สรุปสั้น
ผู้โจมตีใช้เครื่องมือที่ AI ช่วยสร้างเพื่ออัตโนมัติการค้นหา Active Directory และทดสอบเทคนิคหลบเลี่ยง endpoint detection and response (EDR) สะท้อนการเติบโตของเฟรมเวิร์ก post-exploitation ที่ได้รับการสนับสนุนจาก AI โดยกิจกรรมนี้ถูกพบหลังจากเอนด์พอยต์ต้องสงสัยกระตุ้นการแจ้งเตือนที่ผูกกับ payload ที่เก็บใน user directory การสืบสวนเผยให้เห็นชุดส่วนประกอบอันตรายที่ประกอบเป็น attack toolkit แบบมีโครงสร้าง
ชุดเครื่องมือนี้รวมถึง Cobalt Strike profile ที่ออกแบบให้เลียนแบบทราฟฟิกเว็บที่ถูกกฎหมาย, ช่อง C2 ผ่าน Telegram bot เพื่อซ่อนการสื่อสารในโครงสร้างที่น่าเชื่อถือ, สคริปต์ Python ที่ฉีด shellcode เข้าไฟล์ Windows ที่ถูกกฎหมายโดยยังคงทำงานปกติ และ Cloudflare Worker ที่ใช้เป็น redirector บังเซิร์ฟเวอร์ C2 จริง จุดสำคัญคือพบสคริปต์ Python ที่สร้างโดย AI บางส่วน หลายไฟล์เขียนเป็นภาษารัสเซีย พร้อม Git repository ที่บรรจุเฟรมเวิร์กอัตโนมัติที่กว้างขึ้น
เฟรมเวิร์กนี้รวมแผงค้นหา AD อัตโนมัติเข้ากับสภาพแวดล้อม lab ที่ใช้พัฒนาและทดสอบมัลแวร์กับแพลตฟอร์ม EDR ชั้นนำอย่าง Sophos, CrowdStrike และ Microsoft Defender แบบวนซ้ำ โดยระบบค้นหา AD ไม่ได้ทำงานเป็น LLM อัตโนมัติเต็มรูปแบบ แต่ใช้โมเดล decision tree ที่มีโครงสร้าง
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 3 มิถุนายน 2569 ว่าบริษัท Sophos พบผู้โจมตีใช้เครื่องมือที่ AI ช่วยสร้างเพื่ออัตโนมัติการค้นหา Active Directory และทดสอบเทคนิคหลบ EDR ซึ่งสะท้อนแนวโน้มการใช้ AI ในเฟรมเวิร์ก post-exploitation
จากการสืบสวน พบว่าระบบค้นหา AD ไม่ได้ทำงานเป็น LLM อัตโนมัติเต็มรูปแบบ แต่ใช้โมเดล decision tree ที่มีโครงสร้าง คือเก็บผลจาก task ที่รัน เลือกขั้นตอนถัดไปที่กำหนดไว้ล่วงหน้า และส่งคำสั่งไปยัง remote agent ทำให้สามารถลาดตระเวนแบบกึ่งอัตโนมัติทั่วสภาพแวดล้อมองค์กรโดยยังคงเส้นทางการทำงานที่คาดเดาได้ ผู้โจมตีสร้างสภาพแวดล้อมทดสอบด้วย virtual machine ที่จัดเตรียมผ่าน Ludus
มีการตั้งระบบ Windows Server 2022 หลายเครื่องเพื่อประเมินเทคนิค bypass กับ EDR agent ต่าง ๆ พร้อมระบบ Ubuntu แยกที่โฮสต์เซิร์ฟเวอร์ C2 แบบ Sliver การพัฒนาได้รับการสนับสนุนจาก AI-native IDE ชื่อ Cursor และประสานงานผ่าน AI agent หลายตัวที่มีบทบาทเฉพาะ โดย AI agent หลักหนึ่งตัวซึ่งขับเคลื่อนด้วย Claude Opus ทำหน้าที่จัดการ orchestration และตั้งกฎ ส่วนตัวอื่นจัดการการทดสอบ การปรับปรุง operational security เอกสาร และการ deploy โครงสร้างพื้นฐาน
เฟรมเวิร์กยังรวมการวิจัยภัยคุกคามภายนอก โดยสั่งให้ AI agent อ่านบล็อกความปลอดภัยสาธารณะ สกัดเทคนิคการโจมตี แมปกับ MITRE ATT&CK และจำลองในแล็บ ทำให้สามารถสร้างต้นแบบเทคนิคการโจมตีจากวิธีการในโลกจริงได้อย่างรวดเร็ว ที่แกนกลางของเฟรมเวิร์กคือ payload generator แบบโมดูลาร์ที่เขียนด้วย Python ซึ่งผลิต executable เป็น Rust และ Go ห่อด้วยชั้นการเข้ารหัสและตรรกะหลบเลี่ยง ทำให้ทดสอบได้กว่า 70 เทคนิค โดยบริษัท Sophos ประเมินว่าเฟรมเวิร์กนี้แม้นำเสนอเป็น red team tooling แต่น่าจะมีไว้สำหรับการบุกรุกจริง รวมถึงการปล่อย ransomware และขโมยข้อมูล
