สรุปสั้น

บริษัท Securonix เปิดเผยรายงานวิเคราะห์แคมเปญจารกรรมทางไซเบอร์ที่ใช้มัลแวร์ชื่อ SHEETCREEP ซึ่งเป็น Remote Access Trojan (RAT) เขียนด้วยภาษา C# ขนาดเพียงประมาณ 20 KB แต่มีความสามารถครบถ้วนในการรันคำสั่ง รวบรวมข้อมูล และรายงานกลับไปยังผู้โจมตี โดยจุดเด่นของมัลแวร์นี้คือการใช้ Google Sheets API เป็นช่องทางสื่อสาร C2 ทำให้ทราฟฟิกที่เป็นอันตรายดูเหมือนการใช้งาน Google Workspace ปกติ

แคมเปญนี้มุ่งเป้าไปที่องค์กรการทูต โดยหลอกล่อเหยื่อด้วยอีเมลฟิชชิงที่แนบไฟล์ ISO ปลอมเป็นเอกสารเกี่ยวกับ “UAE-India Strategic Partnership Week” เมื่อทีมวิจัยของบริษัท Securonix สกัด credentials ที่ฝังอยู่ในไบนารีของมัลแวร์แล้วเชื่อมต่อเข้าไปยัง spreadsheet C2 โดยตรง พบ tab ของเหยื่อที่ยังใช้งานอยู่ถึง 91 ราย โดย 17 รายเป็นเป้าหมายจริงที่ใช้เครื่องจริงไม่ใช่ sandbox มีเป้าหมายที่ยืนยันแล้วในกรุงอิสลามาบัด ประเทศปากีสถาน นักวิเคราะห์ประเมินด้วยความมั่นใจระดับปานกลางว่าแคมเปญนี้เชื่อมโยงกับกลุ่ม APT36 หรือ Transparent Tribe ซึ่งมีแนวร่วมกับปากีสถานและมีประวัติยาวนานในการโจมตีหน่วยงานรัฐบาลและกองทัพอินเดีย

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 12 มิถุนายน พ.ศ. 2569 ว่า นักวิจัยจากบริษัท Securonix เผยแพร่รายงานวิเคราะห์แคมเปญจารกรรมที่ใช้มัลแวร์ SHEETCREEP ซึ่งเป็น C# RAT ที่ใช้ Google Sheets API เป็น C2 เพื่อโจมตีองค์กรการทูต

แคมเปญนี้ถูกบันทึกครั้งแรกโดยบริษัท Zscaler ThreatLabz ในเดือนมกราคม 2569 แต่เวอร์ชันปัจจุบันแสดงสัญญาณของการพัฒนาต่อยอดอย่างชัดเจน โดยผู้โจมตีเปลี่ยนจากการเก็บ configuration แบบ plaintext มาเป็นการเข้ารหัสด้วย XOR ด้วยคีย์ “discrete” ที่ถอดรหัสเฉพาะตอนรันไทม์เท่านั้น

มัลแวร์แพร่กระจายผ่านอีเมลฟิชชิงที่แนบไฟล์ ISO ชื่อ UAE-India_Strategic_Partnership_Week.iso ภายในมีไฟล์ shortcut ที่ดูเหมือน PDF แต่เมื่อดับเบิลคลิกจะรัน dropper ที่เป็นอันตราย dropper จะวางไฟล์ vaultsvc.exe ไว้ในโฟลเดอร์ Windows Credential Vault ที่ %LOCALAPPDATA%\Microsoft\Vault\ พร้อมตั้ง attribute เป็น Hidden และ System เพื่อหลบการตรวจจับ

มัลแวร์ SHEETCREEP สร้างตัวระบุเหยื่อจาก username, ชื่อเครื่อง และ hash 4 ตัวอักษร แล้วใช้เป็นชื่อ tab ใน Google Sheet ของผู้โจมตี การสื่อสารทั้งหมดผ่าน Google Sheets API บน HTTPS โดยคำสั่งจะถูกเขียนลงคอลัมน์หนึ่งและผลลัพธ์ส่งกลับในอีกคอลัมน์ ข้อมูลทั้งหมดเข้ารหัส Base64 ทำให้ทราฟฟิกดูเหมือนการใช้งาน Google Workspace ปกติ

สำหรับการคงอยู่ในระบบ มัลแวร์สร้าง scheduled task ชื่อ WindowsVaultSyncService ที่มีคำอธิบายปลอมให้ดูไม่น่าสงสัย รันทุกครั้งที่ผู้ใช้ล็อกอินโดยไม่มีขีดจำกัดเวลา หากมัลแวร์ตรวจพบเครื่องมือวิเคราะห์เช่น dnSpy หรือ Wireshark จะบังคับรีสตาร์ทเครื่องทันทีเพื่อขัดขวางการสืบสวน

