สรุปสั้น
ภัยคุกคามใหม่ที่ซ่อนตัวกำลังแพร่กระจายในองค์กรสหรัฐฯ อย่างเงียบ ๆ และเครื่องมือความปลอดภัยแบบดั้งเดิมส่วนใหญ่ตรวจจับไม่ได้ โดยนักวิจัยพบมัลแวร์ที่ไม่เคยรู้จักมาก่อนซึ่งปลอมตัวเป็นเอกสารธุรกิจประจำวัน เช่น ใบสั่งซื้อ ใบเสนอราคา หรือคำขอเสนอราคา เมื่อพนักงานที่ไม่ทันระวังเปิดไฟล์แนบ ผู้โจมตีก็ได้เข้าถึงเครือข่ายทั้งบริษัทแบบถาวรอย่างเงียบ ๆ
มัลแวร์ชื่อ JS.MonoGlyphRAT ถูกส่งเป็นไฟล์ JavaScript ที่ดูธรรมดาแนบมากับอีเมลฟิชชิง กำลังมุ่งเป้าองค์กรทั่วสหรัฐฯ โดยมีเหยื่อยืนยันแล้วในภาคเทคโนโลยี ผู้ให้บริการความปลอดภัยแบบ managed (MSSP) โทรคมนาคม และการศึกษา รวมถึงพบกรณีในเยอรมนี สวีเดน ออสเตรเลีย และอีกหลายประเทศ ทำให้เป็นภัยที่ขยายวงเกินพรมแดนสหรัฐฯ
นักวิเคราะห์จากบริษัท ANY.RUN ระบุชุดมัลแวร์นี้และเผยแพร่รายงานละเอียด โดยตั้งชื่อตามวิธี obfuscation เอกลักษณ์ ที่สร้างชื่อตัวแปรและฟังก์ชันจากอักขระซ้ำสลับพิมพ์เล็กใหญ่ เช่น IiIiIiIiiIII หรือ KkkKKKkKkK ทำให้โค้ดอ่านและวิเคราะห์ยากมากด้วยเครื่องมือมาตรฐาน ที่อันตรายเป็นพิเศษคือ JS.MonoGlyphRAT ปัจจุบันขึ้นเป็น “Unknown malware” บนแพลตฟอร์ม threat intelligence อย่าง VirusTotal และ ThreatFox ทำให้แอนติไวรัสที่พึ่ง signature ตรวจไม่เจอ
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 3 มิถุนายน 2569 ว่าบริษัท ANY.RUN เปิดเผยมัลแวร์ใหม่ JS.MonoGlyphRAT ที่ปลอมเป็นเอกสารธุรกิจและส่งเป็นไฟล์ JavaScript แนบอีเมลฟิชชิง ซึ่งหลบการตรวจจับของเครื่องมือความปลอดภัยทั่วไปได้
การโจมตีเริ่มจากอีเมลฉบับเดียว พนักงานในฝ่ายจัดซื้อ ฝ่ายขาย หรือฝ่ายการเงินได้รับข้อความที่มีไฟล์ JavaScript ชื่อทำนอง PURCHASE ORDER_12258.js หรือ QUOTE_B2026.js ซึ่งชื่อไฟล์เหล่านี้ถูกออกแบบให้ดูเหมือนเอกสารธุรกิจประจำที่คนในบทบาทซื้อขายจะเปิดโดยไม่คิดมาก เมื่อไฟล์รันผ่าน Windows Script Host (WSH) มันจะคัดลอกตัวเองไปยังโฟลเดอร์ย่อยใน user profile และลงทะเบียนใน Windows registry อย่างเงียบ ๆ
การกระทำนี้ให้ผู้โจมตีมีจุดยืนแบบถาวร เพราะมัลแวร์เริ่มทำงานอัตโนมัติทุกครั้งที่รีบูตโดยไม่แสดงสัญญาณให้ผู้ใช้เห็น จากนั้นมัลแวร์จะติดต่อเซิร์ฟเวอร์ C2 ผ่าน HTTP บนพอร์ตที่ไม่เป็นมาตรฐานเพื่อหลบการตรวจจับ เก็บรายละเอียดระบบสำคัญ ทั้ง username, domain, เวอร์ชัน OS และโปรไฟล์ฮาร์ดแวร์ แล้วส่งกลับไปยังผู้โจมตี ก่อนเข้าสู่สถานะรอคำสั่งแบบเงียบ
