สรุปสั้น

ภัยคุกคามใหม่ที่ซ่อนตัวกำลังแพร่กระจายในองค์กรสหรัฐฯ อย่างเงียบ ๆ และเครื่องมือความปลอดภัยแบบดั้งเดิมส่วนใหญ่ตรวจจับไม่ได้ โดยนักวิจัยพบมัลแวร์ที่ไม่เคยรู้จักมาก่อนซึ่งปลอมตัวเป็นเอกสารธุรกิจประจำวัน เช่น ใบสั่งซื้อ ใบเสนอราคา หรือคำขอเสนอราคา เมื่อพนักงานที่ไม่ทันระวังเปิดไฟล์แนบ ผู้โจมตีก็ได้เข้าถึงเครือข่ายทั้งบริษัทแบบถาวรอย่างเงียบ ๆ

มัลแวร์ชื่อ JS.MonoGlyphRAT ถูกส่งเป็นไฟล์ JavaScript ที่ดูธรรมดาแนบมากับอีเมลฟิชชิง กำลังมุ่งเป้าองค์กรทั่วสหรัฐฯ โดยมีเหยื่อยืนยันแล้วในภาคเทคโนโลยี ผู้ให้บริการความปลอดภัยแบบ managed (MSSP) โทรคมนาคม และการศึกษา รวมถึงพบกรณีในเยอรมนี สวีเดน ออสเตรเลีย และอีกหลายประเทศ ทำให้เป็นภัยที่ขยายวงเกินพรมแดนสหรัฐฯ

นักวิเคราะห์จากบริษัท ANY.RUN ระบุชุดมัลแวร์นี้และเผยแพร่รายงานละเอียด โดยตั้งชื่อตามวิธี obfuscation เอกลักษณ์ ที่สร้างชื่อตัวแปรและฟังก์ชันจากอักขระซ้ำสลับพิมพ์เล็กใหญ่ เช่น IiIiIiIiiIII หรือ KkkKKKkKkK ทำให้โค้ดอ่านและวิเคราะห์ยากมากด้วยเครื่องมือมาตรฐาน ที่อันตรายเป็นพิเศษคือ JS.MonoGlyphRAT ปัจจุบันขึ้นเป็น “Unknown malware” บนแพลตฟอร์ม threat intelligence อย่าง VirusTotal และ ThreatFox ทำให้แอนติไวรัสที่พึ่ง signature ตรวจไม่เจอ

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 3 มิถุนายน 2569 ว่าบริษัท ANY.RUN เปิดเผยมัลแวร์ใหม่ JS.MonoGlyphRAT ที่ปลอมเป็นเอกสารธุรกิจและส่งเป็นไฟล์ JavaScript แนบอีเมลฟิชชิง ซึ่งหลบการตรวจจับของเครื่องมือความปลอดภัยทั่วไปได้

การโจมตีเริ่มจากอีเมลฉบับเดียว พนักงานในฝ่ายจัดซื้อ ฝ่ายขาย หรือฝ่ายการเงินได้รับข้อความที่มีไฟล์ JavaScript ชื่อทำนอง PURCHASE ORDER_12258.js หรือ QUOTE_B2026.js ซึ่งชื่อไฟล์เหล่านี้ถูกออกแบบให้ดูเหมือนเอกสารธุรกิจประจำที่คนในบทบาทซื้อขายจะเปิดโดยไม่คิดมาก เมื่อไฟล์รันผ่าน Windows Script Host (WSH) มันจะคัดลอกตัวเองไปยังโฟลเดอร์ย่อยใน user profile และลงทะเบียนใน Windows registry อย่างเงียบ ๆ

