ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม ภัยคุกคามขั้นสูงที่คงอยู่ (APT) GREYVIBE ผู้ก่อภัยคุกคาม

GREYVIBE ผู้ก่อภัยคุกคาม

โดย Mezo ใน ภัยคุกคามขั้นสูงที่คงอยู่ (APT), มัลแวร์
แปลเป็น:

กลุ่มผู้ก่อภัยคุกคามที่ไม่เคยถูกระบุตัวตนมาก่อน ซึ่งรู้จักกันในชื่อ GREYVIBE ถูกเชื่อมโยงกับปฏิบัติการจารกรรมทางไซเบอร์อย่างต่อเนื่องที่มุ่งเป้าไปที่ยูเครนและองค์กรที่เกี่ยวข้องกับประเทศดังกล่าวมาตั้งแต่เดือนสิงหาคม 2025 เป็นอย่างน้อย การวิเคราะห์ชี้ให้เห็นว่ากลุ่มนี้ปฏิบัติการเป็นหลักภายในเขตเวลาของรัสเซียและสื่อสารด้วยภาษารัสเซีย กิจกรรมของกลุ่มนี้สอดคล้องกับผลประโยชน์ของรัฐบาลรัสเซียอย่างใกล้ชิด โดยเฉพาะอย่างยิ่งความพยายามในการรวบรวมข้อมูลข่าวกรองที่เกี่ยวข้องกับความขัดแย้งระหว่างรัสเซียและยูเครนที่กำลังดำเนินอยู่

กลุ่ม GREYVIBE ได้กำหนดเป้าหมายไปยังภาคส่วนต่างๆ อย่างกว้างขวาง รวมถึงสถาบันทางทหาร หน่วยงานรัฐบาล องค์กรพลเรือน และธุรกิจเอกชน ในขณะที่การดำเนินงานของกลุ่มแสดงลักษณะที่เกี่ยวข้องกับกิจกรรมของรัฐชาติ หลักฐานยังบ่งชี้ถึงความเชื่อมโยงกับเครือข่ายอาชญากรรมไซเบอร์ของรัสเซียในวงกว้าง ผ่านบุคคลที่เชื่อว่าเป็นผู้กระทำความผิดทางไซเบอร์ในปัจจุบันหรืออดีต

วิธีการแพร่กระจายเชื้อที่หลากหลายและคลังมัลแวร์แบบกำหนดเอง

กลุ่มแฮ็กเกอร์ใช้กลไกการโจมตีที่หลากหลายเพื่อเจาะระบบเหยื่อ ซึ่งรวมถึงการโจมตีแบบสเปียร์ฟิชชิ่งที่มุ่งเป้าหมายอย่างแม่นยำ หน้าตรวจสอบ CAPTCHA ที่หลอกลวง และเว็บไซต์บันเทิงสำหรับผู้ใหญ่ปลอมที่มีเนื้อหาเกี่ยวกับยูเครน ในการปฏิบัติการทั้งหมด GREYVIBE อาศัยมัลแวร์ โหลดเดอร์ และเครื่องมือปกปิดข้อมูลที่พัฒนาขึ้นภายในองค์กรอย่างต่อเนื่อง เพื่อหลีกเลี่ยงการตรวจจับและรักษาการเข้าถึงระบบที่ถูกเจาะระบบ

พบรูปแบบการโจมตีที่แตกต่างกันหลายแบบ:

