สรุปสั้น
บริษัท Securonix เปิดเผยรายงานวิเคราะห์แคมเปญจารกรรมทางไซเบอร์ที่ใช้มัลแวร์ชื่อ SHEETCREEP ซึ่งเป็น Remote Access Trojan (RAT) เขียนด้วยภาษา C# ขนาดเพียงประมาณ 20 KB แต่มีความสามารถครบถ้วนในการรันคำสั่ง รวบรวมข้อมูล และรายงานกลับไปยังผู้โจมตี โดยจุดเด่นของมัลแวร์นี้คือการใช้ Google Sheets API เป็นช่องทางสื่อสาร C2 ทำให้ทราฟฟิกที่เป็นอันตรายดูเหมือนการใช้งาน Google Workspace ปกติ
แคมเปญนี้มุ่งเป้าไปที่องค์กรการทูต โดยหลอกล่อเหยื่อด้วยอีเมลฟิชชิงที่แนบไฟล์ ISO ปลอมเป็นเอกสารเกี่ยวกับ “UAE-India Strategic Partnership Week” เมื่อทีมวิจัยของบริษัท Securonix สกัด credentials ที่ฝังอยู่ในไบนารีของมัลแวร์แล้วเชื่อมต่อเข้าไปยัง spreadsheet C2 โดยตรง พบ tab ของเหยื่อที่ยังใช้งานอยู่ถึง 91 ราย โดย 17 รายเป็นเป้าหมายจริงที่ใช้เครื่องจริงไม่ใช่ sandbox มีเป้าหมายที่ยืนยันแล้วในกรุงอิสลามาบัด ประเทศปากีสถาน นักวิเคราะห์ประเมินด้วยความมั่นใจระดับปานกลางว่าแคมเปญนี้เชื่อมโยงกับกลุ่ม APT36 หรือ Transparent Tribe ซึ่งมีแนวร่วมกับปากีสถานและมีประวัติยาวนานในการโจมตีหน่วยงานรัฐบาลและกองทัพอินเดีย
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 12 มิถุนายน พ.ศ. 2569 ว่า นักวิจัยจากบริษัท Securonix เผยแพร่รายงานวิเคราะห์แคมเปญจารกรรมที่ใช้มัลแวร์ SHEETCREEP ซึ่งเป็น C# RAT ที่ใช้ Google Sheets API เป็น C2 เพื่อโจมตีองค์กรการทูต
แคมเปญนี้ถูกบันทึกครั้งแรกโดยบริษัท Zscaler ThreatLabz ในเดือนมกราคม 2569 แต่เวอร์ชันปัจจุบันแสดงสัญญาณของการพัฒนาต่อยอดอย่างชัดเจน โดยผู้โจมตีเปลี่ยนจากการเก็บ configuration แบบ plaintext มาเป็นการเข้ารหัสด้วย XOR ด้วยคีย์ “discrete” ที่ถอดรหัสเฉพาะตอนรันไทม์เท่านั้น
มัลแวร์แพร่กระจายผ่านอีเมลฟิชชิงที่แนบไฟล์ ISO ชื่อ UAE-India_Strategic_Partnership_Week.iso ภายในมีไฟล์ shortcut ที่ดูเหมือน PDF แต่เมื่อดับเบิลคลิกจะรัน dropper ที่เป็นอันตราย dropper จะวางไฟล์ vaultsvc.exe ไว้ในโฟลเดอร์ Windows Credential Vault ที่ %LOCALAPPDATA%\Microsoft\Vault\ พร้อมตั้ง attribute เป็น Hidden และ System เพื่อหลบการตรวจจับ
มัลแวร์ SHEETCREEP สร้างตัวระบุเหยื่อจาก username, ชื่อเครื่อง และ hash 4 ตัวอักษร แล้วใช้เป็นชื่อ tab ใน Google Sheet ของผู้โจมตี การสื่อสารทั้งหมดผ่าน Google Sheets API บน HTTPS โดยคำสั่งจะถูกเขียนลงคอลัมน์หนึ่งและผลลัพธ์ส่งกลับในอีกคอลัมน์ ข้อมูลทั้งหมดเข้ารหัส Base64 ทำให้ทราฟฟิกดูเหมือนการใช้งาน Google Workspace ปกติ
สำหรับการคงอยู่ในระบบ มัลแวร์สร้าง scheduled task ชื่อ WindowsVaultSyncService ที่มีคำอธิบายปลอมให้ดูไม่น่าสงสัย รันทุกครั้งที่ผู้ใช้ล็อกอินโดยไม่มีขีดจำกัดเวลา หากมัลแวร์ตรวจพบเครื่องมือวิเคราะห์เช่น dnSpy หรือ Wireshark จะบังคับรีสตาร์ทเครื่องทันทีเพื่อขัดขวางการสืบสวน


วิธีการโจมตี
