สรุปสั้น

ทีม Splunk Threat Research Team (STRT) เปิดเผยแคมเปญมัลแวร์ VIP Keylogger ที่แพร่กระจายผ่านอีเมลฟิชชิงซึ่งปลอมตัวเป็นเอกสารธุรกิจทั่วไป เช่น ใบแจ้งเตือนการชำระเงินของธนาคาร ใบสั่งซื้อ และข้อมูลอัปเดตการขนส่ง เพื่อหลอกให้เหยื่อเปิดไฟล์ แคมเปญนี้เคลื่อนไหวต่อเนื่องมาหลายเดือนและยังไม่มีทีท่าจะหยุด VIP Keylogger เป็นมัลแวร์ประเภทขโมยข้อมูล (infostealer) ที่โดดเด่นด้วยความทนทานและวิธีหลบการตรวจจับแบบหลายชั้น เมื่อเหยื่อเปิดไฟล์ จะเกิดห่วงโซ่การติดเชื้อมัลแวร์หลายขั้นตอนที่ออกแบบมาเพื่อซ่อนตัวในทุกขั้น จนเมื่อเพย์โหลดสุดท้ายทำงาน มัลแวร์ได้ฝังตัวเข้าไปในโพรเซส Windows ที่ถูกต้องตามกฎหมายแล้ว ทำให้ตรวจจับได้ยากมาก STRT วิเคราะห์ตัวอย่าง script loader กว่า 200 ตัวอย่างที่เก็บได้ระหว่างมีนาคมถึงเมษายน 2569

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 28 พฤษภาคม 2569 ว่า ตามรายงานของ Splunk Threat Research Team แคมเปญ VIP Keylogger พึ่งพากลยุทธ์ social engineering อย่างหนักในช่วงหลายเดือนที่ผ่านมา โดยผู้โจมตีอำพรางไฟล์อันตรายให้เหมือนใบแจ้งชำระเงินธนาคาร ใบสั่งซื้อ และข้อมูลขนส่ง การติดมัลแวร์เริ่มจาก script loader หนึ่งในสามชนิด ได้แก่ Visual Basic Script (.vbs), JavaScript (.js) หรือ batch script (.bat) ซึ่งแต่ละตัวถูก obfuscate อย่างหนักด้วยเทคนิคเช่น junk code padding, hex encoding และ AES-encrypted PowerShell stager เพื่อหลบการสแกน ตัว .vbs loader ซ่อนเพย์โหลดไว้กลางไฟล์ คั่นด้วยบล็อกโค้ดไร้ความหมายขนาดใหญ่ เมื่อถอดรหัสแล้วจะส่งการทำงานต่อให้ PowerShell stager ที่ถูกเขียนลงในตัวแปรสภาพแวดล้อมซ่อนชื่อ INTERNAL_DB_CACHE STRT รวบรวมและวิเคราะห์ตัวอย่างมากกว่า 200 รายการจากข้อมูล VirusTotal เพื่อศึกษาวิธีที่ผู้โจมตีตั้งชื่อและส่งไฟล์เหล่านี้

วิธีการโจมตี

VIP Keylogger infection chain steganography PNG payload injection

หนึ่งในเทคนิคที่สร้างสรรค์ที่สุดของ VIP Keylogger คือ steganography ซึ่งซ่อนโค้ดอันตรายไว้ในไฟล์ภาพที่ดูเหมือนรูปธรรมดา โดย PowerShell stager จะดาวน์โหลดไฟล์ .png สองไฟล์จากเซิร์ฟเวอร์ระยะไกล แต่ละไฟล์แอบบรรจุส่วนประกอบของเพย์โหลดสุดท้ายที่เข้ารหัสไว้ เมื่อถอดรหัสภาพแล้วตัวคีย์ล็อกเกอร์จึงปรากฏและถูกฉีดเข้าโพรเซส Windows ที่ถูกต้องชื่อ aspnet_compiler.exe เมื่อติดตั้งแล้ว VIP Keylogger บันทึกทุกการกดคีย์ จับภาพหน้าจอเป็นระยะ ขโมยรหัสผ่านและคุกกี้ที่บันทึกไว้จากเบราว์เซอร์ยอดนิยมจำนวนมาก และสแกน Windows registry หา Outlook credential นอกจากนี้ยังเฝ้าดูคลิปบอร์ดแบบเรียลไทม์ และแอบสลับที่อยู่กระเป๋าคริปโตเคอร์เรนซีที่ถูกคัดลอกเป็นที่อยู่ของผู้โจมตี มัลแวร์ติดต่อเซิร์ฟเวอร์ command-and-control หลายแห่งเพื่อส่งข้อมูลที่ขโมยได้ รวมถึงผ่าน Telegram bot และยังตรวจสอบ IP ของเหยื่อเทียบกับ sandbox ที่รู้จักเพื่อหลบการวิเคราะห์ ก่อนลบตัวเองออกจากดิสก์หลังทำงานเสร็จ

