สรุปสั้น

กลุ่มแฮ็กเกอร์อิหร่านที่รู้จักในชื่อ MuddyWater (หรือ Seedworm) ถูกเชื่อมโยงกับแคมเปญจารกรรมไซเบอร์ครั้งใหม่ที่กระทบองค์กรอย่างน้อย 9 แห่งใน 9 ประเทศ ครอบคลุม 4 ทวีป ในช่วงไตรมาสแรกของปี 2026 โดยทีม Threat Hunter ของบริษัท Symantec และ Carbon Black (ในเครือ Broadcom) ระบุว่าเป้าหมายครอบคลุมทั้งอุตสาหกรรมการผลิตและอิเล็กทรอนิกส์ ภาคการศึกษาและหน่วยงานภาครัฐ บริการทางการเงิน และบริการเชิงวิชาชีพ หนึ่งในเหยื่อคือผู้ผลิตอิเล็กทรอนิกส์รายใหญ่ของเกาหลีใต้ที่ผู้โจมตีฝังตัวอยู่ในเครือข่ายนานถึงหนึ่งสัปดาห์ในเดือนกุมภาพันธ์ 2026 นอกจากนี้ยังมีสนามบินนานาชาติแห่งหนึ่งในตะวันออกกลาง ผู้ผลิตอุตสาหกรรมในเอเชียตะวันออกเฉียงใต้ และผู้ให้บริการทางการเงินในละตินอเมริกา

จุดเด่นของการโจมตีคือการพึ่งพาเทคนิค DLL side-loading อย่างหนัก โดยใช้ไฟล์ปฏิบัติการที่เซ็นรับรองอย่างถูกต้องของ Fortemedia (fmapp.exe) และ SentinelOne (sentinelmemoryscanner.exe) มารันไฟล์ DLL อันตรายในคราบซอฟต์แวร์ที่ดูปลอดภัย ทั้งสอง DLL ฝังเครื่องมือโอเพนซอร์สชื่อ ChromElevator เพื่อดูดรหัสผ่าน คุกกี้ และข้อมูลบัตรชำระเงินจากเบราว์เซอร์ตระกูล Chromium โดยเลี่ยงการป้องกัน App-Bound Encryption (ABE) นักวิจัยประเมินว่าการเลือกใช้ไฟล์ของผลิตภัณฑ์ความมั่นคงปลอดภัยเป็นความตั้งใจ เพราะช่วยเลี่ยงการตรวจจับแบบอิงลายเซ็น (signature-based)

รายละเอียดข่าว

เว็บไซต์ The Hacker News (THN) รายงานเมื่อวันที่ 26 พฤษภาคม พ.ศ. 2569 ว่า ทีมความมั่นคงปลอดภัยของ Broadcom (Symantec และ Carbon Black) ได้เปิดเผยแคมเปญจารกรรมของ MuddyWater ที่ระบุว่า “ผู้โจมตีพึ่งพา DLL side-loading อย่างหนัก โดยใช้ไบนารีที่เซ็นรับรองถูกต้องของ Fortemedia (fmapp.exe) และ SentinelOne (sentinelmemoryscanner.exe) เพื่อรัน DLL อันตรายในขณะที่อำพรางตัวเป็นซอฟต์แวร์ที่ไม่มีพิษภัย”

การใช้ fmapp.exe เพื่อ sideload ไฟล์ fmapp.dll เคยถูกบันทึกไว้ก่อนหน้าโดยบริษัท Group-IB ในแคมเปญของ MuddyWater ที่มีชื่อรหัสว่า Operation Olalampo ตามข้อมูลของบริษัท Huntress ไฟล์ DLL ดังกล่าวมีโค้ดที่เชื่อมต่อไปยังที่อยู่ไอพีของผู้โจมตี (157.20.182[.]49) ในทางกลับกัน การฉวยใช้ sentinelmemoryscanner.exe ซึ่งเป็นไบนารีที่ผูกกับผลิตภัณฑ์ความมั่นคงปลอดภัย ถูกประเมินว่าเป็นการเลือกอย่างจงใจ เพราะสามารถเลี่ยงการตรวจจับแบบอิงลายเซ็นได้ และถูกออกแบบมาเพื่อ sideload ไฟล์ DLL ปลอมชื่อ sentinelagentcore.dll

