Trojanized VPN Installer ปล่อย Backdoor NKNShell
นักวิจัยจาก AhnLab SEcurity Intelligence Center (ASEC) พบการโจมตีใหม่ที่ใช้ ตัวติดตั้ง VPN ปลอม ซึ่งถูกฝังมัลแวร์หลายชนิด โดยเฉพาะ NKNShell ที่เขียนด้วยภาษา Go และมีความสามารถขั้นสูงในการติดต่อกับเซิร์ฟเวอร์ควบคุมผ่าน P2P Blockchain-style networking และ MQTT (โปรโตคอล IoT) ทำให้การตรวจจับยากขึ้นมาก
เมื่อผู้ใช้ดาวน์โหลดไฟล์ติดตั้งจากเว็บไซต์ที่ถูกแฮก ตัวติดตั้งจะทำงานเหมือนปกติ แต่เบื้องหลังจะรัน PowerShell script เพื่อดาวน์โหลด payload เพิ่มเติม เช่น MeshAgent, gs-netcat และ SQLMap malware โดยมีการใช้เทคนิค AMSI bypass, UAC bypass และ WMI persistence เพื่อให้มัลแวร์อยู่รอดแม้รีบูตเครื่องใหม่
เทคนิคการซ่อนตัวที่ล้ำสมัย
NKNShell ใช้ NKN (New Kind of Network) ซึ่งเป็นโปรโตคอล P2P แบบกระจายศูนย์ที่ได้รับแรงบันดาลใจจาก Blockchain ร่วมกับ MQTT ที่นิยมใช้ในอุปกรณ์ IoT เพื่อส่งข้อมูลระบบไปยังผู้โจมตีผ่าน broker สาธารณะ เช่น broker.emqx.io และ broker.mosquitto.org วิธีนี้ทำให้ผู้โจมตีสามารถดึงข้อมูลจากเครื่องที่ติดเชื้อได้โดยไม่ต้องเชื่อมต่อโดยตรง
นอกจากนี้ NKNShell ยังมีชุดคำสั่งที่กว้างมาก เช่น การอัปโหลด/ดาวน์โหลดไฟล์, การขโมย token, DLL sideloading, DDoS, การฉีดโค้ด, การจับภาพหน้าจอ และการรัน PowerShell/Python ซึ่งทำให้มันเป็น backdoor ที่ทรงพลังและยืดหยุ่นสูง
ภัยคุกคามต่อผู้ใช้ VPN และองค์กร
กลุ่มผู้โจมตีที่ถูกติดตามในชื่อ Larva-24010 มีประวัติการโจมตีผู้ใช้ VPN ในเกาหลีใต้มาตั้งแต่ปี 2023 และยังคงพัฒนาเทคนิคใหม่ ๆ อย่างต่อเนื่อง โดยครั้งนี้มีหลักฐานว่าใช้ Generative AI ในการสร้างสคริปต์ PowerShell ที่ซับซ้อนขึ้น ซึ่งสะท้อนให้เห็นว่าอาชญากรไซเบอร์กำลังใช้ AI เพื่อเพิ่มประสิทธิภาพการโจมตี
นี่เป็นสัญญาณเตือนว่า การดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่ปลอดภัย แม้จะดูเหมือนเป็นของจริง ก็อาจนำไปสู่การติดมัลแวร์ขั้นร้ายแรงที่ยากต่อการตรวจจับและกำจัด
สรุปสาระสำคัญ
การโจมตีผ่านตัวติดตั้ง VPN ปลอม
ฝัง NKNShell และมัลแวร์อื่น ๆ เช่น MeshAgent, gs-netcat, SQLMap
ใช้ PowerShell script พร้อม AMSI bypass และ WMI persistence
คุณสมบัติของ NKNShell
ใช้ P2P Blockchain (NKN) และ MQTT protocol ในการสื่อสาร
มีคำสั่งหลากหลาย: อัปโหลดไฟล์, ขโมย token, DDoS, screenshot, code injection
กลุ่มผู้โจมตี Larva-24010
มีประวัติการโจมตี VPN provider ในเกาหลีใต้ตั้งแต่ปี 2023
ใช้ Generative AI สร้างสคริปต์เพื่อเพิ่มความซับซ้อน
คำเตือนสำหรับผู้ใช้ VPN
หลีกเลี่ยงการดาวน์โหลดไฟล์ติดตั้งจากเว็บไซต์ที่ไม่น่าเชื่อถือ
ตรวจสอบลายเซ็นดิจิทัลของไฟล์ก่อนติดตั้ง
อัปเดตระบบรักษาความปลอดภัยและใช้เครื่องมือ EDR/AV ที่ทันสมัย
https://securityonline.info/trojanized-vpn-installer-deploys-nknshell-backdoor-using-p2p-blockchain-and-mqtt-protocols-for-covert-c2/
