สรุปสั้น
กลุ่มแฮ็กเกอร์รัสเซียที่รู้จักในชื่อ Gamaredon ถูกระบุว่ายังคงใช้ช่องโหว่ของ WinRAR เพื่อปล่อยมัลแวร์หลายตระกูลที่มุ่งขโมยข้อมูลและแพร่กระจายตัวเอง โดยบริษัทความมั่นคงไซเบอร์ Sekoia จากฝรั่งเศสพบกิจกรรมนี้ในเดือนมกราคม 2569 ซึ่งใช้ช่องโหว่ CVE-2025-8088 แบบ path traversal ใน WinRAR เพื่อรัน payload HTML Application ชื่อ GammaPhish
GammaPhish จะดึง VBScript downloader ชื่อ GammaLoad ลงมา จากนั้นทำหน้าที่ fingerprint ระบบของเหยื่อ อัปเดตค่าเครือข่ายใน registry ด้วยเทคนิค dead drop resolver และดาวน์โหลด VBScript payload จากเซิร์ฟเวอร์ C2 มารัน หนึ่งในนั้นคือเวิร์ม GammaWorm ที่ฝังตัวผ่าน scheduled task และซ่อนโฟลเดอร์จริงในแชร์เครือข่ายและไดรฟ์ USB แล้วแทนที่ด้วยไฟล์ LNK อันตราย
จุดที่น่าสนใจคือ GammaWorm จะ resolve เซิร์ฟเวอร์ C2 ด้วยการส่งคำขอ GET ผ่าน curl ไปยังช่อง Telegram สาธารณะที่กำหนดไว้ตายตัว เพื่อใช้แพลตฟอร์มที่ถูกกฎหมายกลบเกลื่อนทราฟฟิก หลบการตรวจจับ และคงปฏิบัติการจารกรรมระยะยาว ขณะที่อีกตระกูลคือ GammaSteel ซึ่งเป็น infostealer แบบโมดูลาร์ที่ขโมยไฟล์ตามนามสกุลที่กำหนดแล้วส่งออกไปยัง AWS S3 bucket
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 2 มิถุนายน 2569 ว่าบริษัท Sekoia ระบุกลุ่ม Gamaredon ยังคงใช้ช่องโหว่ CVE-2025-8088 ใน WinRAR เป็นอาวุธในการโจมตี โดยช่องโหว่นี้เป็นแบบ path traversal ที่เปิดให้รัน payload HTML Application ชื่อ GammaPhish ซึ่งเป็นจุดเริ่มต้นของห่วงโซ่การติดเชื้อมัลแวร์
บริษัท Sekoia ระบุว่าวัตถุประสงค์หลักของผู้โจมตีคือการ fingerprint ระบบ อัปเดตค่าเครือข่ายใน registry ด้วย dead drop resolver และดาวน์โหลด VBScript payload จาก C2 มารัน โดยหนึ่งใน payload คือเวิร์ม GammaWorm ที่สร้าง persistence ผ่าน scheduled task และออกแบบมาเพื่อซ่อนโฟลเดอร์ที่ถูกต้องในแชร์เครือข่ายและ USB แล้วแทนที่ด้วยไฟล์ LNK อันตราย ทำให้เกิดการรันโค้ดที่ดึงมาจาก C2
GammaWorm ยังใช้เทคนิค NTFS Alternate Data Streams (ADS) เพื่อซ่อนโมดูลหลักของตัวเอง และ resolve C2 ผ่านช่อง Telegram สาธารณะที่ฝังไว้ตายตัว ส่วนมัลแวร์อีกตระกูลที่ส่งผ่าน GammaLoad คือ GammaSteel ซึ่งเป็น infostealer แบบโมดูลาร์ที่จับไฟล์ตามนามสกุลที่กำหนดแล้วส่งออกไปยัง AWS S3 bucket หรือเซิร์ฟเวอร์ของผู้โจมตีเป็นช่องสำรอง
บริษัท Sekoia ระบุว่าลำดับการติดมัลแวร์นี้ยังสามารถใช้แจกจ่ายมัลแวร์ตระกูลอื่นได้ เช่น GammaWipe (หรือ GamaWiper) ขึ้นอยู่กับวัตถุประสงค์ของผู้โจมตี ทั้งนี้ Gamaredon เป็นกลุ่มที่รัฐรัสเซียหนุนหลังและเชื่อมโยงอย่างเป็นทางการกับหน่วยงาน FSB มีประวัติยาวนานในการโจมตียูเครน โดยเฉพาะหน่วยงานรัฐ ทหาร และโครงสร้างพื้นฐานสำคัญ ผ่านอีเมล spear-phishing ที่แนบไฟล์ RAR อันตราย
