กลุ่มแฮกเกอร์ใช้ n8n Webhooks ส่งมัลแวร์ผ่านทางเมล
กลุ่มแฮกเกอร์ใช้ n8n Webhooks ส่งมัลแวร์ผ่านทางอีเมล Phishing มายาวนานตั้งแต่ปี 2025
การส่งอีเมลเพื่อหลอกลวงเหยื่อด้วยวิธีการแบบ Phishing นั้นเรียกได้ว่าเป็นวิธีการสุดคลาสสิคในการแพร่กระจายมัลแวร์สู่เหยื่อ ซึ่งหลายคนอาจจะเข้าใจว่าใช้เครื่องมือสำหรับการส่งอีเมลแบบหลอกลวงทั่วไปในการทำการนี้ แต่แท้ที่จริงแล้วในปัจจุบันกลับมีการนำเอาเครื่องมือที่ห��ลายคนอาจจะไม่เชื่อว่าสามารถใช้เพื่อการนี้ได้มาใช้งาน
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแฮกเกอร์ที่อยู่เบื้องหลังแคมเปญส่งอีเมลหลอกลวงแบบ Phishing ได้มีการนำเอาเครื่องมือสำหรับการสร้างขั้นตอนการทำงาน (Workflow) ให้เครื่องมือปัญญาประดิษฐ์ (AI หรือ Artificial Intelligence) ต่าง ๆ สามารถทำงานได้อย่างอัตโนมัติ (Automation) อย่าง n8n เข้ามาร่วมเป็นส่วนหนึ่งในแคมเปญเหล่านี้ด้วย โดยการนำเอามาใช้ในการสร้าง Webhook ซึ่งเป็นกลไกในการส่งข้อมูลจากต้นทางไปยังปลายทางด้วยคำขอ (Request) อย่างอัตโนมัติที่จะส่งผลให้แอปพลิเคชันที่ทำงานร่วมกับตัว Webhook นั้นทำงานต่ออย่างอัตโนมัติถ้ามีการเกิดเหตุการณ์ (Event) ตามที่ถูกกำหนดไว้บนสคริปท์ ซึ่งก็แน่นอนว่าแอปพลิเคชันที่ทำงานร่วมกันในกรณีนี้คือมัลแวร์นั่นเอง
โดยในการทำงานของแคมเปญนี้นั้นจะเริ่มจากที่แฮกเกอร์ส่งอีเมลที่มีการฝัง Webhook ที่ถูกสร้างขึ้นด้วย n8n ในรูปแบบลิงก์แนบที่อ้างว่าเป็นเอกสารสำคัญ ซึ่งเมื่อเหยื่อเปิดขึ้นมาตัวลิงก์ก็จะพาเหยื่อไปยังหน้าจอยืนยันตัวตนแบบ Captcha ที่ถ้าเหยื่อทำเสร็จ ก็จะนำไปสู่การดาวน์โหลด และติดตั้งมัลแวร์นกต่อ (Dropper) ที่มาในรูปแบบไฟล์ NSIS (Nullsoft Scriptable Install System) ในทันที โดยมัลแวร์จะทำการสร้างความคงทนบนระบบ (Persistent) ด้วยการลงทะเบียนไฟล์ DLL ของมัลแวร์และตัว Service (บริการ) ที่เกี่ยวข้องมัลแวร์ เพื่อให้รับประกันได้ว่ามัลแวร์จะกลับมาทำงานใหม่ทุกครั้งหลังมีการรีบูทเครื่อง ซึ่งในขั้นตอนท้ายสุดจะนำไปสู่การรันสคริปท์ PowerShell เพื่อดาวน์โหลดเครื่องมือเช่น Datto และ ITarian Endpoint Management ในรูปแบบไฟล์ติดตั้งแบบ MSI (Microsoft Installer) ลงมาติดตั้ง ซึ่งเครื่องมือทั้ง 2 ตัวนี้จะเป็นเครื่องมือสำหรับการควบคุมเครื่องจากระยะไกลแบบ RMM (Remote Monitoring and Management) ที่จะทำหน้าที่เป็นมัลแวร์แบบเปิดประตูหลังของระบบ (Backdoor) โดยจะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ให้แฮกเกอร์สามารถเข้าสู่ระบบได้ตลอดเวลา