  • PhantomMail แพร่กระจายไฟล์ ZIP และ RAR ที่เป็นอันตรายผ่านอีเมลฟิชชิ่งแบบเจาะจงเป้าหมาย ซึ่งมีลิงก์ที่โฮสต์อยู่บน Google Drive และ 4sync ไฟล์เหล่านี้มีตัวโหลด JavaScript ที่เปิดเอกสารล่อลวงในขณะที่ติดตั้ง PhantomRelay ซึ่งเป็นโทรจันสำหรับการเข้าถึงระยะไกล (RAT) ที่ใช้ PowerShell ซึ่งสามารถสอดแนมระบบและเรียกใช้คำสั่งจากระยะไกลได้
  • PhantomClick ใช้หน้า CAPTCHA ปลอมแบบ ClickFix ที่โฮสต์อยู่บนโดเมนที่แอบอ้างเป็นบริการต่างๆ เช่น Zoom และ LAPAS เหยื่อจะถูกหลอกให้ทำตามคำสั่งที่กระตุ้นให้เกิดการติดเชื้อ PhantomRelay
  • PrincessClub ใช้เว็บไซต์คลับสำหรับผู้ใหญ่ปลอมของยูเครนในการเผยแพร่สปายแวร์ FallSpy บนอุปกรณ์ Android และ PhantomRelayV1 หรือ LegionRelay บนระบบ Windows เวอร์ชันต่อมาของเว็บไซต์เหล่านี้ได้เพิ่มฟังก์ชันการโทรสดแบบ WebRTC เพื่อบันทึกเสียงและวิดีโอของเหยื่อ FallSpy สามารถรวบรวมข้อมูลที่ละเอียดอ่อนจากอุปกรณ์ Android ที่ติดไวรัสได้ ในขณะที่ LegionRelay รองรับการค้นหาไฟล์ การขโมยข้อมูล การจับภาพหน้าจอ การดึงข้อมูลประจำตัวของเบราว์เซอร์ การรวบรวมข้อมูล Telegram และ WhatsApp และการกำหนดค่า Remote Desktop Protocol (RDP) PhantomRelayV1 พัฒนาต่อยอดจาก PhantomRelay รุ่นดั้งเดิมโดยเพิ่มกลไกการคงอยู่ของ watchdog ที่กำหนดเอง
  • DroneLink แอบอ้างเป็นองค์กรการกุศลที่ให้การสนับสนุนกองทัพยูเครน และส่งมอบ WireGuard ควบคู่ไปกับ LegionRelay
  • เนโบใช้มัลแวร์ FallSpy เวอร์ชันดัดแปลงที่ปลอมตัวเป็นพอร์ทัลล็อกอินภาษารัสเซีย ซึ่งน่าจะมีจุดประสงค์เพื่อหลอกลวงบุคลากรทางทหารของยูเครนให้เชื่อว่าพวกเขากำลังเข้าถึงระบบทางทหารของรัสเซียอย่างถูกต้องตามกฎหมาย

ปัญญาประดิษฐ์ในฐานะตัวคูณกำลัง

หนึ่งในแง่มุมที่โดดเด่นที่สุดของการปฏิบัติการของ GREYVIBE คือการพึ่งพาปัญญาประดิษฐ์เชิงสร้างสรรค์และแบบจำลองภาษาขนาดใหญ่เพื่อเพิ่มขีดความสามารถในการโจมตี หลักฐานชี้ให้เห็นว่ากลุ่มนี้ได้ใช้แพลตฟอร์มต่างๆ เช่น Ideogram AI, OpenAI ChatGPT และ Google Gemini เพื่อช่วยในการสร้างภาพ การพัฒนาโปรแกรมมัลแวร์ การปกปิดสคริปต์ การสร้างโครงสร้างพื้นฐานแบ็กเอนด์ และการปฏิบัติการหลังการเจาะระบบ

แนวทางที่ใช้ AI ช่วยเหลือนี้มีข้อดีในการดำเนินงานหลายประการ ช่วยชดเชยช่องว่างด้านทักษะทางเทคนิค เร่งวงจรการพัฒนา และลดการพึ่งพาตระกูลมัลแวร์และเครื่องมือที่เคยระบุไว้ก่อนหน้านี้ ซึ่งอาจช่วยในการระบุแหล่งที่มาได้

การใช้งาน AI ที่เพิ่มมากขึ้นในการปฏิบัติการทางไซเบอร์ก่อให้เกิดความท้าทายอย่างมากสำหรับผู้ป้องกันภัยคุกคาม ผู้โจมตีสามารถสร้าง ปรับเปลี่ยน หรือแทนที่ส่วนประกอบของชุดเครื่องมือของตนได้อย่างรวดเร็ว ซึ่งลดประสิทธิภาพของวิธีการระบุแหล่งที่มาแบบดั้งเดิมที่อาศัยตัวบ่งชี้ทางเทคนิคที่เสถียรและร่องรอยมัลแวร์ที่เกิดขึ้นซ้ำๆ