วิธีการโจมตี
ห่วงโซ่การโจมตีเริ่มจากไฟล์ RAR ที่ถูกดัดแปลงพิเศษ ซึ่งเมื่อแตกไฟล์ด้วย WinRAR ที่มีช่องโหว่ CVE-2025-8088 จะอาศัย path traversal วางไฟล์ลงในตำแหน่งที่ผู้โจมตีต้องการ นำไปสู่การรัน GammaPhish ซึ่งเป็น HTML Application โดย Sekoia ประเมินด้วยความมั่นใจสูงว่า GammaPhish ถูกออกแบบมาเพื่อปล่อย GammaLoad ก่อนเป็นลำดับแรก
GammaLoad ในฐานะ VBScript downloader จะทำหน้าที่ fingerprint โฮสต์ อัปเดตการตั้งค่าเครือข่ายใน registry ด้วย dead drop resolver แล้วดึง VBScript payload เพิ่มเติมจาก C2 มารัน ความสามารถในการปรับเปลี่ยน configuration ได้ทันทีทำให้สถาปัตยกรรมนี้ยืดหยุ่นและยากต่อการวิเคราะห์
สำหรับ GammaWorm จุดเด่นคือการใช้แพลตฟอร์มที่ถูกกฎหมายอย่าง Telegram เป็น dead drop resolver โดยส่งคำขอ GET ผ่าน curl ไปยังช่องสาธารณะเพื่อรับที่อยู่ C2 และใช้ NTFS ADS ซ่อนโมดูล รวมถึงแพร่กระจายผ่านการแทนที่โฟลเดอร์ด้วยไฟล์ LNK ในไดรฟ์ USB และแชร์เครือข่าย Sekoia ยังตั้งข้อสังเกตว่า GammaWorm อาจถูกปล่อยพร้อม GammaLoad หรือมาจากการที่ผู้ใช้เสียบ USB ที่ติดอาวุธ
ผลกระทบต่อไทย
แม้แคมเปญนี้มุ่งเป้ายูเครนโดยตรง แต่เทคนิคที่ Gamaredon ใช้เป็นบทเรียนสำคัญสำหรับองค์กรไทย โดยเฉพาะการใช้ช่องโหว่ WinRAR (CVE-2025-8088) ซึ่ง WinRAR เป็นโปรแกรมที่ใช้แพร่หลายมากในไทยทั้งในองค์กรและผู้ใช้ทั่วไป ทำให้พื้นผิวการโจมตีมีสูง
การที่มัลแวร์ใช้ Telegram และ AWS S3 ซึ่งเป็นบริการที่ถูกกฎหมายในการสื่อสาร C2 และส่งข้อมูลออก ทำให้ระบบป้องกันขององค์กรไทยที่ไว้ใจบริการเหล่านี้ตรวจจับได้ยาก และการแพร่ผ่าน USB ยังเป็นภัยต่อองค์กรไทยที่ยังใช้แฟลชไดรฟ์แลกเปลี่ยนไฟล์กันมาก
แม้กลุ่มนี้จะเป็น APT ที่มุ่งเป้ายูเครน แต่เครื่องมือและเทคนิคลักษณะนี้มักถูกกลุ่มอื่นนำไปดัดแปลงใช้ ทำให้องค์กรไทยควรเฝ้าระวังเทคนิคการใช้ไฟล์บีบอัดอันตรายและการแพร่ผ่าน LNK เช่นกัน
คำแนะนำ
- อัปเดต WinRAR ทันที — อัปเดตเป็นเวอร์ชันที่แก้ช่องโหว่ CVE-2025-8088 แล้ว เพราะเป็นจุดเริ่มต้นของห่วงโซ่การโจมตี
- ระวังไฟล์ RAR แนบอีเมล — อย่าเปิดไฟล์บีบอัดจากผู้ส่งที่ไม่รู้จัก โดยเฉพาะที่มาพร้อมอีเมล spear-phishing
- เฝ้าระวังไฟล์ LNK ผิดปกติ — ตรวจหาโฟลเดอร์ที่กลายเป็นไฟล์ shortcut (.lnk) ในไดรฟ์ USB และแชร์เครือข่าย ซึ่งเป็นสัญญาณของ GammaWorm
- ควบคุมการใช้ USB — จำกัดการเสียบแฟลชไดรฟ์ที่ไม่รู้จัก และสแกนก่อนใช้งานทุกครั้ง
- เฝ้าระวังทราฟฟิกไป Telegram/AWS S3 ที่ผิดปกติ — แม้เป็นบริการถูกกฎหมาย ควรตรวจรูปแบบการเชื่อมต่อจากเครื่องที่ไม่ควรใช้บริการเหล่านี้
- ตรวจ scheduled task และ NTFS ADS — มองหา task ที่สร้างโดยมัลแวร์และข้อมูลที่ซ่อนใน Alternate Data Streams
