สรุปสั้น

Kimsuky กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐเกาหลีเหนือ (หรือชื่อ Velvet Chollima) ถูกระบุว่าอยู่เบื้องหลังการโจมตีชุดใหม่ เป้าหมายคือหน่วยงานทหารและองค์กรของเกาหลีใต้ในช่วงเดือนมีนาคมถึงเมษายน 2569 ผู้โจมตีใช้วิศวกรรมสังคมแบบเจาะจง ทั้งปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัย และสร้างหน้า Webex meeting ปลอมที่อ้างอิงตารางประชุมจริง มัลแวร์ที่ส่งคือ HTTPSpy ซึ่งเป็น remote access trojan เต็มรูปแบบ ปลอมเป็นตัวติดตั้งซอฟต์แวร์ความปลอดภัยเกาหลีใต้ Kimsuky ยังเพิ่มเทคนิคใหม่ JSONPing เพื่อยืนยันการติดมัลแวร์แบบเรียลไทม์ และใช้ตารางประชุมที่ขโมยมาทำหน้าปลอม ขณะเดียวกัน Kaspersky พบการใช้ VS Code tunnel, Cloudflare Quick Tunnels, DWAgent และ LLM ช่วยพัฒนามัลแวร์ใหม่อย่าง HelloDoor และ HttpMalice

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 29 พฤษภาคม 2569 ว่า กลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากรัฐเกาหลีเหนือในชื่อ Kimsuky ถูกเชื่อมโยงกับการโจมตีไซเบอร์ชุดใหม่ที่พุ่งเป้าหน่วยงานทหารและองค์กรของเกาหลีใต้ในช่วงเดือนมีนาคมถึงเมษายน 2569 บริษัทความปลอดภัย ENKI ระบุในรายงานที่เผยแพร่สัปดาห์นี้ว่า Kimsuky ใช้วิธีวิศวกรรมสังคมที่ปรับแต่งเฉพาะเป้าหมาย เช่น การปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัย และสร้างหน้า Webex meeting ปลอมที่อาศัยตารางประชุมจริง ในแคมเปญเดือนมีนาคม 2569 ผู้โจมตีกระจายเพย์โหลดผ่านหน้าเว็บปลอมที่เลียนแบบหน้าติดตั้งซอฟต์แวร์ความปลอดภัยของบริการ B2B messaging เกาหลีใต้ คาดว่าออกแบบมาเจาะกลุ่มผู้ดูแลระบบ messaging ในองค์กรโดยเฉพาะ หน้าปลอมอ้างว่ามีเครื่องมือสองตัวคือ firewall และโปรแกรมความปลอดภัยคีย์บอร์ด เมื่อเหยื่อดาวน์โหลด จะได้ไฟล์ “nos-setup.exe” หรือ “astx-setup.exe” ที่ปลอมเป็น nProtect Online Security และ AhnLab Safe Transaction (ASTx) ในแคมเปญเดือนเมษายน 2569 มีการใช้หน้าเว็บปลอมเลียนแบบ Cisco Webex แสดง pop-up ให้เหยื่อดาวน์โหลดและรันสคริปต์เพื่อ “แก้ปัญหากล้องเข้าไม่ได้” ซึ่งนำไปสู่การติดมัลแวร์ นี่ไม่ใช่ครั้งแรกที่ Kimsuky ใช้ HTTPSpy โดย CrowdStrike เคยบันทึกว่ากลุ่มนี้ใช้โจมตีพนักงานผู้ผลิตอาวุธเยอรมันช่วงปี 2567 และ HTTPSpy ถูกใช้ครั้งแรกตั้งแต่ปี 2565

วิธีการโจมตี

ไฟล์ติดตั้งปลอมมีหน้าที่หลักคือเปิดใช้เพย์โหลด DLL ขั้นที่สอง (“MemLoader.dll”) ผ่าน “regsvr32.exe” แล้วรันสคริปต์ batch เพื่อลบตัวเองออกจากดิสก์ DLL จะสร้าง persistence บนเครื่องเหยื่อด้วย scheduled task และติดต่อเซิร์ฟเวอร์ C2 เพื่อดึงเพย์โหลดถัดไป โดยผู้โจมตีน่าจะเฝ้าดู GET request ที่เกิดซ้ำ แล้วเลือกส่งเพย์โหลดให้เฉพาะเหยื่อบางราย ในสายโจมตี Webex ไฟล์ JavaScript เข้ารหัส (“fix-camera.jse”) จะปล่อย downloader กลางผ่าน PowerShell ทำ anti-analysis แล้วดึงมัลแวร์ขั้นถัดไป สุดท้ายรัน HTTPSpy บนเครื่องเหยื่อ HTTPSpy เป็น RAT เต็มรูปแบบ รองรับการรันคำสั่ง shell อัปโหลด/ดาวน์โหลดไฟล์ รันโปรเซส จับภาพหน้าจอ inject DLL เข้าโปรเซสตาม PID และลบตัวเองออกจาก endpoint จุดเด่นคือเทคนิค JSONPing ที่ใช้ JSONP query เซิร์ฟเวอร์ภายในที่มัลแวร์ตั้งบนเครื่องเหยื่อ เพื่อยืนยันสถานะการทำงานแบบเรียลไทม์ โดยในสายโจมตีซอฟต์แวร์ความปลอดภัย MemLoader.dll จะเขียนไฟล์ calc.exe ลง C:\programdata\ แล้วเปิดเซิร์ฟเวอร์ที่ localhost port 62001 คอยตอบ path /ping แบบ JSONP ให้หน้าเว็บปลอมเช็กว่าเหยื่อติดมัลแวร์แล้วหรือยัง มัลแวร์ยังตั้ง persistence ผ่าน scheduled task ที่รันทุก 1 นาที ใช้ชื่อพรางเป็น ChromeUpdate หรือ EdgeUpdate ตามระดับสิทธิ์

