BlueKeep กลับมาหลอน! เมื่อ Kimsuky ใช้เจาะระบบญี่ปุ่น-เกาหลี

April 23, 2025

กลุ่ม Kimsuky ใช้ช่องโหว่ BlueKeep เจาะระบบ RDP ในเกาหลีใต้และญี่ปุ่น ภัยคุกคามไซเบอร์ที่ไม่ควรมองข้าม

ในโลกที่การโจมตีทางไซเบอร์กลายเป็นภัยคุกคามที่ใกล้ตัวกว่าที่เคย การกลับมาของช่องโหว่เก่าอย่าง BlueKeep (CVE-2019-0708) ได้สร้างความตกใจอีกครั้ง เมื่อล่าสุดมีรายงานว่ากลุ่มแฮกเกอร์จากเกาหลีเหนือที่รู้จักกันในชื่อ Kimsuky ได้ใช้ช่องโหว่นี้ในการเจาะระบบคอมพิวเตอร์ในเกาหลีใต้และญี่ปุ่น ส่งผลกระทบต่อองค์กรภาครัฐและเอกชนจำนวนมาก

แม้ช่องโหว่ BlueKeep จะถูกเปิดเผยตั้งแต่ปี 2019 และ Microsoft ได้ออกแพตช์อัปเดตแล้ว แต่ระบบจำนวนมากทั่วโลกยังไม่ได้รับการแก้ไข ทำให้ตกเป็นเป้าของการโจมตีอย่างต่อเนื่อง

BlueKeep คืออะไร? ทำไมจึงอันตราย?

BlueKeep เป็นช่องโหว่ในโปรโตคอล Remote Desktop Services (RDP) ของ Windows ที่อนุญาตให้ผู้โจมตีสามารถ รันโค้ดจากระยะไกล (Remote Code Execution) ได้โดยไม่ต้องยืนยันตัวตน หากระบบเปิดใช้งาน RDP และยังไม่ได้รับการแพตช์

ช่องโหว่นี้ถูกจัดอยู่ในระดับ Critical และถูกเปรียบเทียบกับ WannaCry ที่เคยสร้างความเสียหายทั่วโลกเมื่อปี 2017 เพราะสามารถแพร่กระจายได้แบบ Worm โดยไม่ต้องใช้การปฏิสัมพันธ์จากผู้ใช้

Kimsuky คือใคร?

Kimsuky เป็นกลุ่มแฮกเกอร์ที่เชื่อว่ามีความเกี่ยวข้องกับรัฐบาลเกาหลีเหนือ โดยมีประวัติในการดำเนินการโจมตีแบบเจาะจงเป้าหมาย (APT) มานานนับสิบปี เป้าหมายหลักของกลุ่มนี้มักจะเป็นหน่วยงานรัฐ นักวิจัยด้านนโยบาย และสื่อมวลชน โดยมีเป้าประสงค์เพื่อการสอดแนมและขโมยข้อมูลสำคัญ

ในกรณีล่าสุด Kimsuky ได้ใช้ BlueKeep เป็นช่องทางหลักในการเข้าถึงระบบของเหยื่อ ก่อนจะติดตั้งมัลแวร์เพื่อดักจับข้อมูลและควบคุมเครื่องเป้าหมายจากระยะไกล

ผลกระทบในเกาหลีใต้และญี่ปุ่น

ระบบที่ถูกโจมตีในครั้งนี้มีทั้งเซิร์ฟเวอร์ที่เปิดพอร์ต RDP สาธารณะ และเครื่องคอมพิวเตอร์ในองค์กรที่ไม่ได้อัปเดตแพตช์ล่าสุด โดย Kimsuky ใช้วิธีสแกนระบบที่ยังเปิดพอร์ตอยู่ แล้วโจมตีด้วยโค้ดที่ดัดแปลงให้ใช้งานกับ BlueKeep โดยเฉพาะ

จากการตรวจสอบพบว่าเหยื่อส่วนใหญ่เป็นหน่วยงานด้านเทคโนโลยี และบริษัทที่เกี่ยวข้องกับความมั่นคงในระดับประเทศ ซึ่งสร้างความกังวลต่อความปลอดภัยของโครงสร้างพื้นฐานดิจิทัลในทั้งสองประเทศ

ทำไมช่องโหว่ที่ “เก่าแล้ว” ยังถูกใช้โจมตี?

คำตอบนั้นง่ายแต่สะเทือนใจ: ยังมีระบบจำนวนมากที่ไม่ได้รับการอัปเดต

หลายองค์กรอาจใช้ Windows เวอร์ชันเก่าโดยไม่ได้ติดตั้งแพตช์ หรือยังคงเปิดใช้งาน RDP โดยไม่มีการตั้งค่าความปลอดภัยขั้นพื้นฐาน เช่น การจำกัด IP การใช้ VPN หรือการเปิดใช้ MFA (Multi-Factor Authentication)

ช่องโหว่เก่า ๆ เช่น BlueKeep จึงยังคงเป็น “ทางลัด” ที่แฮกเกอร์ใช้ได้ผล และมักถูกนำมาใช้ร่วมกับมัลแวร์อื่นในการเจาะระบบ

แนวทางป้องกันและคำแนะนำ

หากคุณเป็นเจ้าของระบบหรือดูแลเซิร์ฟเวอร์ที่มีการใช้งาน RDP ควรดำเนินการดังต่อไปนี้ทันที

อัปเดต Windows ทุกเวอร์ชันให้เป็นเวอร์ชันล่าสุด
ปิดพอร์ต RDP (3389) หากไม่จำเป็น
ใช้ VPN หรือระบบ Zero Trust แทนการเปิด RDP ตรง
เปิดใช้งานการยืนยันตัวตนแบบหลายขั้นตอน (MFA)
ตรวจสอบ Log การเชื่อมต่อบ่อย ๆ และใช้เครื่องมือ SIEM เพื่อตรวจจับพฤติกรรมผิดปกติ

บทสรุป ภัยคุกคามที่ยังไม่จบลง

กรณีของ Kimsuky และช่องโหว่ BlueKeep เป็นบทเรียนสำคัญที่ตอกย้ำว่า ภัยไซเบอร์ไม่ได้มาจากเทคโนโลยีใหม่เท่านั้น แต่หลายครั้งก็เกิดจากการที่เราละเลยการจัดการกับสิ่งเก่า ๆ ที่ยังมีความเสี่ยง

องค์กรใดก็ตามที่ยังใช้ระบบที่ล้าสมัยหรือไม่อัปเดตความปลอดภัยอย่างสม่ำเสมอ ย่อมตกเป็นเป้าของแฮกเกอร์ได้โดยง่าย และในยุคที่ข้อมูลมีมูลค่าสูง ความเสียหายที่เกิดขึ้นอาจไม่ใช่แค่ไฟล์สูญหาย แต่รวมถึงชื่อเสียง ธุรกิจ และความเชื่อมั่นของผู้ใช้งาน

คุณได้อัปเดตแพตช์ระบบของคุณล่าสุดเมื่อไหร่?
หากคุณใช้ RDP หรือดูแลระบบเซิร์ฟเวอร์ในองค์กร อย่ารอจนสายเกินไป

แชร์บทความนี้ให้กับผู้ดูแลระบบ ทีม IT หรือเพื่อนร่วมงานของคุณ เพื่อช่วยกันลดความเสี่ยงจากภัยไซเบอร์ และสร้างสังคมดิจิทัลที่ปลอดภัยยิ่งขึ้น

Post Views: 36