สรุปสั้น

กลุ่มภัยคุกคามระดับรัฐ OceanLotus (APT32) ซึ่งเชื่อมโยงกับเวียดนาม ถูกเปิดโปงว่ากำลังหันมาจารกรรมเป้าหมายภายในประเทศตนเองแทนที่จะมุ่งเป้าต่างชาติเหมือนก่อน โดยบริษัท ESET พบ 2 แคมเปญสำคัญ

  • แคมเปญแรกเป็นการเจาะบริษัทก่อสร้างโครงสร้างพื้นฐานและคมนาคมของเวียดนามตั้งแต่กลางปี 2567 ถึงกุมภาพันธ์ 2569
  • แคมเปญที่สองเป็น supply chain attack ผ่านระบบอัปเดตของซอฟต์แวร์หุ้น FireAnt Metakit ที่นักลงทุนเวียดนามใช้กันแพร่หลาย เกิดขึ้นระหว่างตุลาคม 2568 ถึงมีนาคม 2569

ทั้งสองแคมเปญใช้แบ็กดอร์ SPECTRALVIPER ซึ่งเป็นเครื่องมือจารกรรมที่ใช้เทคนิค DLL side-loading ในการหลบเลี่ยงการตรวจจับ กลุ่มนี้เคลื่อนไหวมาตั้งแต่ปี 2555 และเคยถูก Meta เชื่อมโยงกับบริษัท IT ของเวียดนามชื่อ CyberOne Group ในปี 2563 ก่อนที่จะหายไปจากเรดาร์เกือบ 3 ปี แล้วกลับมาพร้อมเครื่องมือและเป้าหมายใหม่

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 11 มิถุนายน พ.ศ. 2569 ว่า บริษัท ESET เผยแพร่รายงานวิเคราะห์ปฏิบัติการล่าสุดของกลุ่ม OceanLotus ที่แสดงให้เห็นการเปลี่ยนแปลงทิศทางจากการจารกรรมต่างชาติมาเป็นเป้าหมายภายในเวียดนาม

แคมเปญ supply chain attack ผ่าน FireAnt Metakit เริ่มขึ้นราววันที่ 2 ตุลาคม 2568 และดำเนินไปจนถึงเดือนมีนาคม 2569 โดยผู้โจมตีใช้ URL อัปเดตที่ถูกต้องตามกฎหมายของซอฟต์แวร์เพื่อส่งมัลแวร์ SPECTRALVIPER ไปยังนักลงทุนหุ้นจำนวนหนึ่ง ซึ่งบ่งบอกได้ว่าเป็นการเลือกเป้าหมายที่เฉพาะเจาะจง

ถึงแม้ว่าเซิร์ฟเวอร์อัปเดต FireAnt จะใช้ในการแจกจ่ายมัลแวร์โดยตรง แต่ไฟล์ configuration การอัปเดตอยู่บน metakit.fireant[.]vn/Software/version.xml ซึ่งไม่มีกลไกตรวจสอบ integrity ของไฟล์อัปเดต ทำให้ผู้โจมตีสามารถแทรกไฟล์ setup.exe ที่เป็นอันตรายเข้าไปได้ เมื่อ Metakit.exe รัน downloader ที่เป็นอันตรายเป็นอัปเดตปกติ downloader จะทำ host reconnaissance และส่งข้อมูลไปยัง staging server เพื่อขอ payload ขั้นถัดไป

payload เป็น DLL side-loading chain ที่ใช้ไบนารีที่ถูกต้องตามกฎหมายเพื่อรัน DLL ปลอมชื่อ DtlCrashCatch.dll จากนั้น inject ตัวเองเข้าสู่โปรเซส OneDrive.Sync.Service.exe เพื่อเรียกใช้ SPECTRALVIPER แบ็กดอร์จะติดต่อเซิร์ฟเวอร์ C2 ที่ financemachinelearning[.]com

ESET ระบุว่า นับตั้งแต่วันที่ 9 มีนาคม 2569 เป็นต้นมา ไม่พบการเผยแพร่การอัปเดตที่เป็นอันตรายเพิ่มเติมผ่านช่องทางที่ถูกบุกรุก ซึ่งทำให้มีความเป็นไปได้ว่าผู้ก่อภัยคุกคามได้ยุติการโจมตีแล้ว

