150/68 (IT) ประจำวันพุธที่ 23 เมษายน 2568
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จาก AhnLab Security Intelligence Center (ASEC) ประเทศเกาหลีใต้ ตรวจพบแคมเปญการโจมตีไซเบอร์ใหม่ที่เชื่อมโยงกับกลุ่มแฮกเกอร์ของเกาหลีเหนือ Kimsuky ที่ใช้ช่องโหว่ BlueKeep (CVE-2019-0708) ในบริการ Microsoft Remote Desktop Services (RDP) เพื่อเจาะเข้าสู่ระบบของเป้าหมายในเกาหลีใต้และญี่ปุ่น ซึ่งแคมเปญนี้มีชื่อว่า Larva-24005 โดยช่องโหว่ BlueKeep มีคะแนน CVSS สูงถึง 9.8 เป็นช่องโหว่แบบ wormable ที่เปิดโอกาสให้ผู้โจมตีสามารถ Remote Code Execution (RCE) ได้โดยไม่ต้องยืนยันตัวตน เพียงส่ง request ที่ถูก crafted มาอย่างเฉพาะเจาะจงผ่าน RDP แม้ Microsoft จะออก patch ตั้งแต่เดือนพฤษภาคม 2019 แต่ยังคงพบระบบที่ไม่ได้อัปเดต และถูกใช้เป็นช่องทางโจมตี นอกจากนี้ผู้โจมตียังอาศัย phishing email ที่แนบไฟล์ใช้ประโยชน์จากช่องโหว่ CVE-2017-11882 บน Equation Editor เพื่อเจาะระบบอีกทางหนึ่ง
หลังจากได้รับสิทธิ์เข้าถึงระบบแล้ว กลุ่ม Kimsuky จะใช้ dropper เพื่อติดตั้งมัลแวร์ชื่อ MySpy เครื่องมือ RDPWrap เพื่อเปิดการเข้าถึง RDP จากระยะไกล และมีการปรับแต่ง system settings เพื่อให้ควบคุมเครื่องจากภายนอกได้สะดวก โดย MySpy จะเก็บข้อมูลระบบของเป้าหมาย ก่อนที่ผู้โจมตีจะติดตั้ง keylogger อย่าง KimaLogger และ RandomQuery เพื่อดักจับการพิมพ์บนแป้นพิมพ์และกิจกรรมของผู้ใช้ในเครื่อง
แคมเปญนี้เริ่มขึ้นตั้งแต่เดือนตุลาคม 2023 โดยเน้นโจมตีองค์กรในกลุ่มธุรกิจ ซอฟต์แวร์ พลังงาน และการเงิน ของเกาหลีใต้เป็นหลัก และยังพบเหยื่อในหลายประเทศทั่วโลก เช่น สหรัฐฯ จีน เยอรมนี สิงคโปร์ แอฟริกาใต้ เนเธอร์แลนด์ เม็กซิโก เวียดนาม เบลเยียม สหราชอาณาจักร แคนาดา ไทย และโปแลนด์ ซึ่งบ่งชี้ถึงถึงพฤติกรรมเชิงรุกของ Kimsuky ที่ยังคงมีศักยภาพสูงและขยายขอบเขตการโจมตีสู่ระดับโลกอย่างต่อเนื่อง
แหล่งข่าว https://thehackernews.com/2025/04/kimsuky-exploits-bluekeep-rdp.html
