สรุปสั้น
กลุ่มภัยคุกคามระดับรัฐ OceanLotus (APT32) ซึ่งเชื่อมโยงกับเวียดนาม ถูกเปิดโปงว่ากำลังหันมาจารกรรมเป้าหมายภายในประเทศตนเองแทนที่จะมุ่งเป้าต่างชาติเหมือนก่อน โดยบริษัท ESET พบ 2 แคมเปญสำคัญ
- แคมเปญแรกเป็นการเจาะบริษัทก่อสร้างโครงสร้างพื้นฐานและคมนาคมของเวียดนามตั้งแต่กลางปี 2567 ถึงกุมภาพันธ์ 2569
- แคมเปญที่สองเป็น supply chain attack ผ่านระบบอัปเดตของซอฟต์แวร์หุ้น FireAnt Metakit ที่นักลงทุนเวียดนามใช้กันแพร่หลาย เกิดขึ้นระหว่างตุลาคม 2568 ถึงมีนาคม 2569
ทั้งสองแคมเปญใช้แบ็กดอร์ SPECTRALVIPER ซึ่งเป็นเครื่องมือจารกรรมที่ใช้เทคนิค DLL side-loading ในการหลบเลี่ยงการตรวจจับ กลุ่มนี้เคลื่อนไหวมาตั้งแต่ปี 2555 และเคยถูก Meta เชื่อมโยงกับบริษัท IT ของเวียดนามชื่อ CyberOne Group ในปี 2563 ก่อนที่จะหายไปจากเรดาร์เกือบ 3 ปี แล้วกลับมาพร้อมเครื่องมือและเป้าหมายใหม่
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 11 มิถุนายน พ.ศ. 2569 ว่า บริษัท ESET เผยแพร่รายงานวิเคราะห์ปฏิบัติการล่าสุดของกลุ่ม OceanLotus ที่แสดงให้เห็นการเปลี่ยนแปลงทิศทางจากการจารกรรมต่างชาติมาเป็นเป้าหมายภายในเวียดนาม
แคมเปญ supply chain attack ผ่าน FireAnt Metakit เริ่มขึ้นราววันที่ 2 ตุลาคม 2568 และดำเนินไปจนถึงเดือนมีนาคม 2569 โดยผู้โจมตีใช้ URL อัปเดตที่ถูกต้องตามกฎหมายของซอฟต์แวร์เพื่อส่งมัลแวร์ SPECTRALVIPER ไปยังนักลงทุนหุ้นจำนวนหนึ่ง ซึ่งบ่งบอกได้ว่าเป็นการเลือกเป้าหมายที่เฉพาะเจาะจง
ถึงแม้ว่าเซิร์ฟเวอร์อัปเดต FireAnt จะใช้ในการแจกจ่ายมัลแวร์โดยตรง แต่ไฟล์ configuration การอัปเดตอยู่บน metakit.fireant[.]vn/Software/version.xml ซึ่งไม่มีกลไกตรวจสอบ integrity ของไฟล์อัปเดต ทำให้ผู้โจมตีสามารถแทรกไฟล์ setup.exe ที่เป็นอันตรายเข้าไปได้ เมื่อ Metakit.exe รัน downloader ที่เป็นอันตรายเป็นอัปเดตปกติ downloader จะทำ host reconnaissance และส่งข้อมูลไปยัง staging server เพื่อขอ payload ขั้นถัดไป
payload เป็น DLL side-loading chain ที่ใช้ไบนารีที่ถูกต้องตามกฎหมายเพื่อรัน DLL ปลอมชื่อ DtlCrashCatch.dll จากนั้น inject ตัวเองเข้าสู่โปรเซส OneDrive.Sync.Service.exe เพื่อเรียกใช้ SPECTRALVIPER แบ็กดอร์จะติดต่อเซิร์ฟเวอร์ C2 ที่ financemachinelearning[.]com