สำหรับแคมเปญที่เจาะระบบบริษัทก่อสร้างโครงสร้างพื้นฐานของเวียดนาม เริ่มตั้งแต่พฤศจิกายน 2567 คาดว่าใช้ช่องโหว่ RCE ใน Microsoft SQL Server ที่เปิดเผยต่อสาธารณะ และยังคงเข้าถึงระบบและข้อมูลบริษัทได้จนถึงกุมภาพันธ์ 2569 แบ็กดอร์ SPECTRALVIPER ถูกพบ ทั้งหมด 3 เวอร์ชันที่แตกต่างกันบนหลายเครื่องในเครือข่ายเดียวกัน ติดต่อ C2 ที่ gatewayrvcenter[.]com

มัลแวร์ SPECTRALVIPER ทำหน้าที่โจมตีด้วยเทคนิค Lateral Movement เจาะขยายพื้นที่ในระบบเครือข่ายองค์กร หลังจากสามารถบุกรุกเข้ามาได้สำเร็จในจุดแรก และทำหน้าที่เป็นตัวโหลด Binary Injection เพิ่มเติมเพื่อส่ง “ข้อมูล Input ที่ไม่ปลอดภัย” เข้าไปในโปรแกรมโดยตรง เพื่อไปเขียนทับหน่วยความจำของระบบ ตลอดจนส่งเชลล์โค้ดที่ดึงมาจากเซิร์ฟเวอร์ C2 เข้าสู่กระบวนการเป้าหมาย

OceanLotus SPECTRALVIPER supply chain attack on Vietnam

วิธีการโจมตี

มัลแวร์ SPECTRALVIPER ใช้เทคนิค DLL side-loading เพื่อหลบเลี่ยงการตรวจจับ โดยใช้ไบนารีที่ถูกต้องตามกฎหมายเป็นตัวโหลด DLL ที่เป็นอันตราย แบ็กดอร์สามารถส่งข้อมูล host-profiling ไปยัง C2 รับคำสั่งจากผู้ดำเนินการ ทำ lateral movement ภายในเครือข่าย และทำหน้าที่เป็น loader สำหรับ inject ไบนารีหรือ shellcode เพิ่มเติมเข้าสู่โปรเซสเป้าหมาย ในกรณี supply chain attack ผู้โจมตีเลือกส่งมัลแวร์ไปยังเป้าหมายเฉพาะกลุ่มเท่านั้น แสดงถึงแนวทางที่คัดสรรมากขึ้น

ผลกระทบต่อไทย

OceanLotus เคยมีประวัติโจมตีเป้าหมายในภูมิภาคอาเซียนรวมถึงไทย โดยเฉพาะองค์กรที่เกี่ยวข้องกับสื่อ สิทธิมนุษยชน และภาคประชาสังคม การที่กลุ่มนี้หันมาใช้ supply chain attack ผ่านซอฟต์แวร์ที่ผู้ใช้ทั่วไปไว้วางใจเป็นสัญญาณเตือนสำหรับองค์กรไทยที่ใช้ซอฟต์แวร์จากผู้พัฒนาในภูมิภาค นอกจากนี้เทคนิค DLL side-loading ที่กลุ่มนี้ใช้ยังสามารถนำไปประยุกต์กับเป้าหมายในประเทศอื่นได้

คำแนะนำ

ผู้ดูแลระบบควรตรวจสอบกลไกอัปเดตของซอฟต์แวร์ที่ใช้ในองค์กรว่ามีการตรวจสอบ integrity ของไฟล์อัปเดตหรือไม่ เช่น code signing ควรเฝ้าระวังโปรเซสที่มีพฤติกรรม DLL side-loading และตรวจสอบการเชื่อมต่อขาออกไปยังโดเมนที่ต้องสงสัย ใช้ application whitelisting และ endpoint detection and response (EDR) เพื่อตรวจจับการ inject โค้ดที่ผิดปกติ

แหล่งอ้างอิง