การกระทำนี้ให้ผู้โจมตีมีจุดยืนแบบถาวร เพราะมัลแวร์เริ่มทำงานอัตโนมัติทุกครั้งที่รีบูตโดยไม่แสดงสัญญาณให้ผู้ใช้เห็น จากนั้นมัลแวร์จะติดต่อเซิร์ฟเวอร์ C2 ผ่าน HTTP บนพอร์ตที่ไม่เป็นมาตรฐานเพื่อหลบการตรวจจับ เก็บรายละเอียดระบบสำคัญ ทั้ง username, domain, เวอร์ชัน OS และโปรไฟล์ฮาร์ดแวร์ แล้วส่งกลับไปยังผู้โจมตี ก่อนเข้าสู่สถานะรอคำสั่งแบบเงียบ

ที่ทำให้ MonoGlyphRAT อันตรายเป็นพิเศษคือมันยังขึ้นเป็น “Unknown malware” บน VirusTotal และ ThreatFox ทำให้แอนติไวรัสแบบ signature ตรวจไม่ได้ วิธีจับที่เชื่อถือได้คือการเฝ้าระวังพฤติกรรมต้องสงสัยบนระบบแบบเรียลไทม์ ทั้งนี้ผลกระทบทางการเงินจากการติดมัลแวร์อาจสูงถึงหลักล้าน ทั้งความเสี่ยง ransomware การขโมยข้อมูล ค่าปรับด้านกฎระเบียบ business email compromise และการหยุดชะงักของธุรกิจ

Hackers use fake purchase orders to deploy JS.MonoGlyphRAT targeting US enterprises

วิธีการโจมตี

หลังจากเชื่อมต่อ C2 ได้แล้ว ผู้โจมตีสามารถดาวน์โหลด payload เพิ่ม รันคำสั่ง PowerShell ที่เข้ารหัส โหลดโค้ดอันตรายในหน่วยความจำทั้งหมดโดยไม่ทิ้งไฟล์บนดิสก์ (fileless) และอัปเดตหรือลบ implant จากระยะไกล นอกจากนี้มัลแวร์ยังสามารถแพตช์ระบบสแกนความปลอดภัยในตัวของ Windows เพื่อกดการตรวจจับในอนาคต

การสื่อสาร C2 ทั้งหมดวิ่งผ่าน HTTP response header แบบกำหนดเอง โดย X-S นำพา session ID ที่ใช้งานอยู่ และ X-A ส่งรหัสคำสั่ง ข้อมูลที่แลกเปลี่ยนระหว่างเครื่องที่ติดมัลแวร์กับผู้โจมตีถูกเข้ารหัสด้วย AES-128 และ XOR encoding โดยส่วนหนึ่งของคีย์ถูก hardcode ไว้ในมัลแวร์โดยตรง ทำให้การสืบสวนทาง forensic ยากขึ้นมาก

ทีมความปลอดภัยควรเฝ้าระวังสัญญาณเชิงพฤติกรรมแทนการพึ่ง signature เพียงอย่างเดียว สัญญาณเตือนสำคัญได้แก่ wscript.exe ที่รันไฟล์ JavaScript จากไดเรกทอรีผู้ใช้, process PowerShell ที่เปิดด้วย flag คำสั่งเข้ารหัส, registry run key ใหม่ที่ชี้ไปไฟล์ .js และทราฟฟิก HTTP POST ไปยังพอร์ตผิดปกติที่มีรูปแบบเช่น a=iz&b=

ผลกระทบต่อไทย

แม้แคมเปญนี้มุ่งเป้าองค์กรสหรัฐฯ เป็นหลัก แต่การพบเหยื่อในหลายประเทศแสดงว่าภัยขยายวงกว้าง และเทคนิคใช้เอกสารธุรกิจอย่างใบสั่งซื้อเป็นเหยื่อล่อนั้นใช้ได้กับองค์กรไทยทุกขนาด โดยเฉพาะฝ่ายจัดซื้อ ขาย และการเงินที่เปิดเอกสารลักษณะนี้เป็นประจำ

