กลุ่มลาซารัสครองอันดับการแฮ็กทั่วโลก ขณะที่การโจมตีสปีร์ฟิชชิ่งพุ่งสูงขึ้น

ตามรายงานจากบริษัทความมั่นคงปลอดภัย AhnLab ของเกาหลีใต้ องค์กรแฮ็กเกอร์ที่เชื่อมโยงกับรัฐอย่างกลุ่มลาซารัส (Lazarus Group) ที่ได้รับการสนับสนุนจากเกาหลีเหนือ อาศัยการสปีร์ฟิชชิ่งเป็นหลักในการขโมยเงินและรวบรวมข่าวกรองในช่วง 12 เดือนที่ผ่านมา กลุ่มนี้มักแอบอ้างเป็นผู้จัดงานประชุม ผู้ติดต่อเรื่องงาน หรือเพื่อนร่วมงานเพื่อหลอกให้ผู้ใช้เปิดไฟล์หรือรันคำสั่ง

กลุ่มลาซารัส: การสปีร์ฟิชชิ่งสมจริงมากขึ้นด้วยเหยื่อล่อจาก AI

รายงานเปิดเผยว่าหน่วยหนึ่งที่รู้จักกันในชื่อ Kimsuky ใช้ปัญญาประดิษฐ์ (AI) ปลอมแปลงภาพบัตรประจำตัวทหารและซ่อนไว้ในไฟล์ ZIP เพื่อให้ข้อความดูน่าเชื่อถือ

นักวิจัยความปลอดภัยระบุว่าบัตรปลอมเหล่านี้มีความสมจริงเพียงพอที่ผู้รับจะเปิดไฟล์แนบ ซึ่งจากนั้นก็จะรันโค้ดที่ซ่อนอยู่ เหตุการณ์นี้ถูกสืบย้อนไปถึงกลางเดือนกรกฎาคม 2025 และดูเหมือนจะเป็นก้าวขึ้นใหม่ในวิธีที่ผู้โจมตีสร้างเหยื่อล่อ

เป้าหมายเรียบง่าย นั่นคือทำให้ผู้ใช้เชื่อใจข้อความ เปิดไฟล์ และผู้โจมตีก็ได้ช่องทางเข้า สิทธิ์การเข้าถึงนี้สามารถนำไปสู่การขโมยข้อมูลประจำตัว การติดตั้งมัลแวร์ หรือการระบายเงินออกจากวอลเล็ตคริปโต กลุ่มที่เชื่อมโยงกับเปียงยางถูกเชื่อมโยงกับการโจมตีเป้าหมายด้านการเงินและการป้องกันประเทศ เป็นต้น

เหยื่อของกลุ่มลาซารัสถูกขอให้รันคำสั่ง

แคมเปญบางส่วนไม่ได้พึ่งพาช่องโหว่ที่ซ่อนอยู่เท่านั้น ในหลายกรณี เป้าหมายถูกหลอกให้พิมพ์คำสั่ง PowerShell ด้วยตัวเอง บางครั้งขณะที่เชื่อว่ากำลังปฏิบัติตามคำแนะนำอย่างเป็นทางการ

ขั้นตอนนี้ทำให้ผู้โจมตีสามารถรันสคริปต์ด้วยสิทธิ์ระดับสูงโดยไม่จำเป็นต้องใช้ช่องโหว่ Zero-day แหล่งข่าวความปลอดภัยเตือนว่าเทคนิคทางสังคมนี้กำลังแพร่กระจายและตรวจจับได้ยาก

กลุ่มลาซารัส: ไฟล์ประเภทเก่า เทคนิคใหม่

ผู้โจมตียังใช้ไฟล์ทางลัด (shortcut) ของ Windows และรูปแบบที่คล้ายกันเพื่อซ่อนคำสั่งที่รันแบบเงียบๆ เมื่อเปิดไฟล์ นักวิจัยได้บันทึกตัวอย่างไฟล์ .lnk ที่เป็นอันตรายเกือบ 1,000 ตัวอย่างที่เชื่อมโยงกับแคมเปญที่กว้างขึ้น ซึ่งแสดงให้เห็นว่าไฟล์ประเภทที่คุ้นเคยยังคงเป็นวิธีการส่งมอบที่ชื่นชอบ ทางลัดเหล่านั้นสามารถรันอาร์กิวเมนต์ที่ซ่อนอยู่และดึงเพย์โหลดเพิ่มเติมลงมาได้

ทำไมเรื่องนี้ถึงสำคัญในตอนนี้

นี่ทำให้การโจมตีหยุดได้ยากขึ้น: ข้อความที่ปรับแต่งเฉพาะ ภาพที่ปลอมแปลงด้วย AI และกลลวงที่ขอให้ผู้ใช้รันโค้ด การยืนยันตัวตนหลายปัจจัยและการอัปเดตซอฟต์แวร์ช่วยได้ แต่การฝึกอบรมคนให้ปฏิบัติต่อคำขอที่ผิดปกติด้วยความสงสัยยังคงเป็นสิ่งสำคัญ ทีมความปลอดภัยสนับสนุนมาตรการความปลอดภัยพื้นฐาน: อัปเดต ตรวจสอบ และเมื่อสงสัย ให้ตรวจสอบกับผู้ติดต่อที่รู้จัก

ตามรายงาน กลุ่มลาซารัสและ Kimsuky ยังคงดำเนินกิจกรรมอย่างต่อเนื่อง ลาซารัส จากผลการค้นพบของ AhnLab ได้รับการกล่าวถึงมากที่สุดในการวิเคราะห์หลังอาชญากรรมไซเบอร์ในช่วง 12 เดือนที่ผ่านมา กลุ่มนี้ถูกระบุสำหรับการแฮ็กที่มีแรงจูงใจทางการเงิน ในขณะที่ Kimsuky ดูเหมือนจะมุ่งเน้นไปที่การรวบรวมข่าวกรองและการหลอกลวงแบบเฉพาะทางมากขึ้น

แปลโดย CryptoPhantom64