สรุปสั้น
นักวิจัยจาก Palo Alto Networks Unit 42 เปิดเผยแคมเปญจารกรรมไซเบอร์ของกลุ่ม Screening Serpens หรือที่รู้จักในชื่อ UNC1549, Smoke Sandstorm และ Iranian Dream Job ซึ่งเป็น APT group ที่เชื่อมโยงกับอิหร่าน
กลุ่มนี้พัฒนาเทคนิคใหม่ที่เรียกว่า AppDomainManager Hijacking เพื่อหลบเลี่ยง Endpoint Detection and Response (EDR) โดยรันโค้ดอันตรายในช่วง initialization ของแอปพลิเคชัน .NET ก่อนที่ security stack จะมีโอกาสตรวจจับ
Unit 42 ระบุว่าพบ RAT variants ใหม่ถึง 6 ตัวที่พัฒนาและ deploy ระหว่างกุมภาพันธ์ถึงเมษายน พ.ศ. 2569 แบ่งเป็นสองตระกูลมัลแวร์ที่แตกต่างกัน
เหยื่อหลักคือองค์กรในภาคอวกาศ การป้องกันประเทศ และโทรคมนาคมในสหรัฐอเมริกา อิสราเอล และสหรัฐอาหรับเอมิเรตส์ โดยมีความเป็นไปได้ว่าโจมตีอีก 2 ประเทศในตะวันออกกลาง
ผู้โจมตีใช้ fake job listing และคำเชิญประชุมปลอมที่ปลอมแปลงเป็นแบรนด์และแพลตฟอร์มสรรหาพนักงานที่น่าเชื่อถือ เพื่อล่อเหยื่อดาวน์โหลดไฟล์อันตราย
แคมเปญนี้มีความสัมพันธ์อย่างใกล้ชิดกับความขัดแย้งในภูมิภาคตะวันออกกลางที่เริ่มต้นเมื่อวันที่ 28 กุมภาพันธ์ พ.ศ. 2569
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 1 มิถุนายน พ.ศ. 2569 โดยอ้างรายงานจาก Unit 42 ว่า กลุ่ม Screening Serpens ได้ยกระดับความสามารถด้านจารกรรมไซเบอร์อย่างมีนัยสำคัญ ด้วยการนำเทคนิค AppDomainManager Hijacking มาใช้เพื่อหลบเลี่ยงระบบป้องกัน endpoint และโจมตีองค์กรในสหรัฐอเมริกา อิสราเอล และสหรัฐอาหรับเอมิเรตส์
Screening Serpens ซึ่ง active มาตั้งแต่ปี 2565 เป็นอย่างน้อย เดิมมุ่งเป้าหมายในตะวันออกกลางเป็นหลัก ก่อนขยายการโจมตีมายังยุโรปตะวันตกในช่วงปลายปี 2568 และเร่งกิจกรรมอย่างมากหลังจากความขัดแย้งในภูมิภาคปะทุขึ้นเมื่อ 28 กุมภาพันธ์ 2569
Unit 42 ระบุว่าคลื่นการโจมตีแบ่งออกเป็นสองช่วง ช่วงแรกในปลายเดือนมีนาคมโจมตีเป้าหมายในสหรัฐฯ และอิสราเอล ตามด้วยช่วงที่สองกลางเดือนเมษายนที่มุ่งสหรัฐอาหรับเอมิเรตส์และประเทศในตะวันออกกลางอีกแห่ง ทั้งสองครั้งใช้ห่วงโซ่การติดเชื้อมัลแวร์ที่เริ่มจาก spear-phishing พร้อม DLL sideloading และ C2 domains ที่โฮสต์บน Microsoft Azure
ที่น่าสังเกตคือกลุ่มนี้ใช้ C2 domains ที่ไม่ซ้ำกัน 3–5 โดเมนต่อเป้าหมายและต่อ variant เพื่อลดการ cross-contamination และเพิ่มความยืดหยุ่นในการปฏิบัติการ หลักฐานบน VirusTotal และ telemetry ยังพบ timing instructions ที่ฝังไว้ใน compile time ของบาง samples

วิธีการโจมตี
Social Engineering — Fake Job Lures:
- ส่ง spear-phishing email พร้อมเอกสารสมัครงานปลอมที่ปลอมแปลงเป็นบริษัทการบินระดับโลก
- แนบ installer ของ recruitment portal หรือ video conferencing app ปลอม