บริษัท ENKI ยังเชื่อมโยงแคมเปญนี้กับ Kimsuky ได้อย่างมั่นใจจากตัวชี้วัดที่ใช้ซ้ำหลายจุด ทั้งการนำคีย์ RC4 ชุดเดิม (#RsfsetraW#@EsfesgsgAJOPj4eml; และ RGdcsedfd@#%dg9ser3$#$^@34sdfxl) กลับมาใช้ถอดรหัสเพย์โหลดและ config เหมือนเคสมัลแวร์ HttpTroy/HttpSpy ปี 2568, การเรียก export function ชื่อ hello, อัลกอริทึม deobfuscate สตริงแบบ XOR และ API hashing ที่ตรงกัน รวมถึงการใช้ใบรับรอง HTTPS ค่าเริ่มต้นของ XAMPP (CN=localhost, O=Apache Friends) และ ASN 19318, 26666 ที่ Kimsuky ใช้ซ้ำในโครงสร้างพื้นฐานหลายครั้ง นอกจากนี้ยังพบตัวอย่าง dropper สาย spear phishing อีก 4 ตัว (สกุล .scr/.exe/.jse) ที่แปะเอกสารลวงภายในของบริษัทเกาหลีใต้ และ PDB path ที่หลุดออกมาชี้ชื่อผู้ใช้ jira ตรงกับ metadata ในเอกสารลวง นอกจากนี้ Kaspersky ยังพบว่า Kimsuky ใช้ฟีเจอร์ VS Code Remote Tunneling เพื่อเข้าถึงเครื่องเหยื่อแบบลับ ลดการพึ่งช่องทาง C2 แบบเดิม และพบมัลแวร์ใหม่ที่พัฒนาโดยมี LLM ช่วย เช่น HelloDoor (เขียนด้วย Rust) และ HttpMalice รวมถึง AppleSeed ที่เน้นขโมยใบรับรอง GPKI

รายงานฉบับเต็มจากบริษัท ENKI Whitehat (เผยแพร่ 27 พฤษภาคม 2569) ให้รายละเอียดเชิงลึกเพิ่มเติมว่า HttpSpy เวอร์ชันใหม่นี้เปลี่ยนสถาปัตยกรรมจากไฟล์ไบนารีเดียวมาเป็นห่วงโซ่การทำงาน 3 ขั้น (Installer → Loader → Main Module) ได้แก่ engine.dat (spyInster.dll) ทำหน้าที่ติดตั้ง, cacheMon.dat (spyLoader.dll) โหลดโมดูลหลักเข้าหน่วยความจำ และโมดูลหลัก httpSpy.dll ที่เป็น RAT ตัวจริง ทั้งยังพบเทคนิค JSONPing ที่หน้าเว็บปลอมจะยิง <script> ไปยังเซิร์ฟเวอร์ในเครื่องเหยื่อ (localhost port 62001 หรือ 16106) ผ่าน JSONP เพื่อข้าม Same-Origin Policy และตรวจว่ามัลแวร์ทำงานอยู่หรือไม่ ถ้ายังไม่ติดก็จะขึ้น pop-up ให้ติดตั้งซ้ำ

Kimsuky fake Webex page and HTTPSpy infection chain
Kimsuky AppleSeed PebbleDash malware clusters and tooling

ผลกระทบต่อไทย

แม้ Kimsuky จะพุ่งเป้าเกาหลีใต้เป็นหลัก แต่กลุ่มนี้มีประวัติขยายเป้าไปยังหลายประเทศ และเทคนิคที่ใช้เป็นภัยที่องค์กรไทยต้องเรียนรู้ การปลอมหน้าติดตั้ง “ซอฟต์แวร์ความปลอดภัย” เป็นกลลวงที่ได้ผลสูง เพราะเหยื่อมักเชื่อว่ากำลังเพิ่มความปลอดภัย ทั้งที่กำลังติดตั้งมัลแวร์ — องค์กรไทยที่บังคับติดตั้งโปรแกรมความปลอดภัยจึงเสี่ยงถูกเลียนแบบ เทคนิค Webex ปลอมและ “แก้ปัญหากล้องด้วยการรันสคริปต์” คล้ายกับ ClickFix ที่กำลังระบาดทั่วโลก และใช้ได้กับผู้ใช้ไทยที่ประชุมออนไลน์เป็นประจำ การใช้ VS Code Remote Tunnel เป็นช่องทางเข้าถึงลับ เป็นเทรนด์ที่ทีมความปลอดภัยไทยต้องเริ่มเฝ้าระวัง เพราะเป็นเครื่องมือที่ถูกต้องตามกฎหมายและมักไม่ถูกบล็อก