ห่วงโซ่การโจมตีเริ่มจากอีเมลฟิชชิงที่แนบไฟล์ ISO ปลอมเป็นเอกสารทางการทูต ภายในมี shortcut ที่รัน C# dropper ซึ่งวางไฟล์ vaultsvc.exe ในโฟลเดอร์ Windows Vault พร้อมตั้ง attribute ซ่อน สร้าง scheduled task สำหรับ persistence และเปิดเอกสาร decoy ให้เหยื่อเห็น
มัลแวร์ SHEETCREEP มีขนาดเพียง 20 KB แต่มีความสามารถหลากหลาย ได้แก่การรันคำสั่ง PowerShell แบบ in-process โดยไม่สร้าง child process ที่มองเห็นได้ การรวบรวมข้อมูลระบบ และการส่งข้อมูลกลับผ่าน Google Sheets API ค่า configuration ทั้งหมดรวมถึง spreadsheet ID และ service account email ถูกเข้ารหัส XOR ด้วยคีย์ “discrete” ทำให้ static analysis ยากขึ้น มัลแวร์ใช้ mutex Global\WinSync_<username>-<hostname>-<hash> เพื่อป้องกันการรันซ้ำ
Indicators of Compromise (IoCs)
| ประเภท | Indicator | คำอธิบาย |
|---|---|---|
| SHA-256 | 1ba67bb1cfad42446880cca53cbd05fe66d7514b2bb139b48e5c63adff14be7b | ไฟล์ ISO ที่ใช้หลอกล่อ |
| SHA-256 | 2cc7c2d8653c98e5bac32fcaf5e45b861efb4bb87df3b3f96285edb475e75bba | C# dropper |
| SHA-256 | 62d62950ff7a0e43550a5d0ba55d32d5083b9de5538e0f012e406b6d951e16aa | SHEETCREEP RAT payload (vaultsvc.exe) |
| IP | 142[.]251[.]223[.]42 | Google API C2 endpoint |
| โดเมน | sheets[.]googleapis[.]com | Google Sheets API ที่ใช้เป็น C2 |
| โดเมน | oauth2[.]googleapis[.]com | OAuth2 endpoint สำหรับยืนยันตัวตน |
| Service Account | sheet5-495707@sheetcreep-serviceaccount[.]iam[.]gserviceaccount[.]com | GCP service account ที่ฝังใน RAT |
| Spreadsheet ID | 1Lb5BEIsehbCGe8p1jkfWf5Mw1dBAcw5RHWFdga5gFq8 | Google Sheet ที่ใช้เป็น C2 |
| Scheduled Task | WindowsVaultSyncService | กลไก persistence |
| File Path | %LOCALAPPDATA%\Microsoft\Vault\vaultsvc.exe | ตำแหน่งไฟล์ RAT |
หมายเหตุ: IP และโดเมนถูก defang แล้ว (เช่น [.]) เพื่อป้องกันการเข้าถึงโดยไม่ตั้งใจ
ผลกระทบต่อไทย
กลุ่ม APT36 มีประวัติมุ่งเป้าหน่วยงานรัฐบาลและทหารในภูมิภาคเอเชียใต้เป็นหลัก แต่เทคนิคการใช้ Google Sheets API เป็น C2 เป็นรูปแบบที่กลุ่มภัยคุกคามอื่นสามารถนำไปใช้ได้ หน่วยงานการทูตและกระทรวงต่างประเทศของไทยที่มีปฏิสัมพันธ์กับประเทศในเอเชียใต้อาจตกเป็นเป้าหมายของแคมเปญที่ใช้เทคนิคคล้ายกัน การที่มัลแวร์ซ่อนทราฟฟิก C2 ไว้ใน Google API ทำให้ยากต่อการตรวจจับด้วยเครื่องมือ network monitoring ทั่วไป เนื่องจากองค์กรส่วนใหญ่อนุญาตทราฟฟิกไปยัง Google โดยไม่ตรวจสอบ
คำแนะนำ
ผู้ดูแลระบบควรเฝ้าระวังโปรเซสที่ไม่ใช่เบราว์เซอร์ที่เชื่อมต่อไปยัง Google Sheets API endpoint บ่อยครั้ง ตรวจสอบ scheduled task ที่ลงทะเบียนผ่าน COM แทนคำสั่ง command line ปกติ และค้นหาไฟล์ executable ที่ผิดปกติในโฟลเดอร์ Windows Vault ที่ %LOCALAPPDATA%\Microsoft\Vault\ ควรแจ้งเตือนพนักงานไม่ให้เปิดไฟล์ ISO ที่ไม่ได้ร้องขอ และ deploy Sysmon พร้อมความสามารถตรวจจับ .NET เพื่อจับกิจกรรม PowerShell แบบ in-process ที่ล็อกทั่วไปไม่สามารถบันทึกได้