ESET ระบุว่า นับตั้งแต่วันที่ 9 มีนาคม 2569 เป็นต้นมา ไม่พบการเผยแพร่การอัปเดตที่เป็นอันตรายเพิ่มเติมผ่านช่องทางที่ถูกบุกรุก ซึ่งทำให้มีความเป็นไปได้ว่าผู้ก่อภัยคุกคามได้ยุติการโจมตีแล้ว
สำหรับแคมเปญที่เจาะระบบบริษัทก่อสร้างโครงสร้างพื้นฐานของเวียดนาม เริ่มตั้งแต่พฤศจิกายน 2567 คาดว่าใช้ช่องโหว่ RCE ใน Microsoft SQL Server ที่เปิดเผยต่อสาธารณะ และยังคงเข้าถึงระบบและข้อมูลบริษัทได้จนถึงกุมภาพันธ์ 2569 แบ็กดอร์ SPECTRALVIPER ถูกพบ ทั้งหมด 3 เวอร์ชันที่แตกต่างกันบนหลายเครื่องในเครือข่ายเดียวกัน ติดต่อ C2 ที่ gatewayrvcenter[.]com
มัลแวร์ SPECTRALVIPER ทำหน้าที่โจมตีด้วยเทคนิค Lateral Movement เจาะขยายพื้นที่ในระบบเครือข่ายองค์กร หลังจากสามารถบุกรุกเข้ามาได้สำเร็จในจุดแรก และทำหน้าที่เป็นตัวโหลด Binary Injection เพิ่มเติมเพื่อส่ง “ข้อมูล Input ที่ไม่ปลอดภัย” เข้าไปในโปรแกรมโดยตรง เพื่อไปเขียนทับหน่วยความจำของระบบ ตลอดจนส่งเชลล์โค้ดที่ดึงมาจากเซิร์ฟเวอร์ C2 เข้าสู่กระบวนการเป้าหมาย

วิธีการโจมตี
มัลแวร์ SPECTRALVIPER ใช้เทคนิค DLL side-loading เพื่อหลบเลี่ยงการตรวจจับ โดยใช้ไบนารีที่ถูกต้องตามกฎหมายเป็นตัวโหลด DLL ที่เป็นอันตราย แบ็กดอร์สามารถส่งข้อมูล host-profiling ไปยัง C2 รับคำสั่งจากผู้ดำเนินการ ทำ lateral movement ภายในเครือข่าย และทำหน้าที่เป็น loader สำหรับ inject ไบนารีหรือ shellcode เพิ่มเติมเข้าสู่โปรเซสเป้าหมาย ในกรณี supply chain attack ผู้โจมตีเลือกส่งมัลแวร์ไปยังเป้าหมายเฉพาะกลุ่มเท่านั้น แสดงถึงแนวทางที่คัดสรรมากขึ้น
ผลกระทบต่อไทย
OceanLotus เคยมีประวัติโจมตีเป้าหมายในภูมิภาคอาเซียนรวมถึงไทย โดยเฉพาะองค์กรที่เกี่ยวข้องกับสื่อ สิทธิมนุษยชน และภาคประชาสังคม การที่กลุ่มนี้หันมาใช้ supply chain attack ผ่านซอฟต์แวร์ที่ผู้ใช้ทั่วไปไว้วางใจเป็นสัญญาณเตือนสำหรับองค์กรไทยที่ใช้ซอฟต์แวร์จากผู้พัฒนาในภูมิภาค นอกจากนี้เทคนิค DLL side-loading ที่กลุ่มนี้ใช้ยังสามารถนำไปประยุกต์กับเป้าหมายในประเทศอื่นได้
คำแนะนำ
ผู้ดูแลระบบควรตรวจสอบกลไกอัปเดตของซอฟต์แวร์ที่ใช้ในองค์กรว่ามีการตรวจสอบ integrity ของไฟล์อัปเดตหรือไม่ เช่น code signing ควรเฝ้าระวังโปรเซสที่มีพฤติกรรม DLL side-loading และตรวจสอบการเชื่อมต่อขาออกไปยังโดเมนที่ต้องสงสัย ใช้ application whitelisting และ endpoint detection and response (EDR) เพื่อตรวจจับการ inject โค้ดที่ผิดปกติ
