ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ พบรายงานการแพร่ระบาดของมัลแวร์สายพันธุ์ใหม่บนระบบปฏิบัติการ macOS ในชื่อ Gaslight ซึ่งทำหน้าที่เป็นทั้งโปรแกรม Backdoor และเป็นมัลแวร์ขโมยข้อมูล (Infostealer) จุดเด่นที่เป็นอันตรายคือมัลแวร์ตัวนี้ใช้เทคนิคการฝังข้อความสั่งการลวง หรือ Prompt Injection เพื่อรบกวนเครื่องมือวิเคราะห์มัลแวร์ที่ใช้ระบบปัญญาประดิษฐ์ (AI) หรือ Large Language Model (LLM) ทำให้ระบบตรวจจับเข้าใจผิดว่ากระบวนการตรวจสอบเกิดข้อผิดพลาดและหยุดการทำงาน ซึ่งส่งผลกระทบต่อผู้ใช้งาน macOS ในทุกภาคส่วน ที่อาจถูกขโมยข้อมูลสำคัญและรหัสผ่านไปได้ [1]
1. รายละเอียดภัยคุกคามและลักษณะของการโจมตี: จากการวิเคราะห์เชิงเทคนิค มัลแวร์ Gaslight ถูกพัฒนาขึ้นด้วยภาษา Rust มีพฤติกรรมและการทำงานแบ่งออกเป็น 2 ส่วนหลัก ดังนี้
1.1 มัลแวร์ตัวนี้ทำหน้าที่เป็นส่วนฝังตัวในระบบของเหยื่อ (Implant) เพื่อเปิดช่องทางการเข้าไปควบคุมเครื่อง (Backdoor) โดยใช้ Telegram Bot API เป็นช่องทางหลักในการสั่งการและควบคุม (Command and Control: C2) รองรับการรันคำสั่งผ่านระบบเชลล์ (Shell Command) การยุติกระบวนการทำงานของระบบ (Process) ตามหมายเลขโพรเซส (PID) รวมถึงการอัปโหลดไฟล์ นอกจากนี้ยังสร้างกลไกการฝังตัวเพื่อคงอยู่ในระบบอย่างถาวร (Persistence) ผ่านกลไก LaunchAgent บน macOS โดยใช้ Label ชื่อ com.apple.system.services.activity เพื่อให้มัลแวร์เริ่มทำงานใหม่โดยอัตโนมัติทุกครั้งหลังเหยื่อเข้าสู่ระบบ
1.2 มัลแวร์ Gaslight จะรันสคริปต์ภาษา Python ที่เข้ารหัสลับแบบ Base64 เพื่อรวบรวมข้อมูลภายในเครื่องอย่างละเอียด เช่น ประวัติคำสั่งบนหน้าจอ Terminal, รายการแอปพลิเคชัน, ฐานข้อมูลเก็บรหัสผ่านของระบบ (macOS Keychain) และข้อมูลสำคัญจากเว็บเบราว์เซอร์ (Chrome, Brave, Firefox, Safari) จากนั้นจะบีบอัดเป็นไฟล์ ZIP ส่งกลับไปยังผู้โจมตี ที่สำคัญมัลแวร์จะฝังข้อความสั่งการลวง หรือ Prompt Injection และข้อความแจ้งข้อผิดพลาดปลอมจำนวนมาก เพื่อทำให้ AI หรือ LLM ที่ทีมรักษาความปลอดภัยใช้ในการตรวจสอบพฤติกรรมมัลแวร์เกิดความสับสน ตัดทอนผลลัพธ์ หรือยุติการวิเคราะห์ไฟล์ดังกล่าวไปเอง
2. ผลกระทบที่อาจเกิดขึ้น
2.1 ข้อมูลบัญชีผู้ใช้ รหัสผ่าน หรือข้อมูลสำคัญที่จัดเก็บอยู่ในเครื่อง macOS อาจถูกขโมย