จุดที่อันตรายที่สุดสำหรับองค์กรไทยคือมัลแวร์นี้ยังตรวจไม่เจอด้วยแอนติไวรัสแบบ signature ทำให้องค์กรที่พึ่งพา AV ทั่วไปเพียงอย่างเดียวมีความเสี่ยงสูง และเมื่อ MonoGlyphRAT ดาวน์โหลด payload เพิ่มได้ เครื่องที่ติดมัลแวร์เพียงเครื่องเดียวก็อาจกลายเป็นจุดเริ่มต้นของการรั่วไหลที่ใหญ่และแพงขึ้นทั้งองค์กร

นอกจากนี้ การที่มัลแวร์ทำงานแบบ fileless และแพตช์ระบบสแกนของ Windows ยังทำให้องค์กรไทยที่ไม่มีการตรวจจับเชิงพฤติกรรมหรือ sandbox ตรวจจับได้ยากมาก เพิ่มความเสี่ยงต่อ ransomware และ BEC ที่สร้างความเสียหายทางการเงิน

คำแนะนำ

  1. ตั้ง GPO ให้ไฟล์สคริปต์เปิดด้วย Notepad — บังคับให้ .js, .vbs, .hta เปิดด้วย Notepad แทนการรัน เพื่อหยุดการโจมตีตั้งแต่ขั้นแรก
  2. ใช้การตรวจจับเชิงพฤติกรรม — เฝ้าระวัง wscript.exe รันไฟล์ .js จาก user directory, PowerShell encoded command และ run key ชี้ไฟล์ .js
  3. อบรมฝ่ายจัดซื้อ/ขาย/การเงิน — ระวังไฟล์แนบที่อ้างเป็นใบสั่งซื้อ/ใบเสนอราคา โดยเฉพาะไฟล์นามสกุล .js
  4. บล็อก IoC ที่เผยแพร่ — นำ IP, domain, hash ด้านล่างเข้าระบบป้องกัน
  5. ใช้ sandbox วิเคราะห์ไฟล์แนบ — เพราะ AV แบบ signature ตรวจ MonoGlyphRAT ไม่เจอ
  6. เฝ้าระวังทราฟฟิก HTTP POST พอร์ตผิดปกติ — มองหารูปแบบ a=iz&b= และ header X-S/X-A

Indicators of Compromise (IoCs)

ประเภทตัวบ่งชี้คำอธิบาย
IP Address158[.]94[.]211[.]76เซิร์ฟเวอร์ C2 หลัก
IP Address91[.]92[.]243[.]79เซิร์ฟเวอร์ C2 รอง
URLhxxp://158[.]94[.]211[.]76:34567/ceoznpendpoint beacon ของ C2
Domainaryamint[.]comโดเมนโครงสร้าง C2
Domainscan[.]aryamint[.]comsubdomain โครงสร้าง C2
SHA-2565446b24959c1c2707accfc257aaac61819c01d1ed65bca910a7e8be1787d20bตัวอย่างมัลแวร์ JS ที่ obfuscate
File NamePURCHASE ORDER_12258.jsชื่อไฟล์เหยื่อล่อ
File NameQUOTE_B2026.jsชื่อไฟล์เหยื่อล่อ
File NameQUOTATION2026115.jsชื่อไฟล์เหยื่อล่อ
Registry KeyHKCU\Software\Microsoft\Windows\CurrentVersion\Run\<random>run key สำหรับ persistence
HTTP HeaderX-S / X-Aheader นำพา session ID / รหัสคำสั่งของ C2
HTTP PatternPOST body: a=iz&b=<data>รูปแบบ POST check-in ของ C2
Suricata Rule85006579, 85006580, 85006581กฎตรวจจับทราฟฟิก C2

หมายเหตุ: IP และโดเมนถูก defang โดยเจตนา (เช่น [.]) เพื่อป้องกันการ resolve โดยไม่ตั้งใจ ให้ re-fang เฉพาะในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM

แหล่งอ้างอิง