นักวิจัยจาก AhnLab SEcurity Intelligence Center (ASEC) พบการโจมตีใหม่ที่ใช้ ตัวติดตั้ง VPN ปลอม ซึ่งถูกฝังมัลแวร์หลายชนิด โดยเฉพาะ NKNShell ที่เขียนด้วยภาษา Go และมีความสามารถขั้นสูงในการติดต่อกับเซิร์ฟเวอร์ควบคุมผ่าน P2P Blockchain-style networking และ MQTT (โปรโตคอล IoT) ทำให้การตรวจจับยากขึ้นมาก
เมื่อผู้ใช้ดาวน์โหลดไฟล์ติดตั้งจากเว็บไซต์ที่ถูกแฮก ตัวติดตั้งจะทำงานเหมือนปกติ แต่เบื้องหลังจะรัน PowerShell script เพื่อดาวน์โหลด payload เพิ่มเติม เช่น MeshAgent, gs-netcat และ SQLMap malware โดยมีการใช้เทคนิค AMSI bypass, UAC bypass และ WMI persistence เพื่อให้มัลแวร์อยู่รอดแม้รีบูตเครื่องใหม่
เทคนิคการซ่อนตัวที่ล้ำสมัย
NKNShell ใช้ NKN (New Kind of Network) ซึ่งเป็นโปรโตคอล P2P แบบกระจายศูนย์ที่ได้รับแรงบันดาลใจจาก Blockchain ร่วมกับ MQTT ที่นิยมใช้ในอุปกรณ์ IoT เพื่อส่งข้อมูลระบบไปยังผู้โจมตีผ่าน broker สาธารณะ เช่น broker.emqx.io และ broker.mosquitto.org วิธีนี้ทำให้ผู้โจมตีสามารถดึงข้อมูลจากเครื่องที่ติดเชื้อได้โดยไม่ต้องเชื่อมต่อโดยตรง
นอกจากนี้ NKNShell ยังมีชุดคำสั่งที่กว้างมาก เช่น การอัปโหลด/ดาวน์โหลดไฟล์, การขโมย token, DLL sideloading, DDoS, การฉีดโค้ด, การจับภาพหน้าจอ และการรัน PowerShell/Python ซึ่งทำให้มันเป็น backdoor ที่ทรงพลังและยืดหยุ่นสูง
ภัยคุกคามต่อผู้ใช้ VPN และองค์กร
กลุ่มผู้โจมตีที่ถูกติดตามในชื่อ Larva-24010 มีประวัติการโจมตีผู้ใช้ VPN ในเกาหลีใต้มาตั้งแต่ปี 2023 และยังคงพัฒนาเทคนิคใหม่ ๆ อย่างต่อเนื่อง โดยครั้งนี้มีหลักฐานว่าใช้ Generative AI ในการสร้างสคริปต์ PowerShell ที่ซับซ้อนขึ้น ซึ่งสะท้อนให้เห็นว่าอาชญากรไซเบอร์กำลังใช้ AI เพื่อเพิ่มประสิทธิภาพการโจมตี
นี่เป็นสัญญาณเตือนว่า การดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่ปลอดภัย แม้จะดูเหมือนเป็นของจริง ก็อาจนำไปสู่การติดมัลแวร์ขั้นร้ายแรงที่ยากต่อการตรวจจับและกำจัด
สรุปสาระสำคัญ
การโจมตีผ่านตัวติดตั้ง VPN ปลอม
ฝัง NKNShell และมัลแวร์อื่น ๆ เช่น MeshAgent, gs-netcat, SQLMap
ใช้ PowerShell script พร้อม AMSI bypass และ WMI persistence
คุณสมบัติของ NKNShell
ใช้ P2P Blockchain (NKN) และ MQTT protocol ในการสื่อสาร
มีคำสั่งหลากหลาย: อัปโหลดไฟล์, ขโมย token, DDoS, screenshot, code injection
กลุ่มผู้โจมตี Larva-24010
มีประวัติการโจมตี VPN provider ในเกาหลีใต้ตั้งแต่ปี 2023
ใช้ Generative AI สร้างสคริปต์เพื่อเพิ่มความซับซ้อน
คำเตือนสำหรับผู้ใช้ VPN
หลีกเลี่ยงการดาวน์โหลดไฟล์ติดตั้งจากเว็บไซต์ที่ไม่น่าเชื่อถือ
ตรวจสอบลายเซ็นดิจิทัลของไฟล์ก่อนติดตั้ง
อัปเดตระบบรักษาความปลอดภัยและใช้เครื่องมือ EDR/AV ที่ทันสมัย
https://securityonline.info/trojanized-vpn-installer-deploys-nknshell-backdoor-using-p2p-blockchain-and-mqtt-protocols-for-covert-c2/
🕵️♂️ Trojanized VPN Installer ปล่อย Backdoor NKNShell
