สรุปสั้น

กลุ่มแฮ็กเกอร์ที่เชื่อมโยงกับจีนได้เปิดตัวแคมเปญจารกรรมไซเบอร์ใหม่ชื่อ Operation Dragon Weave มุ่งเป้าหน่วยงานในสาธารณรัฐเช็กและไต้หวัน ครอบคลุมภาครัฐ วิชาการ เทคโนโลยี และการเงิน

ผู้โจมตีใช้อีเมลฟิชชิงแบบ spear-phishing แนบไฟล์ ZIP เพื่อเริ่มต้นห่วงโซ่การติดเชื้อมัลแวร์ที่ซับซ้อน โดยใช้ Rust loader ในการติดตั้ง payload สุดท้าย

payload หลักชื่อ AZUREVEIL ซ่อนช่องทาง command-and-control (C2) ไว้ใน Microsoft Azure Blob Storage ทำให้แทบแยกไม่ออกจาก traffic ปกติขององค์กรที่ใช้บริการ Azure

AZUREVEIL รองรับคำสั่งมากถึง 36 คำสั่ง ครอบคลุมการจัดการไฟล์ รันคำสั่ง shell การตั้ง SOCKS proxy และการรัน Beacon Object Files (BOFs) ในหน่วยความจำ

ควบคู่กัน ESET รายงานว่ากลุ่ม China-aligned ยังคง active สูงทั่วโลก พร้อมพบกลุ่มใหม่ เช่น SteppeDriver, NegativeGlimmer และ toolkit ใหม่อย่าง PhiliKit ที่เชื่อมโยงกับ UNC5221

ยังไม่มีการระบุชื่อกลุ่มผู้โจมตีอย่างเป็นทางการ แต่ประเมินว่าเป็น China-aligned threat actor จากรูปแบบและเครื่องมือที่ใช้

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 1 มิถุนายน พ.ศ. 2569 ว่า นักวิจัยจาก Seqrite Labs ได้เปิดเผยแคมเปญจารกรรมไซเบอร์ใหม่ที่ตั้งชื่อรหัสว่า Operation Dragon Weave โดยมีเป้าหมายเป็นเจ้าหน้าที่และประชาชนในสาธารณรัฐเช็กและไต้หวัน

แคมเปญนี้ใช้วิธีส่งอีเมล spear-phishing พร้อมแนบไฟล์ ZIP ซึ่งเมื่อแตกออกจะพบไฟล์หลายไฟล์ที่ดูเหมือนถูกกฎหมาย แต่แท้จริงแล้วเป็นส่วนหนึ่งของห่วงโซ่การติดเชื้อมัลแวร์ที่ออกแบบมาอย่างรอบคอบ

มีสองเส้นทางการโจมตี เส้นทางแรกเริ่มจากการที่เหยื่อเปิดไฟล์ LNK (Windows Shortcut) ที่แปลงร่างเป็น PDF ซึ่งจะทริกเกอร์ PowerShell script เพื่อดึงไฟล์ปฏิบัติการ RuntimeBroker_update.exe จากไฟล์ DAT กลาง เส้นทางที่สองคือเหยื่อเปิด binary ตรงจาก archive ซึ่งทำหน้าที่เป็น Rust-based dropper

ไม่ว่าจะเลือกเส้นทางไหน ท้ายที่สุดจะโหลด DLL อันตรายชื่อ UnityPlayer.dll ผ่านเทคนิค DLL side-loading ส่งผลให้ได้ Rust-based loader ชื่อ RUSTCLOAK ซึ่งจะถอดรหัสและรัน payload หลักอย่าง AdaptixC2 agent ที่รู้จักกันในชื่อ AZUREVEIL

AZUREVEIL ใช้ Microsoft Azure Blob Storage เป็นช่องทาง C2 โดยใช้รูปแบบ dead drop กล่าวคือ ผู้โจมตีและเครื่องที่ติดมัลแวร์ไม่ได้สื่อสารกันโดยตรง แต่ต่างใช้ Azure storage container เดียวกันในการแลกเปลี่ยนข้อมูล ทำให้การตรวจจับผ่าน network monitoring ทำได้ยากมาก

วิธีการโจมตี

ห่วงโซ่การติดเชื้อมัลแวร์ (Infection Chain):

  1. Initial Access — ส่ง spear-phishing email แนบ ZIP archive
  2. Execution — เหยื่อเปิดไฟล์ LNK (ปลอมเป็น PDF) หรือ binary ใน archive
  3. Dropper — PowerShell script หรือ Rust-based dropper ดึง RuntimeBroker_update.exe
  4. DLL Side-loading — โหลด UnityPlayer.dll อันตรายผ่านไฟล์ปฏิบัติการดังกล่าว
  5. Loader — RUSTCLOAK ถอดรหัสและรัน AZUREVEIL พร้อมตรวจสอบว่าไม่ได้อยู่ใน sandbox
  6. C2 — AZUREVEIL ติดต่อ Azure Blob Storage แบบ dead drop เพื่อรับคำสั่งจากผู้โจมตี

