ยนแปลงไปอย่างรวดเร็ว การป้องกันแบบเดิมๆ อาจไม่เพียงพออีกต่อไปเมื่อคู่ต่อสู้คือกลุ่มอาชญากรระดับรัฐที่ติดอาวุธ AI
ทั้งนี้ทีมวิจัยและวิเคราะห์ระดับโลก (Global Research & Analysis Team – GReAT) ก่อตั้งขึ้นในปี 2551 และดำเนินงานในฐานะหัวใจสำคัญของแคสเปอร์สกี้ มีหน้าที่เปิดโปงภัยคุกคามขั้นสูง (APTs), แคมเปญจารกรรมทางไซเบอร์, มัลแวร์สำคัญ, แรนซัมแวร์ และแนวโน้มอาชญากรรมไซเบอร์ใต้ดินทั่วโลก ปัจจุบัน GReAT ประกอบด้วยผู้เชี่ยวชาญกว่า 35 คนที่ทำงานอยู่ทั่วโลก
แคสเปอร์สกี้ (Kaspersky) เป็นบริษัทระดับโลกด้านความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวทางดิจิทัล ก่อตั้งขึ้นในปี 2540 ด้วยอุปกรณ์กว่าพันล้านเครื่องที่ได้รับการปกป้อง บริษัทมีความเชี่ยวชาญในการเปลี่ยนแปลงข้อมูลภัยคุกคามเชิงลึกให้เป็นโซลูชันและบริการที่เป็นนวัตกรรม เพื่อปกป้องบุคคล, ธุรกิจ, โครงสร้างพื้นฐานที่สำคัญ และรัฐบาลทั่วโลก
#TheReporterAsia #ข่าวเศรษฐกิจ #BlueNoroff #Lazarus #Kaspersky #GReAT #GhostCall #GhostHire #Web3 #Crypto #คริปโทเคอร์เรนซี #Cybersecurity #ภัยคุกคามไซเบอร์ #AI #GenerativeAI #เศรษฐกิจดิจิทัล #macOS #GitHub #SnatchCrypto #SAS2025