จุดอ่อนในการดำเนินงานเผยให้เห็นช่องว่างในการพัฒนา

แม้ว่าจะได้รับประโยชน์จากการพัฒนาโดยใช้ AI ช่วย แต่ GREYVIBE ก็แสดงให้เห็นถึงข้อบกพร่องด้านความปลอดภัยในการใช้งานหลายประการ นักวิจัยระบุข้อบกพร่องในการออกแบบภายใน LegionRelay ที่เปิดเผยฟังก์ชันการทำงานเบื้องหลังโดยไม่ได้ตั้งใจ ทำให้ได้ข้อมูลเชิงลึกเกี่ยวกับการทำงานภายในของมัลแวร์

โดยทั่วไปแล้ว ความผิดพลาดเช่นนี้ไม่ค่อยพบเห็นในกลุ่มปฏิบัติการที่ได้รับการสนับสนุนจากรัฐซึ่งมีความซับซ้อนสูง บ่งชี้ว่า GREYVIBE อาจไม่ใช่ปฏิบัติการข่าวกรองแบบดั้งเดิม แต่กลุ่มนี้ดูเหมือนจะมีทักษะทางเทคนิคในระดับต่ำถึงปานกลาง ในขณะที่ใช้เทคโนโลยี AI เพื่อเพิ่มขีดความสามารถให้เหนือกว่าระดับทักษะที่มีอยู่

ตัวบ่งชี้ความเชื่อมโยงกับอาชญากรไซเบอร์

ผลการศึกษาหลายชิ้นชี้ให้เห็นว่า GREYVIBE มีความเชื่อมโยงกับระบบนิเวศอาชญากรรมไซเบอร์ของรัสเซียในวงกว้าง:

  • การเข้าถึงหรือการใช้ยูทิลิตี้สร้างไฟล์ ISO ที่เกี่ยวข้องกับความเชื่อมโยงที่ต้องสงสัยกับแก๊ง TrickBot และ UAC-0098
  • ตรวจพบตัวแปร PhantomRelay ในแคมเปญอาชญากรรมไซเบอร์ที่ดูเหมือนไม่เกี่ยวข้องกัน รวมถึงปฏิบัติการฟิชชิ่งเสียง Microsoft Teams ที่ดำเนินการระหว่างเดือนกรกฎาคม 2025 ถึงเดือนกุมภาพันธ์ 2026 และแคมเปญส่งมัลแวร์ KongTuke ที่ตรวจพบระหว่างเดือนกุมภาพันธ์ถึงเดือนมีนาคม 2026 ซึ่งใช้เทคนิค ClickFix
  • การอัปโหลดตัวอย่างการพัฒนาและการทดสอบในระยะเริ่มต้น
  • การใช้คำแสลงที่ไม่เป็นทางการในอินเทอร์เน็ต เช่น 'letsrollboyos,' 'totallyunsus,' และ 'cuteuwu' ในการตั้งชื่อชิ้นงานพัฒนาซอฟต์แวร์
  • การติดตั้งโปรแกรมขุดคริปโตเคอร์เรนซี XMRig บนระบบที่ติดไวรัส LegionRelay จำนวนจำกัด

    • ตัวชี้วัดเหล่านี้สนับสนุนการประเมินด้วยความมั่นใจระดับปานกลางว่า GREYVIBE มีความเชื่อมโยงอย่างมีนัยสำคัญกับเครือข่ายอาชญากรไซเบอร์ และการประเมินด้วยความมั่นใจระดับต่ำถึงปานกลางว่าสมาชิกบางคนอาจมีส่วนเกี่ยวข้องกับกิจกรรมอาชญากรรมไซเบอร์ในปัจจุบัน หรือเคยมีส่วนเกี่ยวข้องมาก่อน

    การทำให้เส้นแบ่งระหว่างปฏิบัติการของรัฐและปฏิบัติการทางอาญาไม่ชัดเจน

    ลักษณะความสัมพันธ์ที่แน่ชัดระหว่าง GREYVIBE กับรัฐบาลรัสเซียยังคงไม่ชัดเจน มีความเป็นไปได้หลายประการ รวมถึงการรวมตัวของบุคลากรอาชญากรไซเบอร์เข้ากับองค์กรที่ได้รับการสนับสนุนจากรัฐ การเป็นผู้ปฏิบัติการอิสระที่ดำเนินการตามคำสั่งของรัฐ หรือการก่อตั้งโครงสร้างแบบผสมผสานที่รวมเอาองค์ประกอบทางอาชญากรรมและองค์ประกอบที่เกี่ยวข้องกับรัฐเข้าด้วยกัน

