Posted in Cybersecurity

กลุ่มแฮกเกอร์เกาหลีเหนือ Kimsuky ปล่อยมัลแวร์ HTTPSpy พร้อมขยายข่ายความสามารถด้วย HelloDoor และ VS Code Tunnels

กลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากรัฐเกาหลีเหนือที่เรียกว่า Kimsuky (หรือรู้จักในชื่อ Velvet Chollima) ถูกระบุว่าเป็นผู้อยู่เบื้องหลังชุดการโจมตีทางไซเบอร์ครั้งใหม่ที่มุ่งเป้าไปที่องค์กรทางทหารและภาคธุรกิจของเกาหลีใต้ระหว่างเดือนมีนาคมถึงเมษายน 2026 โดยกลุ่มนี้ได้ใช้กลยุทธ์ทางสังคมวิศวกรรม (Social Engineering) ที่ปรับแต่งมาเป็นพิเศษ เช่น การปลอมแปลงหน้าเว็บติดตั้งซอฟต์แวร์ด้านความปลอดภัย และการสร้างหน้าเว็บปลอมของแอปพลิเคชัน Webex เพื่อล่อให้เหยื่อหลงเชื่อและดาวน์โหลดมัลแวร์เข้าสู่ระบบ

ในการโจมตีครั้งล่าสุดนี้ Kimsuky ได้นำมัลแวร์สายพันธุ์ใหม่ชื่อ HTTPSpy มาใช้ในการล้วงข้อมูล และยังได้ขยายความสามารถของอาวุธทางไซเบอร์โดยการบรรจุเครื่องมือสองตัวเพิ่มเติมเข้าไปในโซ่การโจมตี (Attack Chain) นั่นคือ แบ็กดอร์ชื่อ HelloDoor และการใช้ประโยชน์จากคุณสมบัติ VS Code Tunnels เพื่อสร้างอุโมงค์เชื่อมต่อ (Tunneling) สำหรับแอบส่งข้อมูลและควบคุมระบบเป้าหมาย ซึ่งวิธีการนี้ช่วยให้พวกเขาสามารถหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัยที่ใช้การตรวจสอบพอร์ตเครือข่ายแบบดั้งเดิมได้อย่างมีประสิทธิภาพ

การรวมกันของเทคนิคเหล่านี้สะท้อนให้เห็นถึงวิวัฒนาการและความซับซ้อนที่เพิ่มขึ้นของกลุ่ม Kimsuky ในการพัฒนาวิธีการโจมตีที่ทันสมัยเพื่อให้บรรลุเป้าหมายทางจารกรรมข้อมูล โดยเฉพาะอย่างยิ่งการนำเครื่องมือพัฒนาซอฟต์แวร์ที่ถูกต้อง (Legitimate Tools) อย่าง VS Code Tunnels มาใช้ในทางที่ผิด เป็นเทคนิคที่ทำให้การวิเคราะห์และตอบโต้ภัยคุกคาม (Threat Response) ของทีมด้านความปลอดภัยนั้นยากยิ่งขึ้น

คำศัพท์เทคนิคที่น่าสนใจ

HTTPSpy – มัลแวร์สายพันธุ์ใหม่ที่ถูกพัฒนาขึ้นเพื่อใช้ในการล้วงข้อมูลและสอดแนมกิจกรรมบนระบบของเหยื่อ
HelloDoor – แบ็กดอร์ (Backdoor) ที่ทำหน้าที่เป็นช่องทางลับให้ผู้โจมตีสามารถเข้าถึงและควบคุมระบบคอมพิวเตอร์ของเหยื่อได้โดยตรง
VS Code Tunnels – คุณสมบัติของโปรแกรม Visual Studio Code ที่ช่วยให้นักพัฒนาสามารถเข้าถึงเซิร์ฟเวอร์หรือเครื่องมือจากระยะไกลได้ แต่ถูกแฮกเกอร์นำมาใช้ในทางที่ผิดเพื่อสร้างช่องทางส่งข้อมูลออกจากระบบแบบแอบเป็น
Social Engineering – ทางสังคมวิศวกรรม หรือเทคนิคการหลอกลวงทางจิตวิทยาเพื่อล่อให้ผู้ใช้งานเปิดเผยข้อมูลลับหรือดำเนินการที่เป็นอันตรายต่อระบบความปลอดภัยด้วยตัวเอง

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/kimsuky-deploys-httpspy-expands-arsenal.html

Blog Dee

« แพ็กเกจ NuGet ปลอม Sicoob ขโมยข้อมูลรับรองธนาคาร ขณะที่แพ็กเกจ npm โจมตีหาความลับบนคลาวด์

ช่องโหว่ RCE ระดับวิกฤตของ Gogs ทำให้ผู้ใช้ที่ผ่านการยืนยันตัวตนสามารถรันโค้ดได้อย่างอิสระ »

Peter