ที่ทำให้ MonoGlyphRAT อันตรายเป็นพิเศษคือมันยังขึ้นเป็น “Unknown malware” บน VirusTotal และ ThreatFox ทำให้แอนติไวรัสแบบ signature ตรวจไม่ได้ วิธีจับที่เชื่อถือได้คือการเฝ้าระวังพฤติกรรมต้องสงสัยบนระบบแบบเรียลไทม์ ทั้งนี้ผลกระทบทางการเงินจากการติดมัลแวร์อาจสูงถึงหลักล้าน ทั้งความเสี่ยง ransomware การขโมยข้อมูล ค่าปรับด้านกฎระเบียบ business email compromise และการหยุดชะงักของธุรกิจ

วิธีการโจมตี
หลังจากเชื่อมต่อ C2 ได้แล้ว ผู้โจมตีสามารถดาวน์โหลด payload เพิ่ม รันคำสั่ง PowerShell ที่เข้ารหัส โหลดโค้ดอันตรายในหน่วยความจำทั้งหมดโดยไม่ทิ้งไฟล์บนดิสก์ (fileless) และอัปเดตหรือลบ implant จากระยะไกล นอกจากนี้มัลแวร์ยังสามารถแพตช์ระบบสแกนความปลอดภัยในตัวของ Windows เพื่อกดการตรวจจับในอนาคต
การสื่อสาร C2 ทั้งหมดวิ่งผ่าน HTTP response header แบบกำหนดเอง โดย X-S นำพา session ID ที่ใช้งานอยู่ และ X-A ส่งรหัสคำสั่ง ข้อมูลที่แลกเปลี่ยนระหว่างเครื่องที่ติดมัลแวร์กับผู้โจมตีถูกเข้ารหัสด้วย AES-128 และ XOR encoding โดยส่วนหนึ่งของคีย์ถูก hardcode ไว้ในมัลแวร์โดยตรง ทำให้การสืบสวนทาง forensic ยากขึ้นมาก
ทีมความปลอดภัยควรเฝ้าระวังสัญญาณเชิงพฤติกรรมแทนการพึ่ง signature เพียงอย่างเดียว สัญญาณเตือนสำคัญได้แก่ wscript.exe ที่รันไฟล์ JavaScript จากไดเรกทอรีผู้ใช้, process PowerShell ที่เปิดด้วย flag คำสั่งเข้ารหัส, registry run key ใหม่ที่ชี้ไปไฟล์ .js และทราฟฟิก HTTP POST ไปยังพอร์ตผิดปกติที่มีรูปแบบเช่น a=iz&b=
ผลกระทบต่อไทย
แม้แคมเปญนี้มุ่งเป้าองค์กรสหรัฐฯ เป็นหลัก แต่การพบเหยื่อในหลายประเทศแสดงว่าภัยขยายวงกว้าง และเทคนิคใช้เอกสารธุรกิจอย่างใบสั่งซื้อเป็นเหยื่อล่อนั้นใช้ได้กับองค์กรไทยทุกขนาด โดยเฉพาะฝ่ายจัดซื้อ ขาย และการเงินที่เปิดเอกสารลักษณะนี้เป็นประจำ
จุดที่อันตรายที่สุดสำหรับองค์กรไทยคือมัลแวร์นี้ยังตรวจไม่เจอด้วยแอนติไวรัสแบบ signature ทำให้องค์กรที่พึ่งพา AV ทั่วไปเพียงอย่างเดียวมีความเสี่ยงสูง และเมื่อ MonoGlyphRAT ดาวน์โหลด payload เพิ่มได้ เครื่องที่ติดมัลแวร์เพียงเครื่องเดียวก็อาจกลายเป็นจุดเริ่มต้นของการรั่วไหลที่ใหญ่และแพงขึ้นทั้งองค์กร
