สรุปสั้น
กลุ่มแฮ็กเกอร์อิหร่านที่รู้จักในชื่อ MuddyWater (หรือ Seedworm) ถูกเชื่อมโยงกับแคมเปญจารกรรมไซเบอร์ครั้งใหม่ที่กระทบองค์กรอย่างน้อย 9 แห่งใน 9 ประเทศ ครอบคลุม 4 ทวีป ในช่วงไตรมาสแรกของปี 2026 โดยทีม Threat Hunter ของบริษัท Symantec และ Carbon Black (ในเครือ Broadcom) ระบุว่าเป้าหมายครอบคลุมทั้งอุตสาหกรรมการผลิตและอิเล็กทรอนิกส์ ภาคการศึกษาและหน่วยงานภาครัฐ บริการทางการเงิน และบริการเชิงวิชาชีพ หนึ่งในเหยื่อคือผู้ผลิตอิเล็กทรอนิกส์รายใหญ่ของเกาหลีใต้ที่ผู้โจมตีฝังตัวอยู่ในเครือข่ายนานถึงหนึ่งสัปดาห์ในเดือนกุมภาพันธ์ 2026 นอกจากนี้ยังมีสนามบินนานาชาติแห่งหนึ่งในตะวันออกกลาง ผู้ผลิตอุตสาหกรรมในเอเชียตะวันออกเฉียงใต้ และผู้ให้บริการทางการเงินในละตินอเมริกา
จุดเด่นของการโจมตีคือการพึ่งพาเทคนิค DLL side-loading อย่างหนัก โดยใช้ไฟล์ปฏิบัติการที่เซ็นรับรองอย่างถูกต้องของ Fortemedia (fmapp.exe) และ SentinelOne (sentinelmemoryscanner.exe) มารันไฟล์ DLL อันตรายในคราบซอฟต์แวร์ที่ดูปลอดภัย ทั้งสอง DLL ฝังเครื่องมือโอเพนซอร์สชื่อ ChromElevator เพื่อดูดรหัสผ่าน คุกกี้ และข้อมูลบัตรชำระเงินจากเบราว์เซอร์ตระกูล Chromium โดยเลี่ยงการป้องกัน App-Bound Encryption (ABE) นักวิจัยประเมินว่าการเลือกใช้ไฟล์ของผลิตภัณฑ์ความมั่นคงปลอดภัยเป็นความตั้งใจ เพราะช่วยเลี่ยงการตรวจจับแบบอิงลายเซ็น (signature-based)
รายละเอียดข่าว
เว็บไซต์ The Hacker News (THN) รายงานเมื่อวันที่ 26 พฤษภาคม พ.ศ. 2569 ว่า ทีมความมั่นคงปลอดภัยของ Broadcom (Symantec และ Carbon Black) ได้เปิดเผยแคมเปญจารกรรมของ MuddyWater ที่ระบุว่า “ผู้โจมตีพึ่งพา DLL side-loading อย่างหนัก โดยใช้ไบนารีที่เซ็นรับรองถูกต้องของ Fortemedia (fmapp.exe) และ SentinelOne (sentinelmemoryscanner.exe) เพื่อรัน DLL อันตรายในขณะที่อำพรางตัวเป็นซอฟต์แวร์ที่ไม่มีพิษภัย”
การใช้ fmapp.exe เพื่อ sideload ไฟล์ fmapp.dll เคยถูกบันทึกไว้ก่อนหน้าโดยบริษัท Group-IB ในแคมเปญของ MuddyWater ที่มีชื่อรหัสว่า Operation Olalampo ตามข้อมูลของบริษัท Huntress ไฟล์ DLL ดังกล่าวมีโค้ดที่เชื่อมต่อไปยังที่อยู่ไอพีของผู้โจมตี (157.20.182[.]49) ในทางกลับกัน การฉวยใช้ sentinelmemoryscanner.exe ซึ่งเป็นไบนารีที่ผูกกับผลิตภัณฑ์ความมั่นคงปลอดภัย ถูกประเมินว่าเป็นการเลือกอย่างจงใจ เพราะสามารถเลี่ยงการตรวจจับแบบอิงลายเซ็นได้ และถูกออกแบบมาเพื่อ sideload ไฟล์ DLL ปลอมชื่อ sentinelagentcore.dll