วิธีการโจมตี
แกนของเฟรมเวิร์กนี้คือการใช้ AI agent หลายตัวประสานงานกัน โดยมี Claude Opus เป็นตัวจัดการ orchestration และตั้งกฎ ส่วน agent อื่นรับหน้าที่เฉพาะ ทั้งการทดสอบ การปรับปรุง opsec การทำเอกสาร และการ deploy ทำให้รอบการพัฒนามัลแวร์เร็วขึ้นมาก การสื่อสารระหว่าง agent กับ code repository จัดการผ่าน Model Context Protocol ซึ่งเปิดให้ commit อัตโนมัติและพัฒนาแบบวนซ้ำ
ระบบค้นหา AD ใช้ decision tree ที่มีโครงสร้าง เก็บผลจาก task เลือกขั้นถัดไปที่กำหนดไว้ และส่งคำสั่งไปยัง remote agent ทำให้ลาดตระเวนทั่วองค์กรแบบกึ่งอัตโนมัติได้ ส่วนการทดสอบหลบ EDR ใช้ Ludus จัดเตรียม VM หลายเครื่อง (Windows Server 2022) เพื่อทดสอบกับ Sophos, CrowdStrike และ Defender พร้อม Ubuntu ที่โฮสต์ Sliver C2
payload generator แบบโมดูลาร์ที่เขียนด้วย Python ผลิต executable เป็น Rust และ Go ห่อด้วยชั้นการเข้ารหัสและตรรกะหลบเลี่ยง ทดสอบได้กว่า 70 เทคนิค แม้อัตราความสำเร็จเริ่มต้นจะต่ำ แต่การวนซ้ำช่วยปรับปรุงประสิทธิภาพการ bypass ได้ ส่วนการสื่อสารและบัง C2 ใช้ Cobalt Strike profile เลียนทราฟฟิกเว็บ, Telegram bot และ Cloudflare Worker เป็น redirector
ผลกระทบต่อไทย
Active Directory เป็นระบบจัดการ identity ที่องค์กรไทยขนาดกลางถึงใหญ่ใช้แทบทุกแห่ง ทำให้เฟรมเวิร์กที่อัตโนมัติการค้นหาและโจมตี AD เป็นภัยโดยตรง โดยเฉพาะเมื่อ AI ช่วยเร่งความเร็วและความสามารถในการหลบ EDR ที่องค์กรไทยใช้ป้องกัน
การที่ AI ลดเวลาและทักษะที่ต้องใช้ในการพัฒนามัลแวร์หลบ EDR หมายความว่าองค์กรไทยจะเผชิญกับมัลแวร์ที่ปรับตัวเร็วและตรวจจับยากขึ้น ทำให้การพึ่งพา EDR เพียงอย่างเดียวไม่เพียงพอ ต้องเสริมการตรวจจับเชิงพฤติกรรมและ defense in depth
นอกจากนี้ การใช้บริการที่ถูกกฎหมายอย่าง Telegram และ Cloudflare บัง C2 ยังทำให้ทราฟฟิกอันตรายกลมกลืนกับการใช้งานปกติ ซึ่งองค์กรไทยที่ไว้ใจบริการเหล่านี้ตรวจจับได้ยาก
คำแนะนำ
- เสริมความแข็งแกร่ง Active Directory — ใช้ tiered admin model, จำกัดสิทธิ์, และเปิด LAPS รวมถึงตรวจสอบ AD เป็นประจำ
- ใช้ defense in depth — อย่าพึ่ง EDR อย่างเดียว เสริมการตรวจจับเชิงพฤติกรรม, network monitoring และ deception
- เปิด MFA และแพตช์ทันเวลา — Sophos ย้ำว่าแม้ AI เร่งการพัฒนา แต่พื้นฐานความปลอดภัยที่ดีอย่าง MFA และการแพตช์ยังจำเป็น
- เฝ้าระวังทราฟฟิกไป Telegram/Cloudflare ที่ผิดปกติ — โดยเฉพาะจากเซิร์ฟเวอร์หรือเครื่องที่ไม่ควรใช้บริการเหล่านี้
- ตรวจจับ Cobalt Strike และ Sliver — เฝ้าระวัง C2 framework ยอดนิยมด้วย signature และพฤติกรรม
- เฝ้าระวัง payload ใน user directory — ตรวจหาไฟล์อันตรายที่เก็บในไดเรกทอรีผู้ใช้ ซึ่งเป็นจุดเริ่มที่พบในเหตุการณ์นี้