    ด้วยเหตุนี้ GREYVIBE จึงอยู่ในพื้นที่ที่ซับซ้อนระหว่างอาชญากรรมไซเบอร์แบบดั้งเดิมและการปฏิบัติการไซเบอร์ที่เชื่อมโยงกับรัฐบาล การทับซ้อนนี้ทำให้การระบุตัวผู้กระทำผิดเป็นเรื่องยาก และเน้นให้เห็นถึงขอบเขตที่พร่าเลือนมากขึ้นระหว่างกิจกรรมอาชญากรรมไซเบอร์ที่มุ่งหวังผลกำไรทางการเงินและการปฏิบัติการข่าวกรองที่ได้รับการสนับสนุนจากรัฐ

    มาแรง

    การหลอกลวงทางอีเมลเกี่ยวกับการทำงานร่วมกันบน LinkedIn

    ฟิชชิ่ง, สแปม
    กลุ่มอาชญากรไซเบอร์ที่อยู่เบื้องหลังการหลอกลวง "การร่วมมือกันบน LinkedIn" พยายามล่อลวงผู้รับด้วยสิ่งที่ดูเหมือนจะเป็นการสอบถามทางธุรกิจอย่างมืออาชีพ อีเมลเหล่านั้นอ้างว่ามาจากผู้ซื้อชื่อ "Jonathan Spriggs" จากบริษัท Storex Trading Ltd. ซึ่งอ้างว่าพบผู้รับผ่าน LinkedIn และต้องการพูดคุยเกี่ยวกับการสั่งซื้อสินค้าจำนวนมากถึง 12,000 ชิ้น เพื่อให้ข้อความดูน่าเชื่อถือ...

    โปรแกรมอีเมล Microsoft Outlook ของคุณล้าสมัยแล้ว...

    ฟิชชิ่ง, สแปม
    อีเมล "โปรแกรมอีเมล Microsoft Outlook ของคุณล้าสมัยแล้ว" เป็นอีเมลหลอกลวงที่สร้างขึ้นมาให้ดูเหมือนการแจ้งเตือนด้านความปลอดภัยอย่างเป็นทางการจาก Microsoft Outlook อีเมลเหล่านี้จะเตือนผู้รับว่าโปรแกรมอีเมลของพวกเขาล้าสมัย และอ้างว่าหากไม่ทำการอัปเดตทันที อาจทำให้สูญเสียอีเมล รายชื่อติดต่อ ปฏิทิน การประชุม และข้อมูลบัญชีสำคัญอื่นๆ เพื่อให้ข้อความดูน่าเชื่อถือ มิจฉาชีพจึงใส่ปุ่ม "อัปเดต Microsoft...

    Clicksafetychallenge.co.in

    เว็บไซต์อันธพาล, แอดแวร์, แฮกเกอร์เบราว์เซอร์
    นักวิจัยด้านความปลอดภัยได้ระบุเว็บไซต์ Clicksafetychallenge.co.in ว่าเป็นเว็บเพจอันตรายที่ออกแบบมาเพื่อหลอกลวงผู้เข้าชมให้เปิดใช้งานการแจ้งเตือนของเบราว์เซอร์โดยใช้ข้ออ้างที่ไม่เป็นความจริง...

    เข้าชมมากที่สุด

    เอพอนเนอร์ดอทคอม

    ปัญหา
    21,421
    อินเทอร์เน็ตเป็นพื้นที่กว้างใหญ่ที่เต็มไปด้วยเนื้อหาที่มีประโยชน์ ความบันเทิง และข้อมูลต่างๆ แต่ก็มีมุมมืดด้วยเช่นกัน ไม่ว่าคุณจะกำลังสตรีมรายการ ดาวน์โหลดแอป...

    Fuq.คอม

    โปรแกรมต่อต้านสปายแวร์ Rogue, มัลแวร์ Mac
    20,297
    Fuq.com เป็นโปรแกรมประเภทแอดแวร์ที่ส่งเสริมเว็บไซต์ที่มีเนื้อหาอนาจาร แคมเปญโฆษณาของโปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) นี้มีความก้าวร้าวมาก...
    กำลังโหลด...