DLL ทั้งสองฝังเครื่องมือโอเพนซอร์สชื่อ ChromElevator เพื่อดูดรหัสผ่าน คุกกี้ และข้อมูลบัตรชำระเงินจากเบราว์เซอร์ตระกูล Chromium โดยหลบผ่านการป้องกัน App-Bound Encryption (ABE) ได้อย่างมีประสิทธิภาพ อีกจุดที่น่าสังเกตคือการใช้สคริปต์ Node.js เพื่อเรียกโค้ด PowerShell ที่รับหน้าที่สำรวจระบบและเก็บข้อมูล และในอย่างน้อยหนึ่งกรณี ผู้โจมตีได้พักข้อมูลที่ขโมยมาไว้บน sendit[.]sh ซึ่งเป็นบริการรับส่งไฟล์สาธารณะ

วิธีการโจมตี

Symantec และ Carbon Black ระบุว่า “ห่วงโซ่การฝังตัวที่อาศัย node.exe ถูกใช้เพื่อปล่อยสคริปต์ PowerShell ที่ทำการสำรวจระบบ จับภาพหน้าจอ ขโมยไฟล์ SAM hive ยกระดับสิทธิ์ และเปิดอุโมงค์ SOCKS5 แบบ reverse-proxy” นอกจากนี้ยังมีการส่งคู่ไฟล์ DLL side-loading ทั้งสองชุดที่กล่าวถึงข้างต้น เพื่อเปิดช่องทางลับให้ผู้โจมตีส่งต่อทราฟฟิกและเปิดใช้ ChromElevator การโจมตียังมีลักษณะพยายามดัมป์ข้อมูลรับรอง (credentials) เพื่อเคลื่อนที่ในแนวขวางข้ามเครือข่าย

ในการบุกรุกผู้ผลิตอิเล็กทรอนิกส์เกาหลีใต้ MuddyWater เชื่อว่าได้ทำการสำรวจระบบด้วย PowerShell ซ้ำ ๆ และรันไบนารีทั้งสองใหม่เพื่อรักษาการเข้าถึงเครื่องที่ถูกเจาะ ส่วนช่องทางเข้าถึงเริ่มต้นที่ใช้เจาะองค์กรนี้ยังไม่ทราบแน่ชัด นักวิจัยระบุว่า “จังหวะการทำงานสอดคล้องกับกิจกรรมที่ขับเคลื่อนด้วย implant มากกว่าการที่ผู้ปฏิบัติการเฝ้าอยู่ตลอดเวลา ประวัติแคมเปญของกลุ่มนี้แสดงการเปลี่ยนไปสู่ปฏิบัติการที่เงียบและมีวินัยมากขึ้นอย่างชัดเจน ไม่มีเทคนิคใดที่แปลกใหม่ในตัวเอง แต่เมื่อรวมกันแล้วกลับเป็นหลักฐานว่าสุขอนามัยเชิงปฏิบัติการยกระดับขึ้นอย่างมีนัยสำคัญจาก Seedworm ที่เรารู้จักเมื่อสองสามปีก่อน”