นักวิจัยจาก AhnLab SEcurity Intelligence Center (ASEC) พบการโจมตีใหม่ที่ใช้ ตัวติดตั้ง VPN ปลอม ซึ่งถูกฝังมัลแวร์หลายชนิด โดยเฉพาะ NKNShell ที่เขียนด้วยภาษา Go และมีความสามารถขั้นสูงในการติดต่อกับเซิร์ฟเวอร์ควบคุมผ่าน P2P Blockchain-style networking และ MQTT (โปรโตคอล IoT) ทำให้การตรวจจับยากขึ้นมาก
เมื่อผู้ใช้ดาวน์โหลดไฟล์ติดตั้งจากเว็บไซต์ที่ถูกแฮก ตัวติดตั้งจะทำงานเหมือนปกติ แต่เบื้องหลังจะรัน PowerShell script เพื่อดาวน์โหลด payload เพิ่มเติม เช่น MeshAgent, gs-netcat และ SQLMap malware โดยมีการใช้เทคนิค AMSI bypass, UAC bypass และ WMI persistence เพื่อให้มัลแวร์อยู่รอดแม้รีบูตเครื่องใหม่
🌐 เทคนิคการซ่อนตัวที่ล้ำสมัย
NKNShell ใช้ NKN (New Kind of Network) ซึ่งเป็นโปรโตคอล P2P แบบกระจายศูนย์ที่ได้รับแรงบันดาลใจจาก Blockchain ร่วมกับ MQTT ที่นิยมใช้ในอุปกรณ์ IoT เพื่อส่งข้อมูลระบบไปยังผู้โจมตีผ่าน broker สาธารณะ เช่น broker.emqx.io และ broker.mosquitto.org วิธีนี้ทำให้ผู้โจมตีสามารถดึงข้อมูลจากเครื่องที่ติดเชื้อได้โดยไม่ต้องเชื่อมต่อโดยตรง
นอกจากนี้ NKNShell ยังมีชุดคำสั่งที่กว้างมาก เช่น การอัปโหลด/ดาวน์โหลดไฟล์, การขโมย token, DLL sideloading, DDoS, การฉีดโค้ด, การจับภาพหน้าจอ และการรัน PowerShell/Python ซึ่งทำให้มันเป็น backdoor ที่ทรงพลังและยืดหยุ่นสูง
⚠️ ภัยคุกคามต่อผู้ใช้ VPN และองค์กร
กลุ่มผู้โจมตีที่ถูกติดตามในชื่อ Larva-24010 มีประวัติการโจมตีผู้ใช้ VPN ในเกาหลีใต้มาตั้งแต่ปี 2023 และยังคงพัฒนาเทคนิคใหม่ ๆ อย่างต่อเนื่อง โดยครั้งนี้มีหลักฐานว่าใช้ Generative AI ในการสร้างสคริปต์ PowerShell ที่ซับซ้อนขึ้น ซึ่งสะท้อนให้เห็นว่าอาชญากรไซเบอร์กำลังใช้ AI เพื่อเพิ่มประสิทธิภาพการโจมตี
นี่เป็นสัญญาณเตือนว่า การดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่ปลอดภัย แม้จะดูเหมือนเป็นของจริง ก็อาจนำไปสู่การติดมัลแวร์ขั้นร้ายแรงที่ยากต่อการตรวจจับและกำจัด
📌 สรุปสาระสำคัญ
✅ การโจมตีผ่านตัวติดตั้ง VPN ปลอม
➡️ ฝัง NKNShell และมัลแวร์อื่น ๆ เช่น MeshAgent, gs-netcat, SQLMap
➡️ ใช้ PowerShell script พร้อม AMSI bypass และ WMI persistence
✅ คุณสมบัติของ NKNShell
➡️ ใช้ P2P Blockchain (NKN) และ MQTT protocol ในการสื่อสาร
➡️ มีคำสั่งหลากหลาย: อัปโหลดไฟล์, ขโมย token, DDoS, screenshot, code injection
✅ กลุ่มผู้โจมตี Larva-24010
➡️ มีประวัติการโจมตี VPN provider ในเกาหลีใต้ตั้งแต่ปี 2023
➡️ ใช้ Generative AI สร้างสคริปต์เพื่อเพิ่มความซับซ้อน
‼️ คำเตือนสำหรับผู้ใช้ VPN
⛔ หลีกเลี่ยงการดาวน์โหลดไฟล์ติดตั้งจากเว็บไซต์ที่ไม่น่าเชื่อถือ
⛔ ตรวจสอบลายเซ็นดิจิทัลของไฟล์ก่อนติดตั้ง
⛔ อัปเดตระบบรักษาความปลอดภัยและใช้เครื่องมือ EDR/AV ที่ทันสมัย
https://securityonline.info/trojanized-vpn-installer-deploys-nknshell-backdoor-using-p2p-blockchain-and-mqtt-protocols-for-covert-c2/
0 Comments
0 Shares
25 Views
0 Reviews
Thai