ผลกระทบต่อไทย

อีเมลฟิชชิงที่ปลอมเป็นใบแจ้งชำระเงิน ใบสั่งซื้อ และเอกสารขนส่งเป็นรูปแบบที่พบบ่อยในองค์กรไทยทุกขนาด โดยเฉพาะแผนกบัญชี จัดซื้อ และโลจิสติกส์ที่รับเอกสารลักษณะนี้เป็นประจำ จึงตกเป็นเป้าหมายได้ง่าย VIP Keylogger ที่สามารถขโมยรหัสผ่าน คุกกี้ และ Outlook credential เปิดทางให้ผู้โจมตีเข้าถึงระบบอีเมลและบริการขององค์กรต่อเนื่อง ความสามารถสลับที่อยู่กระเป๋าคริปโตในคลิปบอร์ดยังเป็นภัยโดยตรงต่อผู้ใช้และนักลงทุนคริปโตในไทย เทคนิค steganography และการฝังตัวในโพรเซสที่ถูกต้องทำให้ระบบ antivirus แบบชั้นเดียวตรวจจับได้ยาก องค์กรไทยจึงควรเสริมการเฝ้าระวังพฤติกรรมและฝึกอบรมพนักงานให้รู้จักอีเมลฟิชชิง

คำแนะนำ

  • ฝึกอบรมพนักงาน ให้ระวังอีเมลแนบไฟล์ที่อ้างเป็นใบแจ้งชำระเงิน ใบสั่งซื้อ หรือข้อมูลขนส่ง
  • เปิดใช้ PowerShell script block logging เพื่อตรวจจับ stager ที่ใช้ตัวแปรสภาพแวดล้อมร่วมกับคำสั่งรันแบบ dynamic
  • เฝ้าระวังการแก้ไข registry ที่เกี่ยวกับคีย์ UserInitMprLogonScript
  • ตรวจ DNS query ที่มุ่งไปยังโดเมน api.telegram[.]org ซึ่งอาจบ่งชี้การส่งข้อมูลออกของมัลแวร์
  • เฝ้าระวังโพรเซสผิดปกติ ที่ถูกเรียกจาก parent process แบบสคริปต์ รวมถึง aspnet_compiler.exe ที่ทำงานผิดบริบท
  • อัปเดตระบบและแพตช์สม่ำเสมอ พร้อมใช้โซลูชันตรวจจับพฤติกรรมแบบหลายชั้น

Indicators of Compromise (IoCs)

TypeIndicatorDescription
File Hash (SHA256)95e6c6c13f65217f41c371abf6d03594b2bfed2259a181307ee41817b9f33871VIP Keylogger loader sample
File Hash (SHA256)2df582bb41d1e6f0a6d44e8dbc1d8bca8e3d332bb268688d1f59c65ebe64d0e8VIP Keylogger component
File Hash (SHA256)17ffe7ecbf1d5a4bc3768d896c9348d5de337baa0b0938e4283324d3b1e8ccbdVIP Keylogger component
File Hash (SHA256)eed694aab3b14b25dfcc6e7f69992b3f5543bcc9ebe86bd0b682e211f428613bVIP Keylogger component
File Hash (SHA256)9bca7a3ac404807c63670141a3459eac24450e0cffbe109905c76ccf4ebdd12eVIP Keylogger component
File Hash (SHA256)1df63047a3206026073781d88516927c6d68f6413e437e4a919b2007f6a2ade3VIP Keylogger component
File Hash (SHA256)ae6918bfe8774e1ec1ec34f3db26e7e548dd0dc33a4e6faa2862e4d2c722c7bfVIP Keylogger sample
File Hash (SHA256)c86aa6c2c589455659b7a4ce6bb15cbdecb69250504d0b00bf3a9ac2209e3f60VIP Keylogger sample
File Hash (SHA256)00553aa0e89b79d5ad4a4b03f9b153d27d356c6e62648fa87c2c378af42801ccVIP Keylogger sample
File Hash (SHA256)d00ad4c93afcc23b9f8e5f56a8ddef81c1f4b3319793cca0789e92ef11ccc9abVIP Keylogger sample
File Nameimg_085027.pngไฟล์ภาพ steganography ที่บรรจุเพย์โหลดสุดท้าย
URLhxxps://vault88x[.]secure-efficient2[.]su/MSI_105759[.]pngURL ดาวน์โหลด steganography แรก (downloader component)
URLhxxps://vault88x[.]secure-efficient2[.]su/img_085027[.]pngURL ดาวน์โหลด steganography ที่สอง (เพย์โหลดสุดท้าย)
URLhxxps[:]//reallyfreegeoip[.]org/xml/URL geolocation lookup สำหรับ C2 beaconing
URLhxxp[:]//checkip[.]dyndns[.]org/URL ตรวจ IP ระหว่าง C2 beaconing
Domainapi.telegram[.]orgโดเมน Telegram Bot API ใช้สื่อสาร C2 และส่งข้อมูลออก

หมายเหตุ: IP และโดเมนถูก defang โดยตั้งใจ (เช่น [.]) เพื่อป้องกันการ resolve โดยไม่ตั้งใจ ให้ re-fang เฉพาะในแพลตฟอร์มข่าวกรองภัยคุกคามที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM

แหล่งอ้างอิง