DLL ทั้งสองฝังเครื่องมือโอเพนซอร์สชื่อ ChromElevator เพื่อดูดรหัสผ่าน คุกกี้ และข้อมูลบัตรชำระเงินจากเบราว์เซอร์ตระกูล Chromium โดยหลบผ่านการป้องกัน App-Bound Encryption (ABE) ได้อย่างมีประสิทธิภาพ อีกจุดที่น่าสังเกตคือการใช้สคริปต์ Node.js เพื่อเรียกโค้ด PowerShell ที่รับหน้าที่สำรวจระบบและเก็บข้อมูล และในอย่างน้อยหนึ่งกรณี ผู้โจมตีได้พักข้อมูลที่ขโมยมาไว้บน sendit[.]sh ซึ่งเป็นบริการรับส่งไฟล์สาธารณะ
วิธีการโจมตี
Symantec และ Carbon Black ระบุว่า “ห่วงโซ่การฝังตัวที่อาศัย node.exe ถูกใช้เพื่อปล่อยสคริปต์ PowerShell ที่ทำการสำรวจระบบ จับภาพหน้าจอ ขโมยไฟล์ SAM hive ยกระดับสิทธิ์ และเปิดอุโมงค์ SOCKS5 แบบ reverse-proxy” นอกจากนี้ยังมีการส่งคู่ไฟล์ DLL side-loading ทั้งสองชุดที่กล่าวถึงข้างต้น เพื่อเปิดช่องทางลับให้ผู้โจมตีส่งต่อทราฟฟิกและเปิดใช้ ChromElevator การโจมตียังมีลักษณะพยายามดัมป์ข้อมูลรับรอง (credentials) เพื่อเคลื่อนที่ในแนวขวางข้ามเครือข่าย
ในการบุกรุกผู้ผลิตอิเล็กทรอนิกส์เกาหลีใต้ MuddyWater เชื่อว่าได้ทำการสำรวจระบบด้วย PowerShell ซ้ำ ๆ และรันไบนารีทั้งสองใหม่เพื่อรักษาการเข้าถึงเครื่องที่ถูกเจาะ ส่วนช่องทางเข้าถึงเริ่มต้นที่ใช้เจาะองค์กรนี้ยังไม่ทราบแน่ชัด นักวิจัยระบุว่า “จังหวะการทำงานสอดคล้องกับกิจกรรมที่ขับเคลื่อนด้วย implant มากกว่าการที่ผู้ปฏิบัติการเฝ้าอยู่ตลอดเวลา ประวัติแคมเปญของกลุ่มนี้แสดงการเปลี่ยนไปสู่ปฏิบัติการที่เงียบและมีวินัยมากขึ้นอย่างชัดเจน ไม่มีเทคนิคใดที่แปลกใหม่ในตัวเอง แต่เมื่อรวมกันแล้วกลับเป็นหลักฐานว่าสุขอนามัยเชิงปฏิบัติการยกระดับขึ้นอย่างมีนัยสำคัญจาก Seedworm ที่เรารู้จักเมื่อสองสามปีก่อน”
พัฒนาการนี้เกิดขึ้นในช่วงที่คณะมนตรียุโรปออกมาตรการคว่ำบาตรบริษัทอิหร่านชื่อ Emennet Pasargad ฐานแฮ็กบริการ SMS ของสวีเดน เข้าถึงฐานข้อมูลผู้ใช้บริการฝรั่งเศสแล้วนำไปประกาศขาย และเผยแพร่ข้อมูลบิดเบือนผ่านป้ายโฆษณาที่ถูกเจาะระหว่างโอลิมปิกปารีส 2024 โดยบริษัทนี้ใช้ชื่อ Shahid Shushtari และมีความเชื่อมโยงกับกองบัญชาการไซเบอร์-อิเล็กทรอนิกส์ของกองกำลังพิทักษ์การปฏิวัติอิสลามอิหร่าน (IRGC-CEC) ในช่วงเวลาใกล้เคียงกัน แฮ็กเกอร์ที่หนุนหลังโดยอิหร่านยังถูกโยงกับแคมเปญขโมยข้อมูลจากองค์กรในสหรัฐฯ อิสราเอล ซาอุดีอาระเบีย และตุรกี ซึ่งบริษัท Gambit Security เชื่อมโยงโครงสร้างพื้นฐานเข้ากับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน (MOIS) และพบการใช้เครื่องมือ C++ ชื่อ FileFiend ในการรวบรวมและส่งไฟล์ออก