นอกจากนี้ การที่มัลแวร์ทำงานแบบ fileless และแพตช์ระบบสแกนของ Windows ยังทำให้องค์กรไทยที่ไม่มีการตรวจจับเชิงพฤติกรรมหรือ sandbox ตรวจจับได้ยากมาก เพิ่มความเสี่ยงต่อ ransomware และ BEC ที่สร้างความเสียหายทางการเงิน
คำแนะนำ
- ตั้ง GPO ให้ไฟล์สคริปต์เปิดด้วย Notepad — บังคับให้ .js, .vbs, .hta เปิดด้วย Notepad แทนการรัน เพื่อหยุดการโจมตีตั้งแต่ขั้นแรก
- ใช้การตรวจจับเชิงพฤติกรรม — เฝ้าระวัง wscript.exe รันไฟล์ .js จาก user directory, PowerShell encoded command และ run key ชี้ไฟล์ .js
- อบรมฝ่ายจัดซื้อ/ขาย/การเงิน — ระวังไฟล์แนบที่อ้างเป็นใบสั่งซื้อ/ใบเสนอราคา โดยเฉพาะไฟล์นามสกุล .js
- บล็อก IoC ที่เผยแพร่ — นำ IP, domain, hash ด้านล่างเข้าระบบป้องกัน
- ใช้ sandbox วิเคราะห์ไฟล์แนบ — เพราะ AV แบบ signature ตรวจ MonoGlyphRAT ไม่เจอ
- เฝ้าระวังทราฟฟิก HTTP POST พอร์ตผิดปกติ — มองหารูปแบบ a=iz&b= และ header X-S/X-A
Indicators of Compromise (IoCs)
| ประเภท | ตัวบ่งชี้ | คำอธิบาย |
|---|---|---|
| IP Address | 158[.]94[.]211[.]76 | เซิร์ฟเวอร์ C2 หลัก |
| IP Address | 91[.]92[.]243[.]79 | เซิร์ฟเวอร์ C2 รอง |
| URL | hxxp://158[.]94[.]211[.]76:34567/ceoznp | endpoint beacon ของ C2 |
| Domain | aryamint[.]com | โดเมนโครงสร้าง C2 |
| Domain | scan[.]aryamint[.]com | subdomain โครงสร้าง C2 |
| SHA-256 | 5446b24959c1c2707accfc257aaac61819c01d1ed65bca910a7e8be1787d20b | ตัวอย่างมัลแวร์ JS ที่ obfuscate |
| File Name | PURCHASE ORDER_12258.js | ชื่อไฟล์เหยื่อล่อ |
| File Name | QUOTE_B2026.js | ชื่อไฟล์เหยื่อล่อ |
| File Name | QUOTATION2026115.js | ชื่อไฟล์เหยื่อล่อ |
| Registry Key | HKCU\Software\Microsoft\Windows\CurrentVersion\Run\<random> | run key สำหรับ persistence |
| HTTP Header | X-S / X-A | header นำพา session ID / รหัสคำสั่งของ C2 |
| HTTP Pattern | POST body: a=iz&b=<data> | รูปแบบ POST check-in ของ C2 |
| Suricata Rule | 85006579, 85006580, 85006581 | กฎตรวจจับทราฟฟิก C2 |
หมายเหตุ: IP และโดเมนถูก defang โดยเจตนา (เช่น
[.]) เพื่อป้องกันการ resolve โดยไม่ตั้งใจ ให้ re-fang เฉพาะในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM
