ข่าว

แคสเปอร์สกี้เผยกลุ่ม BlueNoroff ใช้ AI โจมตีผู้บริหารและนักพัฒนา Web3 บน Windows และ macOS ผ่านแคมเปญ ‘GhostCall’ และ ‘GhostHire’

Published

1 เดือน ago

3 พฤศจิกายน 2025

แคสเปอร์สกี้ (Kaspersky) เผยกลุ่ม BlueNoroff APT ใช้ AI เชิงสร้างสรรค์เร่งการพัฒนามัลแวร์ โจมตีองค์กร Web3 และคริปโต ด้วยเทคนิควิศวกรรมสังคมผ่านแคมเปญ ‘GhostCall’ มุ่ง macOS และ ‘GhostHire’ มุ่งนักพัฒนาบล็อกเชน บนระบบปฏิบัติการ Windows และ macOS ทั่วโลก

สำนักข่าวบริคอินโฟ – ทีมวิจัยและวิเคราะห์ระดับโลกของ แคสเปอร์สกี้ (Kaspersky GReAT) ได้เปิดเผยกิจกรรมล่าสุดของกลุ่มภัยคุกคามต่อเนื่องขั้นสูง (APT) ที่ชื่อว่า BlueNoroff โดยพบการโจมตีอย่างเข้มข้นในสองแคมเปญใหม่คือ ‘GhostCall’ และ ‘GhostHire’ ซึ่งมุ่งเป้าไปที่องค์กรในอุตสาหกรรม Web3 และ คริปโต ในหลายประเทศ เช่น อินเดีย ตุรกี และ ออสเตรเลีย รวมถึงประเทศอื่น ๆ ในยุโรปและเอเชีย ตั้งแต่เดือนเมษายน 2568 เป็นอย่างช้า การโจมตีเหล่านี้มีการปรับใช้มัลแวร์ที่ออกแบบมาเพื่อโจมตีระบบปฏิบัติการหลักอย่าง macOS และ Windows ของนักพัฒนาและผู้บริหาร บล็อกเชน โดยเฉพาะ

BlueNoroff ซึ่งเป็นกลุ่มย่อยของกลุ่ม Lazarus ที่เป็นที่รู้จัก ได้ขยายปฏิบัติการทางการเงินที่เรียกว่า ‘SnatchCrypto’ ที่มุ่งเป้าไปที่อุตสาหกรรม คริปโต ทั่วโลก การโจมตีในแคมเปญ GhostCall และ GhostHire อาศัยเทคนิคการแทรกซึมแบบใหม่และการใช้มัลแวร์แบบกำหนดเอง แคสเปอร์สกี้ (Kaspersky) ระบุว่า ผู้โจมตีได้ปรับปรุงการดำเนินการแบบหลายขั้นตอนทั้งหมดเจ็ดขั้น ซึ่งสี่ขั้นนั้นไม่เคยปรากฏมาก่อน เพื่อกระจายเพย์โหลดใหม่ๆ รวมถึงตัวขโมย (stealers) สำหรับขโมย คริปโต ข้อมูลประจำตัวของเบราว์เซอร์ และข้อมูลลับต่าง ๆ รวมถึงข้อมูลบัญชี Telegram

ในแคมเปญ GhostCall การโจมตีจะเน้นไปที่อุปกรณ์ macOS เป็นหลัก โดยเริ่มจากการใช้เทคนิควิศวกรรมสังคม (Social Engineering) ที่ซับซ้อนและปรับแต่งเฉพาะบุคคล ผู้โจมตีจะปลอมตัวเป็น นักลงทุนร่วมทุน ติดต่อผ่าน Telegram และบางกรณีใช้บัญชีจริงของผู้ประกอบการและผู้ก่อตั้งสตาร์ทอัพที่ถูกละเมิดบัญชีเพื่อชักชวนลงทุนหรือร่วมมือ เหยื่อจะถูกล่อลวงให้เข้าร่วมการประชุมลงทุนปลอมบนเว็บไซต์ฟิชชิงที่เลียนแบบ Zoom หรือ Microsoft Teams โดยจะมีการแจ้งให้เหยื่อ ‘อัปเดต’ ไคลเอนต์เพื่อแก้ไขปัญหาเสียง ซึ่งในความเป็นจริงเป็นการดาวน์โหลดสคริปต์อันตรายเพื่อแพร่กระจาย มัลแวร์ ในอุปกรณ์