ผลกระทบต่อไทย
แคมเปญนี้เกี่ยวข้องกับไทยและภูมิภาคโดยตรง เพราะ Symantec ระบุชัดว่าหนึ่งในกลุ่มเหยื่อคือ “ผู้ผลิตอุตสาหกรรมในเอเชียตะวันออกเฉียงใต้” ซึ่งเป็นภูมิภาคเดียวกับไทยและมีห่วงโซ่อุปทานการผลิตเชื่อมโยงกันแน่นหนา องค์กรไทยในภาคการผลิต อิเล็กทรอนิกส์ การเงิน และภาครัฐจึงควรถือว่าตนเองอยู่ในขอบเขตเป้าหมายของกลุ่มระดับรัฐเช่นนี้ จุดที่อันตรายเป็นพิเศษคือเทคนิค DLL side-loading ผ่านไฟล์ที่เซ็นรับรองถูกต้อง โดยเฉพาะการนำไบนารีของผลิตภัณฑ์ความมั่นคงปลอดภัย (SentinelOne) มาใช้ ทำให้เครื่องมือป้องกันแบบอิงลายเซ็นมองไม่เห็น และการฝัง ChromElevator เพื่อขโมยรหัสผ่านและคุกกี้จากเบราว์เซอร์ทำให้ผู้โจมตีสามารถยึดบัญชีและเคลื่อนที่ในเครือข่ายต่อได้อย่างเงียบเชิง
คำแนะนำ
องค์กรควรเฝ้าระวังพฤติกรรม DLL side-loading โดยตรวจสอบว่ามีไบนารีที่เซ็นรับรองถูกต้อง (เช่น fmapp.exe, sentinelmemoryscanner.exe) โหลด DLL จากตำแหน่งหรือชื่อที่ผิดปกติหรือไม่ และเฝ้าระวังการเชื่อมต่อออกไปยังไอพี/โดเมนที่พบในรายงาน ควรตรวจจับการทำงานของ Node.js (node.exe) ที่เรียก PowerShell อย่างผิดปกติ การจับภาพหน้าจอ การเข้าถึง SAM hive และการเปิดอุโมงค์ SOCKS5 รวมถึงเฝ้าระวังการอัปโหลดข้อมูลไปยังบริการรับส่งไฟล์สาธารณะอย่าง sendit[.]sh
นอกจากนี้ควรบังคับใช้การยืนยันตัวตนหลายชั้น (MFA) หมั่นล้างคุกกี้เซสชันและหมุนเวียนข้อมูลรับรองเป็นระยะเพื่อลดผลกระทบเมื่อ ChromElevator ขโมยข้อมูลจากเบราว์เซอร์ จำกัดสิทธิ์บัญชีให้น้อยที่สุด และตรวจสอบให้แน่ใจว่าผลิตภัณฑ์ EDR ตรวจจับพฤติกรรม (behavior-based) ไม่ใช่พึ่งพาลายเซ็นเพียงอย่างเดียว เพราะกลุ่มนี้ออกแบบมาเพื่อเลี่ยงการตรวจจับแบบอิงลายเซ็นโดยเฉพาะ
Indicators of Compromise (IoCs)
หมายเหตุ: อินดิเคเตอร์ถูก defang (ใส่วงเล็บที่จุด) เพื่อความปลอดภัย — คัดจากภาคผนวก IOCs ของรายงาน Symantec/Carbon Black และ Huntress
| ประเภท | ตัวบ่งชี้ | คำอธิบาย |
|---|---|---|
| SHA-256 | e25892603c42e34bd7ba0d8ea73be600d898cadc290e3417a82c04d6281b743b | fmapp.exe — ไบนารี Fortemedia ที่เซ็นถูกต้อง |
| SHA-256 | c6182fd01b14d84723e3c9d11bc0e16b34de6607ccb8334fc9bb97c1b44f0cde | fmapp.dll — DLL อันตราย ฝัง ChromElevator |
