49/69 (IT) ประจำวันอังคารที่ 27 มกราคม 2569
Check Point Research รายงานการค้นพบแคมเปญโจมตีทางไซเบอร์ระลอกใหม่จากกลุ่มแฮกเกอร์ Konni (หรือ Earth Imp/Opal Sleet) ที่เริ่มขยายขอบเขตการโจมตีจากเป้าหมายเดิมในเกาหลีใต้และรัสเซีย มาสู่กลุ่มนักพัฒนาซอฟต์แวร์และทีมวิศวกรรมในภาคส่วน Blockchain ในประเทศญี่ปุ่น ออสเตรเลีย และอินเดีย จุดที่น่ากังวลของปฏิบัติการครั้งนี้คือ การตรวจพบหลักฐานบ่งชี้ว่ามัลแวร์ PowerShell Backdoor ที่ใช้ในการโจมตี ถูกสร้างขึ้นโดยใช้ AI ซึ่งช่วยให้แฮกเกอร์สามารถพัฒนามัลแวร์ได้รวดเร็วขึ้นและมีโครงสร้างโค้ดที่เป็นระบบเพื่อง่ายต่อการปรับแต่ง
กระบวนการโจมตี (Kill Chain) เริ่มต้นจากการส่งอีเมล Phishing ลวงเหยื่อให้ดาวน์โหลดไฟล์ ZIP ที่แฝงอยู่บน Discord CDN โดยภายในประกอบด้วยไฟล์เอกสารปลอม ที่อ้างว่าเป็นรายละเอียดโปรเจกต์ และไฟล์ Shortcut (.LNK) อันตราย เมื่อเหยื่อเปิดไฟล์ Shortcut ระบบจะรัน PowerShell loader เพื่อแตกไฟล์ CAB และติดตั้ง Backdoor ลงในเครื่องทันที โดยมัลแวร์ชุดนี้มีความสามารถในการหลบเลี่ยงการตรวจสอบ และทำการยกระดับสิทธิ์ผู้ใช้ผ่านช่องโหว่ UAC (User Account Control) ด้วยเทคนิค FodHelper ก่อนจะติดตั้งเครื่องมือ Remote Monitoring and Management (RMM) ที่ชื่อว่า SimpleHelp เพื่อใช้เป็นช่องทางหลักในการควบคุมเครื่องจากระยะไกลและขโมยข้อมูลอย่างต่อเนื่อง
ผู้เชี่ยวชาญวิเคราะห์ว่า เป้าหมายทางยุทธศาสตร์ของแคมเปญนี้ไม่ใช่เพียงการโจมตีผู้ใช้ทั่วไป แต่ต้องการฝังตัวในสภาพแวดล้อมการพัฒนา (Development Environment) เพื่อใช้เป็นฐานในการโจมตีต่อเนื่องแบบ Supply Chain ไปยังโปรเจกต์และบริการอื่นๆ ที่เชื่อมโยงกัน การที่แฮกเกอร์เริ่มนำ AI มาใช้ในการเขียนโค้ดมัลแวร์ที่มีความซับซ้อนและมี Comments ชัดเจน สะท้อนให้เห็นถึงวิวัฒนาการของภัยคุกคามที่ต้องการลดต้นทุนเวลาแต่เพิ่มประสิทธิภาพในการโจมตี ซึ่งองค์กรในสายเทคโนโลยีจำเป็นต้องเพิ่มมาตรการตรวจสอบความปลอดภัยของไฟล์และกระบวนการ DevSecOps ให้เข้มงวดยิ่งขึ้น
แหล่งข่าว https://thehackernews.com/2026/01/konni-hackers-deploy-ai-generated.html