โซจุน ริว นักวิจัยด้านความปลอดภัย ทีม Kaspersky GReAT ให้ความเห็นเกี่ยวกับแคมเปญนี้ว่า “แคมเปญนี้อาศัยการหลอกลวงที่วางแผนอย่างรอบคอบ ผู้โจมตีจะเล่นวิดีโอของเหยื่อก่อนหน้าซ้ำระหว่างการประชุมที่จัดฉากขึ้น ทำให้การสนทนาโต้ตอบดูเหมือนการโทรจริงเพื่อหลอกล่อเป้าหมายใหม่ ข้อมูลที่รวบรวมได้นี้ไม่เพียงแต่นำมาใช้กับเหยื่อรายแรกเท่านั้น แต่ยังนำไปใช้เพื่อโจมตีเหยื่อรายถัดไปและการโจมตีแบบซัพพลายเชน โดยอาศัยความสัมพันธ์ที่เชื่อถือได้เพื่อโจมตีองค์กรและผู้ใช้ในวงกว้างมากขึ้น”

สำหรับแคมเปญ GhostHire กลุ่ม APT BlueNoroff มุ่งเป้าไปที่ นักพัฒนาบล็อกเชน โดยปลอมตัวเป็น ผู้สรรหาบุคลากร เหยื่อจะถูกหลอกให้ดาวน์โหลดและรันคลังข้อมูล GitHub ที่มีมัลแวร์ ซึ่งนำเสนอในรูปแบบของการประเมินทักษะ แคมเปญนี้ใช้โครงสร้างพื้นฐานและเครื่องมือร่วมกับแคมเปญ GhostCall แต่เน้นการเข้าหา นักพัฒนา และ วิศวกร ผ่านการสรรหาบุคลากรปลอม หลังจากติดต่อครั้งแรก เหยื่อจะถูกเพิ่มเข้าไปในบ็อต Telegram ที่จะส่งไฟล์ ZIP หรือลิงก์ GitHub พร้อมกำหนดเวลาสั้นๆ ในการทำงาน เมื่อมัลแวร์ทำงานแล้ว มัลแวร์จะติดตั้งตัวเองลงในเครื่องของเหยื่อ โดยปรับแต่งให้เหมาะกับระบบปฏิบัติการเป้าหมาย

แคสเปอร์สกี้ ยังระบุอีกว่า การใช้ ปัญญาประดิษฐ์เชิงสร้างสรรค์ (Generative AI) ได้เข้ามาช่วยให้กลุ่ม BlueNoroff เร่งการพัฒนามัลแวร์และปรับปรุงเทคนิคการโจมตีได้ ผู้โจมตีนำภาษาโปรแกรมใหม่ๆ มาใช้และเพิ่มฟีเจอร์เพิ่มเติม ทำให้การตรวจจับและวิเคราะห์มีความซับซ้อนมากขึ้น นอกจากนี้ AI ยังช่วยให้ผู้โจมตีสามารถจัดการและขยายการดำเนินงานได้ ส่งผลให้ความซับซ้อนและขนาดของการโจมตีเพิ่มขึ้น

โอมาร์ อามิน นักวิจัยด้านความปลอดภัยอาวุโส ทีม Kaspersky GReAT กล่าวเสริมว่า “นับตั้งแต่แคมเปญก่อนหน้านี้ กลยุทธ์การกำหนดเป้าหมายของผู้ก่อภัยคุกคามได้พัฒนาไปไกลกว่าแค่การขโมย สกุลเงินดิจิทัล และการขโมยข้อมูลประจำตัวของเบราว์เซอร์ การใช้ AI เชิงสร้างสรรค์ ได้เร่งกระบวนการนี้ขึ้นอย่างมาก ทำให้การพัฒนามัลแวร์ง่ายขึ้นและลดค่าใช้จ่ายในการดำเนินงาน” เขายังกล่าวด้วยว่า AI ช่วยเติมเต็มช่องว่างของข้อมูลที่มีอยู่ ทำให้สามารถกำหนดเป้าหมายได้อย่างตรงจุดมากขึ้น ด้วยการผสานข้อมูลที่ถูกละเมิดเข้ากับความสามารถในการวิเคราะห์ของ AI ทำให้ขอบเขตการโจมตีขยายกว้างขึ้น

ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้องค์กรต่างๆ เพิ่มความระมัดระวังเป็นพิเศษต่อข้อเสนอการลงทุนที่ดูดีเกินไป และควรตรวจสอบตัวตนของผู้ติดต่อใหม่ โดยเฉพาะอย่างยิ่งผู้ที่ติดต่อผ่านช่องทางโซเชียลมีเดีย เช่น Telegram และ LinkedIn รวมถึงพิจารณาความเป็นไปได้ที่บัญชีของผู้ติดต่อที่เชื่อถือได้อาจถูกละเมิด และควรตรวจสอบตัวตนผ่านช่องทางอื่นๆ ก่อนเปิดไฟล์หรือลิงก์ใดๆ โดยข้อมูลเพิ่มเติมพร้อมตัวบ่งชี้การบุกรุก (IoC) สามารถดูได้ในรายงานของ แคสเปอร์สกี้ ที่เว็บไซต์ Securelist.com