SHEETCREEP RAT Google Sheets API C2 diplomatic espionage
SHEETCREEP RAT Google Sheets API C2 diplomatic espionage

วิธีการโจมตี

ห่วงโซ่การโจมตีเริ่มจากอีเมลฟิชชิงที่แนบไฟล์ ISO ปลอมเป็นเอกสารทางการทูต ภายในมี shortcut ที่รัน C# dropper ซึ่งวางไฟล์ vaultsvc.exe ในโฟลเดอร์ Windows Vault พร้อมตั้ง attribute ซ่อน สร้าง scheduled task สำหรับ persistence และเปิดเอกสาร decoy ให้เหยื่อเห็น

มัลแวร์ SHEETCREEP มีขนาดเพียง 20 KB แต่มีความสามารถหลากหลาย ได้แก่การรันคำสั่ง PowerShell แบบ in-process โดยไม่สร้าง child process ที่มองเห็นได้ การรวบรวมข้อมูลระบบ และการส่งข้อมูลกลับผ่าน Google Sheets API ค่า configuration ทั้งหมดรวมถึง spreadsheet ID และ service account email ถูกเข้ารหัส XOR ด้วยคีย์ “discrete” ทำให้ static analysis ยากขึ้น มัลแวร์ใช้ mutex Global\WinSync_<username>-<hostname>-<hash> เพื่อป้องกันการรันซ้ำ

Indicators of Compromise (IoCs)

ประเภทIndicatorคำอธิบาย
SHA-2561ba67bb1cfad42446880cca53cbd05fe66d7514b2bb139b48e5c63adff14be7bไฟล์ ISO ที่ใช้หลอกล่อ
SHA-2562cc7c2d8653c98e5bac32fcaf5e45b861efb4bb87df3b3f96285edb475e75bbaC# dropper
SHA-25662d62950ff7a0e43550a5d0ba55d32d5083b9de5538e0f012e406b6d951e16aaSHEETCREEP RAT payload (vaultsvc.exe)
IP142[.]251[.]223[.]42Google API C2 endpoint
โดเมนsheets[.]googleapis[.]comGoogle Sheets API ที่ใช้เป็น C2
โดเมนoauth2[.]googleapis[.]comOAuth2 endpoint สำหรับยืนยันตัวตน
Service Accountsheet5-495707@sheetcreep-serviceaccount[.]iam[.]gserviceaccount[.]comGCP service account ที่ฝังใน RAT
Spreadsheet ID1Lb5BEIsehbCGe8p1jkfWf5Mw1dBAcw5RHWFdga5gFq8Google Sheet ที่ใช้เป็น C2
Scheduled TaskWindowsVaultSyncServiceกลไก persistence
File Path%LOCALAPPDATA%\Microsoft\Vault\vaultsvc.exeตำแหน่งไฟล์ RAT

หมายเหตุ: IP และโดเมนถูก defang แล้ว (เช่น [.]) เพื่อป้องกันการเข้าถึงโดยไม่ตั้งใจ

ผลกระทบต่อไทย

กลุ่ม APT36 มีประวัติมุ่งเป้าหน่วยงานรัฐบาลและทหารในภูมิภาคเอเชียใต้เป็นหลัก แต่เทคนิคการใช้ Google Sheets API เป็น C2 เป็นรูปแบบที่กลุ่มภัยคุกคามอื่นสามารถนำไปใช้ได้ หน่วยงานการทูตและกระทรวงต่างประเทศของไทยที่มีปฏิสัมพันธ์กับประเทศในเอเชียใต้อาจตกเป็นเป้าหมายของแคมเปญที่ใช้เทคนิคคล้ายกัน การที่มัลแวร์ซ่อนทราฟฟิก C2 ไว้ใน Google API ทำให้ยากต่อการตรวจจับด้วยเครื่องมือ network monitoring ทั่วไป เนื่องจากองค์กรส่วนใหญ่อนุญาตทราฟฟิกไปยัง Google โดยไม่ตรวจสอบ

คำแนะนำ

ผู้ดูแลระบบควรเฝ้าระวังโปรเซสที่ไม่ใช่เบราว์เซอร์ที่เชื่อมต่อไปยัง Google Sheets API endpoint บ่อยครั้ง ตรวจสอบ scheduled task ที่ลงทะเบียนผ่าน COM แทนคำสั่ง command line ปกติ และค้นหาไฟล์ executable ที่ผิดปกติในโฟลเดอร์ Windows Vault ที่ %LOCALAPPDATA%\Microsoft\Vault\ ควรแจ้งเตือนพนักงานไม่ให้เปิดไฟล์ ISO ที่ไม่ได้ร้องขอ และ deploy Sysmon พร้อมความสามารถตรวจจับ .NET เพื่อจับกิจกรรม PowerShell แบบ in-process ที่ล็อกทั่วไปไม่สามารถบันทึกได้

แหล่งอ้างอิง