- ใช้ job ID เฉพาะเจาะจงเพื่อเพิ่มความน่าเชื่อถือ
AppDomainManager Hijacking — เทคนิคหลบ EDR:
- แก้ไข configuration file ที่ถูกกฎหมายของแอปพลิเคชัน .NET
- แทนที่ AppDomainManager ด้วยคลาสที่ผู้โจมตีควบคุม
- โค้ดอันตรายรันในช่วง initialization ก่อนที่ host application จะโหลดเสร็จ — ก่อนที่ EDR มีโอกาสตรวจสอบ
- รัน malicious DLL ในบริบทของ trusted process
หลังการ Hijack:
- DropFile และเปลี่ยนชื่อไฟล์ใน AppData path ของผู้ใช้
- สร้าง scheduled task เพื่อ persistence
- แสดงหน้าต่าง installer ปลอมให้เหยื่อขณะที่ second-stage malware ทำงานในเบื้องหลัง
RAT Variants ใหม่ 6 ตัว: Unit 42 พบ RAT 6 variants ใน 2 ตระกูล รวมถึง MiniUpdate RAT ที่ใช้ Azure เป็น C2 คล้ายกับ AZUREVEIL ใน Operation Dragon Weave ซึ่งรายงานในวันเดียวกัน บ่งชี้แนวโน้มที่ APT groups หันมาใช้ cloud infrastructure ของบริษัทใหญ่เป็น C2
ผลกระทบต่อไทย
แม้เป้าหมายหลักจะอยู่ในตะวันออกกลางและสหรัฐฯ แต่ Screening Serpens มีประวัติขยายการโจมตีอย่างต่อเนื่อง โดยขยายมายุโรปตะวันตกในปี 2568 แล้ว
อุตสาหกรรมการบินและอวกาศ โทรคมนาคม และการป้องกันประเทศของไทยอาจตกเป็นเป้าหมายในอนาคต โดยเฉพาะองค์กรที่มีความสัมพันธ์กับพันธมิตรในตะวันออกกลางหรือสหรัฐฯ
เทคนิค fake job listing เป็นเวกเตอร์โจมตีที่มีประสิทธิภาพสูงในไทย เนื่องจากผู้เชี่ยวชาญด้านเทคโนโลยีและวิศวกรมักใช้ LinkedIn และช่องทางสรรหาออนไลน์อย่างแพร่หลาย
AppDomainManager Hijacking เป็นเทคนิคที่ท้าทาย EDR ทั่วไปอย่างมาก องค์กรที่ใช้แอปพลิเคชัน .NET ควรตรวจสอบว่า EDR solution รองรับการตรวจจับพฤติกรรมนี้หรือไม่
คำแนะนำ
- ปรับ EDR rules สำหรับ AppDomainManager Hijacking — Unit 42 แนะนำให้ tune EDR ให้ตรวจจับ DLL sideloading และ AppDomainManager hijacking เป็นพฤติกรรมความเสี่ยงสูง ไม่ใช่แค่ signature-based
- ระวัง job-related phishing — ฝึกอบรมพนักงานโดยเฉพาะในภาคเทคโนโลยีให้ระวังไฟล์แนบจากอีเมลสรรหางาน แม้จะดูน่าเชื่อถือมาก
- Monitor scheduled tasks — ตรวจหา scheduled tasks ใหม่ที่ถูกสร้างโดยผู้ใช้ทั่วไป โดยเฉพาะที่ชี้ไปยังไฟล์ใน AppData
- จำกัดสิทธิ์การรัน .NET applications — พิจารณาใช้ AppLocker หรือ WDAC เพื่อควบคุมว่า .NET applications ตัวใดสามารถโหลด assemblies จาก directory ใดได้
- Block Azure C2 patterns — monitor traffic ผิดปกติไปยัง Azure subdomains ที่ไม่คุ้นเคย โดยเฉพาะจากแอปพลิเคชัน enterprise
- ตรวจสอบ .NET config files — monitor การแก้ไข .config files ของแอปพลิเคชัน โดยเฉพาะ
<appDomainManagerAssembly>และ<appDomainManagerType>elements