ทางทีมวิจัยจาก Cisco Talos บริษัทผู้เชี่ยวชาญด้านการจัดการระบบเครือข่าย (Network) ได้อธิบายว่า แฮกเกอร์ที่อยู่เบื้องหลังจะใช้โดเมนรอง (Subdomain) ของ n8n ที่ชื่อ .app.n8n[.]cloud ในการใช้เป็น ตัวรับ Request จาก Webhook ที่ถูกฝังอยู่บนอีเมล Phishing ซึ่งหลังจากที่รับข้อมูลมา ก็จะนำไปสู่การทำงานตามขั้นตอนที่ถูกตั้งค่าไว้บน Workflow ที่แฮกเกอร์เขียนไว้บนระบบของ n8n นำไปสู่การฝังมัลแวร์ตามที่กล่าวไว้ข้างต้น แต่ความสามารถของตัว Webhook ของ n8n ยังมีความสามารถอื่น ๆ อีก นั่นคือฟีเจอร์ “ลายนิ้วมือ” (Fingerprint) ที่เพียงแค่ฝังไฟล์รูปภาพที่ถูกทำให้มองไม่เห็น หรือ โค้ดติดตาม (Tracking Code) ที่มีการสอดแทรก URL ของ Webhook ที่ถูกสร้างด้วย n8n ไว้อีกที เมื่อเหยื่อเปิดอีเมลขึ้นมาตัว Webhook ก็จะทำการส่ง Request ด้วยโปรโตคอลแบบ HTTP GET กลับไปยังต้นทาง พร้อมข้อมูลระบบตัวตนเช่น ที่อยู่อีเมลของเหยื่อ (Email Address) ที่จะช่วยระบุให้ว่าใครเป็นคนเปิดอีเมล อย่างอัตโนมัติ อีกด้วย
จากประสบการณ์ส่วนตัวที่ได้ติดตามปัญหาด้านความปลอดภัยไซเบอร์ ผมพบว่าแฮกเกอร์ในยุคปัจจุบันมีความชำนาญในการใช้เครื่องมือ Automation เช่น n8n เพื่อเปลี่ยนการโจมตีแบบ Phishing ให้มีประสิทธิภาพสูงขึ้นอย่างมาก n8n เป็นแพลตฟอร์ม Workflow Automation ที่เดิมทีใช้สำหรับสร้างขั้นตอนการทำงานอัตโนมัติระหว่างแอปพลิเคชันต่างๆ แต่เมื่อนำมาใช้ในเชิงร้าย กลุ่มแฮกเกอร์ก็สามารถสร้าง Webhook ที่รวมถึงการดำเนินการติดตั้งมัลแวร์ และการเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมในรูปแบบอัตโนมัติ ด้วยวิธีนี้ แคมเปญ Phishing จะมีความซับซ้อนขึ้น และยากที่จะตรวจจับจากระบบป้องกันทั่วไป ที่น่าสนใจคือการใช้ฟีเจอร์ Fingerprint ของ Webhook ที่ฝังโค้ดหรือไฟล์รูปภาพที่มองไม่เห็นลงในอีเมล ทำให้ทราบได้ทันทีว่าใครเปิดอีเมลนั้นๆ ซึ่งช่วยให้แฮกเกอร์ควบคุมเป้าหมายได้อย่างแยบยล และสามารถปรับเปลี่ยนแคมเปญให้ตรงกับเหยื่อเฉพาะกลุ่มได้ ดังนั้น สำหรับผู้ใช้ทั่วไป ผมขอแนะนำให้ระมัดระวังและไม่คลิกลิงก์หรือเปิดไฟล์แนบจากอีเมลที่ไม่รู้จัก รวมถึงเปิดใช้งานระบบยืนยันตัวตนหลายชั้น (MFA) และอัพเดตซอฟต์แวร์ระบบความปลอดภัยอย่างสม่ำเสมอ นอกจากนี้องค์กรควรเสริมระบบตรวจจับแบบ Behavior-based Detection ที่สามารถวิเคราะห์กิจกรรมที่ผิดปกติบนเครือข่ายร่วมกับ Machine Learning เพื่อรับมือกับเทคนิคที่หลากหลายของแฮกเกอร์ในยุคนี้ โดยรวมแล้ว การโจมตีผ่าน n8n Webhooks นี้เป็นตัวอย่างที่ดีของการใช้เครื่องมือแท้ที่ถูกปรับใช้ในทางที่ผิด มันสะท้อนให้เห็นถึงความสำคัญในการเข้าใจเทคโนโลยีและการพัฒนากลยุทธ์ป้องกันที่ทันสมัย เพื่อปกป้องข้อมูลและระบบของเราให้ปลอดภัยจากภัยคุกคามไซเบอร์ที่ซับซ้อนขึ้นทุกวัน