ความสามารถของ AZUREVEIL (36 คำสั่ง):

  • จัดการไฟล์ (อ่าน เขียน ลบ อัปโหลด ดาวน์โหลด)
  • รันคำสั่ง shell และ enumerate/terminate process
  • Port forwarding และ SOCKS proxy
  • จัดการเซิร์ฟเวอร์ C2
  • รัน Beacon Object Files (BOFs) ใน memory โดยไม่เขียนไฟล์ลงดิสก์

จุดอันตราย: มัลแวร์ซ่อนตัวใน Azure Blob Storage ซึ่งเป็นบริการที่องค์กรหลายพันแห่งทั่วโลกใช้งานอยู่ ทำให้ traffic ดูเหมือนปกติและหลุดรอดระบบ network-based detection ได้ง่าย

กลุ่มที่เกี่ยวข้องอื่น ๆ ที่พบในช่วงเดียวกัน:

  • TencShell — Go-based implant ใหม่ที่ได้แรงบันดาลใจจาก rshell framework โจมตีโรงงานผลิตในอินเดีย
  • SteppeDriver — กลุ่มใหม่ที่พบปี 2567 โจมตีฝรั่งเศส มองโกเลีย และอเมริกาใต้ ใช้ ShadowPad และ COOLCLIENT
  • NegativeGlimmer — เชื่อมโยงกับ TGR-STA-1030 ที่เจาะองค์กรรัฐและโครงสร้างพื้นฐานสำคัญกว่า 70 แห่งใน 37 ประเทศ
  • PhiliKit — toolkit ใหม่ที่เชื่อมโยงกับ UNC5221 ทำหน้าที่เป็น passive backdoor รองรับ shell, Python และ Perl scripts

ผลกระทบต่อไทย

แม้ Operation Dragon Weave จะมุ่งเป้าโดยตรงที่เช็กและไต้หวัน แต่มีความเสี่ยงที่เกี่ยวข้องกับไทยในหลายมิติ

ความเสี่ยงจากโครงสร้างพื้นฐานร่วม: หน่วยงานไทยที่ใช้บริการ Microsoft Azure อยู่แล้วอาจมีความเสี่ยงจากเทคนิค dead drop C2 เนื่องจาก traffic ไปยัง Azure Blob Storage จะไม่ถูก flag โดยระบบ firewall หรือ proxy ส่วนใหญ่

ภัยคุกคามจาก China-aligned APT ในภูมิภาค: กลุ่ม NegativeGlimmer ที่เชื่อมโยงกับ TGR-STA-1030 ซึ่งรายงานว่าโจมตีองค์กรใน 37 ประเทศนั้น อาจรวมถึงประเทศในอาเซียนด้วย ประกอบกับการโจมตีเกาหลีใต้ในเดือน ม.ค. 2569 ที่มุ่งเป้าเทคโนโลยีในนโยบาย Made in China 2025 แสดงว่ากลุ่มเหล่านี้ขยายขอบเขตการโจมตีอยู่ต่อเนื่อง

เทคนิค DLL side-loading และ LNK phishing: เป็นเทคนิคที่พบบ่อยในการโจมตีภาครัฐและมหาวิทยาลัยในไทยช่วงที่ผ่านมา ผู้ดูแลระบบควรตรวจสอบ endpoint protection ที่รองรับการตรวจจับพฤติกรรมเหล่านี้

ความเสี่ยงสำหรับภาคการผลิตและการเงิน: TencShell มุ่งเป้าอุตสาหกรรมการผลิต ซึ่งเป็นภาคส่วนสำคัญของไทย ควรเพิ่มความระมัดระวังเป็นพิเศษ

คำแนะนำ

สำหรับผู้ดูแลระบบและทีม SOC:

  1. ตรวจสอบ DLL side-loading — monitor การโหลด DLL ที่ผิดปกติ โดยเฉพาะ UnityPlayer.dll หรือไฟล์ที่ถูกโหลดจาก path ที่ไม่คาดคิด
  2. Block LNK files จากอีเมล — กำหนดนโยบายใน email gateway ให้ block หรือ quarantine ไฟล์ .lnk ใน attachment และ ZIP archive
  3. Monitor Azure Blob Storage traffic — หากองค์กรไม่ได้ใช้ Azure Blob Storage ให้พิจารณา block หรือ whitelist domain *.blob.core.windows.net ถ้าใช้งานอยู่ให้ตรวจสอบ pattern การ access ที่ผิดปกติ
  4. เปิดใช้ PowerShell logging — เปิด Script Block Logging และ Module Logging เพื่อตรวจจับ PowerShell ที่ถูกใช้ในห่วงโซ่การโจมตี
  5. อัปเดต EDR rules — เพิ่ม detection rule สำหรับ RUSTCLOAK และ AZUREVEIL ตาม IoC ที่ Seqrite Labs เผยแพร่
  6. ฝึกอบรมพนักงาน — เน้นการระวัง spear-phishing ที่มีการแนบ ZIP ที่ภายในมีไฟล์ LNK ปลอมเป็นเอกสาร

แหล่งอ้างอิง