พัฒนาการนี้เกิดขึ้นในช่วงที่คณะมนตรียุโรปออกมาตรการคว่ำบาตรบริษัทอิหร่านชื่อ Emennet Pasargad ฐานแฮ็กบริการ SMS ของสวีเดน เข้าถึงฐานข้อมูลผู้ใช้บริการฝรั่งเศสแล้วนำไปประกาศขาย และเผยแพร่ข้อมูลบิดเบือนผ่านป้ายโฆษณาที่ถูกเจาะระหว่างโอลิมปิกปารีส 2024 โดยบริษัทนี้ใช้ชื่อ Shahid Shushtari และมีความเชื่อมโยงกับกองบัญชาการไซเบอร์-อิเล็กทรอนิกส์ของกองกำลังพิทักษ์การปฏิวัติอิสลามอิหร่าน (IRGC-CEC) ในช่วงเวลาใกล้เคียงกัน แฮ็กเกอร์ที่หนุนหลังโดยอิหร่านยังถูกโยงกับแคมเปญขโมยข้อมูลจากองค์กรในสหรัฐฯ อิสราเอล ซาอุดีอาระเบีย และตุรกี ซึ่งบริษัท Gambit Security เชื่อมโยงโครงสร้างพื้นฐานเข้ากับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน (MOIS) และพบการใช้เครื่องมือ C++ ชื่อ FileFiend ในการรวบรวมและส่งไฟล์ออก

ผลกระทบต่อไทย

แคมเปญนี้เกี่ยวข้องกับไทยและภูมิภาคโดยตรง เพราะ Symantec ระบุชัดว่าหนึ่งในกลุ่มเหยื่อคือ “ผู้ผลิตอุตสาหกรรมในเอเชียตะวันออกเฉียงใต้” ซึ่งเป็นภูมิภาคเดียวกับไทยและมีห่วงโซ่อุปทานการผลิตเชื่อมโยงกันแน่นหนา องค์กรไทยในภาคการผลิต อิเล็กทรอนิกส์ การเงิน และภาครัฐจึงควรถือว่าตนเองอยู่ในขอบเขตเป้าหมายของกลุ่มระดับรัฐเช่นนี้ จุดที่อันตรายเป็นพิเศษคือเทคนิค DLL side-loading ผ่านไฟล์ที่เซ็นรับรองถูกต้อง โดยเฉพาะการนำไบนารีของผลิตภัณฑ์ความมั่นคงปลอดภัย (SentinelOne) มาใช้ ทำให้เครื่องมือป้องกันแบบอิงลายเซ็นมองไม่เห็น และการฝัง ChromElevator เพื่อขโมยรหัสผ่านและคุกกี้จากเบราว์เซอร์ทำให้ผู้โจมตีสามารถยึดบัญชีและเคลื่อนที่ในเครือข่ายต่อได้อย่างเงียบเชิง

คำแนะนำ

องค์กรควรเฝ้าระวังพฤติกรรม DLL side-loading โดยตรวจสอบว่ามีไบนารีที่เซ็นรับรองถูกต้อง (เช่น fmapp.exe, sentinelmemoryscanner.exe) โหลด DLL จากตำแหน่งหรือชื่อที่ผิดปกติหรือไม่ และเฝ้าระวังการเชื่อมต่อออกไปยังไอพี/โดเมนที่พบในรายงาน ควรตรวจจับการทำงานของ Node.js (node.exe) ที่เรียก PowerShell อย่างผิดปกติ การจับภาพหน้าจอ การเข้าถึง SAM hive และการเปิดอุโมงค์ SOCKS5 รวมถึงเฝ้าระวังการอัปโหลดข้อมูลไปยังบริการรับส่งไฟล์สาธารณะอย่าง sendit[.]sh

นอกจากนี้ควรบังคับใช้การยืนยันตัวตนหลายชั้น (MFA) หมั่นล้างคุกกี้เซสชันและหมุนเวียนข้อมูลรับรองเป็นระยะเพื่อลดผลกระทบเมื่อ ChromElevator ขโมยข้อมูลจากเบราว์เซอร์ จำกัดสิทธิ์บัญชีให้น้อยที่สุด และตรวจสอบให้แน่ใจว่าผลิตภัณฑ์ EDR ตรวจจับพฤติกรรม (behavior-based) ไม่ใช่พึ่งพาลายเซ็นเพียงอย่างเดียว เพราะกลุ่มนี้ออกแบบมาเพื่อเลี่ยงการตรวจจับแบบอิงลายเซ็นโดยเฉพาะ

Indicators of Compromise (IoCs)

