สรุปสั้น

กลุ่มอาชญากรไซเบอร์ที่คาดว่าเชื่อมโยงกับจีนซึ่งถูกติดตามในชื่อ TA4922 และเคยมุ่งเป้าองค์กรในเอเชียตะวันออก กำลังเปลี่ยนมารันแคมเปญโจมตีองค์กรใน UK, เยอรมนี, อิตาลี และแอฟริกาใต้ โดยบริษัท Proofpoint ระบุว่ากลุ่มนี้เพิ่มการโจมตีในช่วงหลายเดือนที่ผ่านมา ใช้กลวิธีฟิชชิงคุ้นเคยควบคู่กับชุดเครื่องมือมัลแวร์ที่ขยายขึ้น ทั้งการขโมย credential การฉ้อโกง มัลแวร์เข้าถึงระยะไกล และการใช้ซอฟต์แวร์ remote management ที่ถูกกฎหมาย

สำหรับองค์กรใน UK กิจกรรมที่เกี่ยวข้องมากที่สุดคืออีเมลที่ออกแบบให้ดูเหมือนการสื่อสารจากหน่วยงานรัฐหรือธุรกิจตามปกติ แคมเปญหนึ่งปลอมเป็นหน่วยงานภาษีและอ้างถึงการยื่น VAT เอกสารภาษีเงินเดือน และการปฏิบัติตามกฎระเบียบ อีกแคมเปญใช้ข้อความธีมสวัสดิการที่ลอกภาษาของบริการสวัสดิการรัฐ ซึ่งเหยื่อล่อเหล่านี้ไม่ใช่สแปมทั่วไป แต่เขียนรอบกระบวนการทางธุรกิจในท้องถิ่นที่พนักงานต้องจัดการอยู่แล้ว

คลังมัลแวร์ของกลุ่มก็เติบโตขึ้น โดย Proofpoint รายงานการใช้ ValleyRAT (หรือ Winos4.0), Atlas RAT, RomulusLoader และ SilentRunLoader ซึ่งเป็น stealer/loader บน Python ตัวใหม่ที่คาดว่าพัฒนาด้วยความช่วยเหลือของ LLM โดยมุ่งเป้าข้อมูลที่จัดเก็บใน Google Chrome ทั้ง credential, cookie และข้อมูลการท่องเว็บ ก่อนส่งไปยังโครงสร้างของผู้โจมตี

รายละเอียดข่าว

เว็บไซต์ HackRead รายงานเมื่อวันที่ 3 มิถุนายน 2569 ว่าบริษัท Proofpoint เปิดเผยกลุ่ม TA4922 ที่คาดว่าเชื่อมโยงกับจีน กำลังขยายการโจมตีจากเดิมที่เน้นเอเชียตะวันออก มาสู่องค์กรใน UK, เยอรมนี, อิตาลี และแอฟริกาใต้ ด้วยแคมเปญฟิชชิงที่มีธีมภาษี เงินเดือน และสวัสดิการ

บริษัท Proofpoint ระบุว่า TA4922 เคยมุ่งเป้าญี่ปุ่นและส่วนอื่นของเอเชีย รวมถึงไต้หวัน เกาหลี สิงคโปร์ และอินเดีย แต่กิจกรรมใหม่บ่งชี้ว่ากลุ่มกำลังทดสอบกลุ่มเหยื่อที่กว้างขึ้น โดยเหยื่อล่อถูกเขียนรอบกระบวนการทางธุรกิจในท้องถิ่นที่พนักงานคุ้นเคย เช่น เอกสารภาษี ประกาศ HR ไฟล์เงินเดือน ใบแจ้งหนี้ และคำขอด้านการปฏิบัติตามกฎ ทำให้มีโอกาสสูงที่ผู้รับจะเปิดไฟล์หรือคลิกลิงก์

ชุดมัลแวร์ของกลุ่มประกอบด้วย ValleyRAT (Winos4.0), Atlas RAT, RomulusLoader และ SilentRunLoader โดยตัวหลังเป็น stealer/loader บน Python ที่โดดเด่นเพราะมุ่งเป้าข้อมูลใน Google Chrome ทั้ง credential, cookie และข้อมูลการท่องเว็บ ในแคมเปญธีมภาษีของ UK มัลแวร์ถูกโฮสต์ผ่าน MediaFire และส่งผ่านลิงก์ที่ฝังในอีเมล นอกจากนี้กลุ่มยังใช้เทคนิค DLL sideloading และเครื่องมือ remote management ที่ถูกกฎหมายอย่าง AnyDesk และ SyncFuture เพื่อรักษาการเข้าถึง

Proofpoint ประเมินด้วยความมั่นใจสูงว่ามัลแวร์ Python รุ่นใหม่ของ TA4922 บางตัวน่าจะพัฒนาด้วยความช่วยเหลือของ LLM โดยชี้ถึงความคิดเห็นในโค้ด สตริง และค่า placeholder ที่ไม่ถูกแก้ ซึ่งเป็นสัญญาณว่าผู้โจมตีอาจใช้เครื่องมือ AI ช่วยผลิตมัลแวร์ให้เร็วขึ้น โดยกลุ่มนี้ดูเหมือนมีแรงจูงใจด้านการเงิน มุ่งการเข้าถึงระยะไกล ขโมยข้อมูล ฉ้อโกง และขายต่อการเข้าถึง