2.2 ข้อมูลจาก macOS Keychain อาจถูกเข้าถึง ซึ่งอาจรวมถึงข้อมูลรับรองตัวตนหรือข้อมูลที่เกี่ยวข้องกับการเข้าสู่ระบบต่าง ๆ
2.3 ข้อมูลจากเว็บเบราว์เซอร์ เช่น คุกกี้ ประวัติการใช้งาน ข้อมูลเข้าสู่ระบบ หรือข้อมูลที่บันทึกไว้ในเบราว์เซอร์ อาจรั่วไหล
2.4 ผู้โจมตีอาจใช้เครื่องที่ติดมัลแวร์เป็นจุดตั้งต้นในการสอดแนม ขโมยข้อมูลเพิ่มเติม หรือโจมตีระบบอื่นภายในหน่วยงาน
2.5 เครื่องมือวิเคราะห์มัลแวร์หรือกระบวนการ Security Triage ที่ใช้ AI/LLM อาจได้รับผลกระทบจากข้อความลวง ทำให้ผลการวิเคราะห์ไม่ครบถ้วน ถูกตัดทอน หรือเกิดความเข้าใจผิดเกี่ยวกับพฤติกรรมของมัลแวร์
3. แนวทางการป้องกันและลดความเสี่ยง
3.1 ผู้ดูแลระบบควรตรวจสอบเครื่อง macOS ภายในหน่วยงานว่ามี LaunchAgent หรือไฟล์ .plist ที่มี Label ผิดปกติ โดยเฉพาะชื่อ com.apple.system.services.activity หรือไม่
3.2 เฝ้าระวังพฤติกรรมการเชื่อมต่อออกไปยัง Telegram Bot API หรือปลายทางที่ไม่คุ้นเคย โดยเฉพาะจากเครื่อง macOS ที่ไม่ควรมีการใช้งานลักษณะดังกล่าว
3.3 ตรวจสอบพฤติกรรมผิดปกติ เช่น การรัน Shell Command โดยไม่ทราบที่มา การอัปโหลดไฟล์ออกสู่ภายนอก การสร้างไฟล์ ZIP ชั่วคราว หรือการเข้าถึงข้อมูล Keychain และข้อมูลเบราว์เซอร์ผิดปกติ
3.4 จำกัดสิทธิ์ผู้ใช้งานบนเครื่อง macOS ตามหลัก Least Privilege และไม่อนุญาตให้ผู้ใช้ทั่วไปติดตั้งหรือรันซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ
3.5 อัปเดต macOS เบราว์เซอร์ และซอฟต์แวร์รักษาความปลอดภัยให้เป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอ
3.6 ใช้เครื่องมือ Endpoint Detection and Response (EDR) หรือระบบตรวจจับพฤติกรรมที่สามารถตรวจสอบการสร้าง Persistence การรันคำสั่งผิดปกติ และการเชื่อมต่อ C2 ได้
3.7 สำหรับทีมวิเคราะห์มัลแวร์ ควรแยก “ข้อมูลที่อ่านจากตัวอย่างมัลแวร์” ออกจาก “คำสั่งระบบของเครื่องมือ AI” อย่างชัดเจน และไม่ให้ข้อความที่ฝังอยู่ในไฟล์มัลแวร์สามารถมีอิทธิพลต่อคำสั่งหรือเงื่อนไขการทำงานของระบบวิเคราะห์
3.8 หากสงสัยว่าเครื่องติดมัลแวร์ ให้แยกเครื่องออกจากเครือข่ายทันที เก็บหลักฐานที่เกี่ยวข้อง ตรวจสอบ Log การเชื่อมต่อภายนอก ตรวจสอบ Persistence บน macOS และเปลี่ยนรหัสผ่านบัญชีที่เคยใช้งานบนเครื่องดังกล่าว โดยเฉพาะบัญชีที่เกี่ยวข้องกับระบบของหน่วยงาน
แหล่งอ้างอิง