หมายเหตุ: อินดิเคเตอร์ถูก defang (ใส่วงเล็บที่จุด) เพื่อความปลอดภัย — คัดจากภาคผนวก IOCs ของรายงาน Symantec/Carbon Black และ Huntress

ประเภทตัวบ่งชี้คำอธิบาย
SHA-256e25892603c42e34bd7ba0d8ea73be600d898cadc290e3417a82c04d6281b743bfmapp.exe — ไบนารี Fortemedia ที่เซ็นถูกต้อง
SHA-256c6182fd01b14d84723e3c9d11bc0e16b34de6607ccb8334fc9bb97c1b44f0cdefmapp.dll — DLL อันตราย ฝัง ChromElevator
SHA-256128b58a2a2f1df66c474094aacb7e50189025fbf45d7cd8e0834e93a8fbed667sentinelmemoryscanner.exe — ไบนารี SentinelOne ที่เซ็นถูกต้อง
SHA-2560c9b911935a3705b0ad569446804d80026feb6db3884aeb240b6c76e9b8cf139sentinelagentcore.dll — DLL อันตราย ฝัง ChromElevator
SHA-25674ab3838ebed7054b2254bf7d334c80c8b2cfec4a97d1706723f8ea55f11061fเครื่องมือยกระดับสิทธิ์ (Kerberos TGT/GSS-API delegation abuse)
SHA-2563ee7dab4ae4f6d4f16dfabb6f38faef370411a9fc00ff035844e54703b99600aเครื่องมือดึงข้อมูลรับรองจาก SAM hive
SHA-256bee79c3302b1a7afc0952842d14eff83a604ef00bfdae525176c16c80b2045f7เครื่องมือดึงข้อมูลรับรองจาก SAM hive
SHA-256d587959841a763669279ad831b8f0379f6a7b037dffc19deab5d41f37f8b5ffcCredential harvester — บันทึกรหัสไว้ที่ C:\ProgramData\lopa.txt
SHA-256b21c802775df0c0d82c8cfde299084abc624898b10258db641b820172a0ba29aเครื่องมือพร็อกซี SOCKS5
IP Address179.43.177[.]220เซิร์ฟเวอร์พักเพย์โหลด — ดึงไฟล์ผ่าน HTTP พอร์ต 8080 (nm.ps1, a.dat, a.exe)
Domaintimetrakr[.]cloudโดเมนพักเพย์โหลดสำรอง (ดึง sp.ps1)
Domainsvc.wompworthy[.]comโดเมน C2 ของผู้โจมตี
Domainsendit[.]shบริการรับส่งไฟล์สาธารณะที่ใช้ส่งข้อมูลออก
IP Address178.128.233[.]36อินฟราสตรักเจอร์ที่เกี่ยวข้อง
IP Address172.67.156[.]47อินฟราสตรักเจอร์ที่เกี่ยวข้อง
IP Address104.21.48[.]205อินฟราสตรักเจอร์ที่เกี่ยวข้อง
IP Address37.187.78[.]41อินฟราสตรักเจอร์ที่เกี่ยวข้อง
IP Address34.117.59[.]81อินฟราสตรักเจอร์ที่เกี่ยวข้อง
IP Address157.20.182[.]49fmapp.dll C2 — แคมเปญ Olalampo (Huntress)
File Namefmapp.exeคู่ DLL side-loading กับ fmapp.dll (Fortemedia)
File Namefmapp.dllDLL อันตราย ฝัง ChromElevator
File Namesentinelmemoryscanner.exeคู่ DLL side-loading กับ sentinelagentcore.dll (SentinelOne)
File Namesentinelagentcore.dllDLL อันตราย ฝัง ChromElevator
File NameC:\ProgramData\lopa.txtไฟล์ที่ credential harvester ใช้บันทึกรหัสผ่าน
Registry KeyHKCU...\CurrentVersion\RunPersistence — ค่า random ชี้ไป fmapp.exe

แหล่งอ้างอิง