วิธีการโจมตี

จุดเริ่มต้นของการโจมตีคืออีเมลฟิชชิงที่ออกแบบให้ดูเหมือนการติดต่อจากหน่วยงานรัฐหรือธุรกิจตามปกติ โดยใช้ธีมที่พนักงานต้องจัดการในชีวิตประจำวัน เช่น การยื่นภาษี VAT เอกสารภาษีเงินเดือน ประกาศสวัสดิการ และคำขอด้านการปฏิบัติตามกฎ ทำให้เหยื่อมีแนวโน้มเปิดไฟล์หรือคลิกลิงก์มากกว่าสแปมทั่วไป

เมื่อเหยื่อหลงกล มัลแวร์จะถูกส่งผ่านลิงก์ที่ฝังในอีเมล (เช่นโฮสต์บน MediaFire) และกลุ่มยังใช้ DLL sideloading ซึ่งเป็นเทคนิคที่ให้ไฟล์ที่ถูกกฎหมายโหลดไฟล์อันตราย ทำให้ดูเหมือนเป็นส่วนหนึ่งของชุดเอกสารหรือแอปธุรกิจปกติ และเริ่มรันมัลแวร์โดยยากต่อการสังเกตระหว่างการสแกน

SilentRunLoader ในฐานะ stealer/loader บน Python จะรวบรวม credential, cookie และข้อมูลการท่องเว็บจาก Google Chrome แล้วส่งไปยังโครงสร้างของผู้โจมตี นอกจากนี้กลุ่มยังใช้เครื่องมือ remote management ที่ถูกกฎหมายอย่าง AnyDesk และ SyncFuture หลังเข้าถึงระบบได้ เพื่อควบคุมเครื่องโดยทำให้กิจกรรมดูไม่น่าสงสัย

ผลกระทบต่อไทย

แม้แคมเปญล่าสุดมุ่งเป้า UK และยุโรป แต่ TA4922 มีประวัติโจมตีในเอเชียรวมถึงสิงคโปร์และประเทศใกล้เคียงไทย ทำให้องค์กรไทยอยู่ในขอบเขตความเสี่ยงที่กลุ่มอาจขยายเป้าหมายมาถึง โดยเฉพาะกลวิธีฟิชชิงธีมภาษีและเงินเดือนที่ปรับให้เข้ากับบริบทท้องถิ่นได้

การที่กลุ่มใช้เหยื่อล่อธีมเอกสารราชการ ภาษี และ HR เป็นภัยโดยตรงต่อฝ่ายบัญชี การเงิน และทรัพยากรบุคคลของบริษัทไทย ซึ่งคุ้นเคยกับเอกสารลักษณะนี้และอาจเปิดไฟล์โดยไม่ระวัง ยิ่งหากผู้โจมตีปรับข้อความเป็นภาษาไทยด้วย AI ก็จะยิ่งแนบเนียน

การใช้เครื่องมือ remote ที่ถูกกฎหมายอย่าง AnyDesk และการขโมยข้อมูลจาก Chrome ยังเป็นภัยต่อองค์กรไทยจำนวนมากที่ใช้เครื่องมือเหล่านี้ในการทำงานประจำ ทำให้การแยกแยะการใช้งานปกติกับการถูกโจมตีทำได้ยาก

คำแนะนำ

  1. อบรมพนักงานเรื่องฟิชชิงธีมราชการ/ภาษี — เน้นว่าเอกสารภาษี เงินเดือน และสวัสดิการเป็นเหยื่อล่อยอดนิยม ให้ตรวจสอบผู้ส่งก่อนเปิดไฟล์เสมอ
  2. ควบคุมการใช้เครื่องมือ remote — จำกัดและเฝ้าระวังการติดตั้ง AnyDesk, SyncFuture ที่ไม่ได้รับอนุญาต
  3. เฝ้าระวัง DLL sideloading — ใช้ EDR ที่ตรวจจับการโหลด DLL อันตรายผ่านไฟล์ที่ถูกกฎหมาย
  4. ป้องกันการขโมยข้อมูลเบราว์เซอร์ — จำกัดการเก็บรหัสผ่านใน Chrome และใช้ password manager ที่เข้ารหัสแยก
  5. บล็อกลิงก์ดาวน์โหลดจากบริการแชร์ไฟล์ — ระวังลิงก์ MediaFire หรือบริการแชร์ไฟล์ในอีเมลที่อ้างเป็นเอกสารราชการ
  6. เฝ้าระวังมัลแวร์ที่สร้างด้วย AI — เพราะกลุ่มนี้ผลิตมัลแวร์ได้เร็วขึ้น ควรอัปเดต threat intelligence อย่างสม่ำเสมอ

แหล่งอ้างอิง