| SHA-256 | 128b58a2a2f1df66c474094aacb7e50189025fbf45d7cd8e0834e93a8fbed667 | sentinelmemoryscanner.exe — ไบนารี SentinelOne ที่เซ็นถูกต้อง |
| SHA-256 | 0c9b911935a3705b0ad569446804d80026feb6db3884aeb240b6c76e9b8cf139 | sentinelagentcore.dll — DLL อันตราย ฝัง ChromElevator |
| SHA-256 | 74ab3838ebed7054b2254bf7d334c80c8b2cfec4a97d1706723f8ea55f11061f | เครื่องมือยกระดับสิทธิ์ (Kerberos TGT/GSS-API delegation abuse) |
| SHA-256 | 3ee7dab4ae4f6d4f16dfabb6f38faef370411a9fc00ff035844e54703b99600a | เครื่องมือดึงข้อมูลรับรองจาก SAM hive |
| SHA-256 | bee79c3302b1a7afc0952842d14eff83a604ef00bfdae525176c16c80b2045f7 | เครื่องมือดึงข้อมูลรับรองจาก SAM hive |
| SHA-256 | d587959841a763669279ad831b8f0379f6a7b037dffc19deab5d41f37f8b5ffc | Credential harvester — บันทึกรหัสไว้ที่ C:\ProgramData\lopa.txt |
| SHA-256 | b21c802775df0c0d82c8cfde299084abc624898b10258db641b820172a0ba29a | เครื่องมือพร็อกซี SOCKS5 |
| IP Address | 179.43.177[.]220 | เซิร์ฟเวอร์พักเพย์โหลด — ดึงไฟล์ผ่าน HTTP พอร์ต 8080 (nm.ps1, a.dat, a.exe) |
| Domain | timetrakr[.]cloud | โดเมนพักเพย์โหลดสำรอง (ดึง sp.ps1) |
| Domain | svc.wompworthy[.]com | โดเมน C2 ของผู้โจมตี |
| Domain | sendit[.]sh | บริการรับส่งไฟล์สาธารณะที่ใช้ส่งข้อมูลออก |
| IP Address | 178.128.233[.]36 | อินฟราสตรักเจอร์ที่เกี่ยวข้อง |
| IP Address | 172.67.156[.]47 | อินฟราสตรักเจอร์ที่เกี่ยวข้อง |
| IP Address | 104.21.48[.]205 | อินฟราสตรักเจอร์ที่เกี่ยวข้อง |
| IP Address | 37.187.78[.]41 | อินฟราสตรักเจอร์ที่เกี่ยวข้อง |
| IP Address | 34.117.59[.]81 | อินฟราสตรักเจอร์ที่เกี่ยวข้อง |
| IP Address | 157.20.182[.]49 | fmapp.dll C2 — แคมเปญ Olalampo (Huntress) |
| File Name | fmapp.exe | คู่ DLL side-loading กับ fmapp.dll (Fortemedia) |
| File Name | fmapp.dll | DLL อันตราย ฝัง ChromElevator |
| File Name | sentinelmemoryscanner.exe | คู่ DLL side-loading กับ sentinelagentcore.dll (SentinelOne) |
| File Name | sentinelagentcore.dll | DLL อันตราย ฝัง ChromElevator |
| File Name | C:\ProgramData\lopa.txt | ไฟล์ที่ credential harvester ใช้บันทึกรหัสผ่าน |
| Registry Key | HKCU...\CurrentVersion\Run | Persistence — ค่า random ชี้ไป fmapp.exe |