คำแนะนำ

ดาวน์โหลดซอฟต์แวร์ความปลอดภัยจากเว็บไซต์ทางการของผู้ผลิตเท่านั้น อย่าเชื่อหน้าติดตั้งที่ส่งผ่านลิงก์หรืออีเมล ห้ามรันสคริปต์หรือคำสั่งที่หน้าเว็บประชุม (เช่น Webex/Zoom ปลอม) สั่งให้ทำเพื่อ “แก้ปัญหากล้อง/ไมค์” เด็ดขาด เฝ้าระวังการใช้ regsvr32.exe เรียก DLL ผิดปกติ และ scheduled task ที่สร้างใหม่โดยไม่ทราบที่มา ตรวจสอบและจำกัดการใช้ VS Code Remote Tunnel, Cloudflare Quick Tunnels และ DWAgent ในเครือข่ายองค์กร เฝ้าระวังพฤติกรรม PowerShell ที่โหลดสคริปต์แบบไดนามิกและการติดต่อ C2 สำหรับหน่วยงานที่ใช้ใบรับรอง GPKI หรือใบรับรองสำคัญ ให้ตรวจสอบการเข้าถึงไดเรกทอรีที่เก็บใบรับรองเป็นพิเศษ

Indicators of Compromise (IoCs)

หมายเหตุ: indicator ทั้งหมด defang แล้ว ([.], hxxp) เพื่อความปลอดภัย ก่อนนำไปใช้ต้องแปลงกลับเป็นรูปแบบปกติ

โดเมน / URL

Indicatorคำอธิบาย
www.ibizplus.n-e[.]kr/install.htmlหน้าติดตั้งซอฟต์แวร์ความปลอดภัยปลอม (B2B messaging)
load.serverpit[.]com/fwrite.phpเซิร์ฟเวอร์ C2 ดึงเพย์โหลด (สายซอฟต์แวร์ความปลอดภัย)
load.erasecloud.n-e[.]kr/login.phpC2 downloader (spear phishing)
conference.birdriver[.]orgหน้า Cisco Webex meeting ปลอม
download.birdriver[.]org/download.phpเซิร์ฟเวอร์กระจายมัลแวร์ (สาย Webex)
hdrgdrfes.chickenkiller[.]com/index.phpC2 ของโมดูลหลัก HttpSpy
pipeline.embeddedonline[.]org/check.phpหน้าปลอมใหม่ polling + แจกมัลแวร์
bigfile.jaycloudlab[.]com/download.phpC2 downloader (spear phishing)

IP Address

Indicatorคำอธิบาย
163.245.221[.]218โครงสร้างพื้นฐาน Kimsuky
163.245.215[.]46โครงสร้างพื้นฐาน Kimsuky
27.102.113[.]106โครงสร้างพื้นฐาน Kimsuky
157.250.202[.]123โฮสต์หน้า recaptcha.html (JSONPing)

MD5 Hash (มัลแวร์หลัก)

Hashไฟล์
a581fdea0970f8a5b6cfec4853c802d7httpSpy.dll (โมดูลหลัก RAT)
c6de1be41dcfbad9cae76c58eae7f5a3engine.dat (spyInster.dll — installer)
50f619aaba1d28882022ced135b13a07cacheMon.dat (spyLoader.dll — loader)
c61a6efe1a169c6c1d8595af3ff0dd74mTSTCv8.mdxm (loadDll.dll — downloader)
bea602695d58cbf25fff058834e36c1dMemLoader.dll
b4dd4c76d7deef4cf532e240b7f84c9dfix-camera.jse
4a476abcf741323b367eda0ec49f8c38nos-setup.exe
cc837d2b2af4bd9c1c3faf61cefeb848astx-setup.exe

คีย์ RC4 / PDB Path

Indicatorคำอธิบาย
#RsfsetraW#@EsfesgsgAJOPj4eml;คีย์ถอดรหัสเพย์โหลด (ใช้ซ้ำจาก HttpTroy 2568)
RGdcsedfd@#%dg9ser3$#$^@34sdfxlคีย์ถอดรหัส config / C2 traffic
%^fseRW#r3qwrwfsddREfGEgse)(14);คีย์ถอดรหัส cacheMon.dat
C:\Users\jira\Documents\My_Received_Files\loadDll\x64\Release\loadDll.pdbPDB path (ชื่อผู้ใช้ jira)

แหล่งอ้างอิง