สรุปสั้น

กลุ่ม APT ของอิหร่านที่รู้จักในชื่อ Nimbus Manticore (UNC1549/IRGC) ดำเนินปฏิบัติการโจมตีต่อเนื่องสามระลอกตั้งแต่กุมภาพันธ์ถึงเมษายน 2569 โดยไม่หยุดแม้ในช่วงที่อิหร่านอยู่ในภาวะสงครามหลัง Operation Epic Fury ระลอกแรก (ก.พ.) ใช้ MiniJunk ผ่าน AppDomain Hijacking กับเป้าหมายในซาอุดีอาระเบียและออสเตรเลีย ระลอกสอง (มี.ค.) เพิ่ม MiniFast ผ่าน Zoom installer ปลอม และระลอกสาม (เม.ย.) ใช้ SEO Poisoning ผ่านไซต์ปลอม getsqldeveloper[.]com Palo Alto Networks Unit 42 รายงานเพิ่มเติมว่ากลุ่มนี้ยังใช้ MiniJunk V2 โจมตีบริษัท Oil & Gas ของสหรัฐฯ และมีหลักฐานว่าแฮ็กเกอร์อิหร่านโจมตีระบบ ATG (Automatic Tank Gauge) ในปั๊มน้ำมันหลายรัฐในสหรัฐฯ โค้ด MiniFast มีรูปแบบที่บ่งชี้ว่าพัฒนาด้วยความช่วยเหลือของ AI เพื่อเร่งผลิตเครื่องมือโจมตีภายใต้แรงกดดันช่วงสงคราม

รายละเอียดข่าว

Check Point Research และ Palo Alto Networks Unit 42 รายงานร่วมกันว่า Nimbus Manticore ซึ่งเชื่อมโยงกับ IRGC ของอิหร่าน เร่งปฏิบัติการโจมตีอย่างต่อเนื่องตั้งแต่หลัง Operation Epic Fury ในปลายเดือนกุมภาพันธ์ 2569 โดยเปลี่ยนทั้งเครื่องมือและเทคนิคในแต่ละระลอกอย่างรวดเร็ว ในระลอกแรก พนักงานด้านซอฟต์แวร์และการบินในซาอุดีอาระเบียและออสเตรเลียถูกล่อด้วย fake job offer ให้ดาวน์โหลด ZIP archive จาก OnlyOffice ที่ภายในซ่อน executable ใช้เทคนิค AppDomain Hijacking เพื่อรัน MiniJunk DLL ระลอกที่สอง (มีนาคม) ใช้วิธีเดิมแต่เพิ่ม Zoom installer ปลอมเพื่อปล่อย MiniFast backdoor และระลอกที่สาม (เมษายน) หันมาใช้ SEO Poisoning ผ่านไซต์ปลอม getsqldeveloper[.]com ที่ขึ้นอันดับต้นของ Bing และ DuckDuckGo สำหรับคำค้น “sql developer” Unit 42 ยังพบการใช้ MiniJunk V2 โจมตีเป้าหมายในสหรัฐฯ อิสราเอล UAE และตะวันออกกลาง รวมถึงบริษัท Oil & Gas ในสหรัฐฯ ด้วย

รายละเอียดมัลแวร์และวิธีโจมตี

MiniFast เป็น backdoor 64-bit Windows DLL สำหรับการเข้าถึงระยะยาว สื่อสารกับ C2 ผ่าน HTTP โดยปลอมตัวเป็น Chrome browser รองรับคำสั่ง shell, จัดการไฟล์, list process, อัปโหลดข้อมูล, สร้าง Scheduled Task เพื่อ persistence และยกระดับ Privilege ผ่าน runas โค้ดของ MiniFast มีรูปแบบที่เป็นเอกลักษณ์ของ AI-assisted development ได้แก่ error handling ที่ละเอียดมากผิดปกติ, function name ที่ verbose เกินจำเป็น และ debug message ฉบับเต็ม MiniJunk V2 คือ RAT เวอร์ชันอัปเดตที่ Unit 42 พบใช้ควบคู่กับ MiniFast ในแคมเปญต่อเนื่อง ส่วน AppDomain Hijacking ทำงานโดยอาศัยการที่ .NET Runtime โหลด configuration file จาก path ที่กำหนด ทำให้ DLL อันตรายทำงานในบริบทของ process ที่ถูกต้องโดยไม่ก่อให้เกิดการแจ้งเตือนทันที นอกจากนี้ CNN รายงานว่าแฮ็กเกอร์อิหร่านยังโจมตีระบบ ATG ในปั๊มน้ำมันหลายรัฐในสหรัฐฯ ที่เชื่อมต่ออินเทอร์เน็ตโดยไม่มีรหัสผ่าน ทำให้ค่าที่แสดงบนหน้าจอถูกแก้ไขได้ แม้ยังไม่กระทบระดับน้ำมันจริง แต่อาจทำให้ระบบตรวจจับ gas leak เกิดความผิดพลาด

ผลกระทบต่อไทย

นักพัฒนาซอฟต์แวร์ไทยที่ใช้ Oracle SQL Developer หรือ Zoom อาจตกเป็นเหยื่อหากค้นหาซอฟต์แวร์ผ่าน Search Engine แทนเว็บทางการ บุคลากรสายการบินและพลังงานที่ได้รับ job offer หรือ meeting invitation ที่น่าสนใจผ่าน LinkedIn หรือ Telegram ควรระมัดระวังเป็นพิเศษ องค์กรด้านพลังงานในไทยควรตรวจสอบว่าระบบ SCADA และ OT ไม่ได้เปิดเชื่อมต่ออินเทอร์เน็ตโดยไม่จำเป็น

คำแนะนำ

  • ดาวน์โหลดซอฟต์แวร์จากเว็บทางการเท่านั้น — อย่าพึ่ง Search Engine สำหรับ Installer
  • ระวัง Job offer และ Meeting invitation ปลอม โดยเฉพาะไฟล์ ZIP แนบ
  • ตรวจสอบ AppDomain config files และ .NET DLL ที่โหลดผ่าน Scheduled Task
  • อุปกรณ์ OT/SCADA เช่น ATG ต้องไม่เปิด internet-facing โดยไม่มี authentication
  • บล็อก IoC จาก Check Point และ Unit 42 รวมถึง getsqldeveloper[.]com และ C2 บน Azure

แหล่งอ้างอิง