สรุปสั้น

กลุ่มแฮ็กเกอร์ APT28 หรือที่รู้จักในชื่อ Fancy Bear ซึ่งเป็นหน่วยปฏิบัติการไซเบอร์ภายใต้หน่วยข่าวกรองทางทหารรัสเซีย GRU Unit 26165 ได้ปรับเปลี่ยนกลยุทธ์มาใช้เราเตอร์ขนาดเล็กสำหรับบ้านและสำนักงาน (SOHO) ที่ถูกบุกรุกเป็นโครงสร้างพื้นฐานหลักในการดำเนินการจารกรรมไซเบอร์ โดยรายงานจากบริษัท Sekoia เผยว่ากลุ่มนี้เข้ายึดครอง botnet MooBot ซึ่งประกอบด้วยเราเตอร์ Ubiquiti EdgeRouter ตั้งแต่เดือนเมษายน 2565 เพื่อใช้เป็นฐานในการส่งต่อ credential ที่ขโมยมา โฮสต์หน้าฟิชชิงบน IP ที่อยู่อาศัย และรันสคริปต์ Python แบบกำหนดเอง

แม้ FBI จะปฏิบัติการ Operation Dying Ember ทำลายเครือข่าย MooBot ลงในปี 2567 แต่ยังพบเซิร์ฟเวอร์ใน data center กว่า 350 เครื่องที่ยังคงติดต่อกลับไป ในปี 2569 กลุ่มนี้เปิดตัวแคมเปญใหม่ชื่อ FrostArmada มุ่งเป้าเราเตอร์ MikroTik และ TP-Link โดยเปลี่ยนแปลงค่า DNS เพื่อเปลี่ยนเส้นทาง traffic ในช่วงสูงสุดเมื่อเดือนธันวาคม 2568 มี IP ที่ได้รับผลกระทบกว่า 18,000 รายการ ใน 120 ประเทศ กระทบองค์กรราว 200 แห่งและอุปกรณ์ผู้บริโภคอีก 5,000 เครื่อง

กลุ่มนี้ยังพัฒนาเครื่องมือใหม่หลายตัว ได้แก่ BeardShell ซึ่งเป็น backdoor ภาษา C++ ที่ใช้ cloud storage API เป็นช่องทาง C2, keylogger ชื่อ Slimagent ที่เชื่อมโยงกับ X-Agent และ LameHug ซึ่งเป็น infostealer ที่ใช้ AI สร้างคำสั่งโจมตีแบบ real-time เป้าหมายหลักคือประเทศสมาชิก NATO และยูเครน โดยเหยื่อรวมถึงกระทรวงต่างประเทศ หน่วยงานบังคับใช้กฎหมาย และผู้ให้บริการ IT hosting

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 12 มิถุนายน พ.ศ. 2569 ว่า กลุ่มแฮ็กเกอร์ APT28 หรือ Fancy Bear ซึ่งเป็นหน่วยปฏิบัติการไซเบอร์ของหน่วยข่าวกรองทางทหารรัสเซีย GRU Unit 26165 (มีชื่อเรียกอื่นกว่า 30 ชื่อ รวมถึง Forest Blizzard, Sofacy, Pawn Storm และ Sednit) ได้เปลี่ยนแนวทางการโจมตีมาใช้เราเตอร์ SOHO ที่ถูกบุกรุกเป็นโครงสร้างพื้นฐานหลักในการจารกรรมไซเบอร์ ตามรายงานวิจัยของบริษัท Sekoia

จุดเริ่มต้นของแนวทางนี้คือการที่ APT28 เข้ายึดครอง botnet MooBot ซึ่งเป็นเครือข่ายอาชญากรที่ประกอบด้วยเราเตอร์ Ubiquiti EdgeRouter ตั้งแต่เดือนเมษายน 2565 โดยใช้เราเตอร์เหล่านี้เพื่อวัตถุประสงค์ 3 ประการ ได้แก่ ส่งต่อ authentication hash ที่ขโมยมาจาก Microsoft Exchange, โฮสต์หน้าฟิชชิงบน IP ที่อยู่อาศัยเพื่อหลีกเลี่ยงการตรวจจับ และรันสคริปต์ Python แบบกำหนดเอง แม้ FBI จะดำเนินการ Operation Dying Ember เพื่อทำลายเครือข่าย MooBot ลงในปี 2567 แต่ยังพบเซิร์ฟเวอร์ใน data center กว่า 350 เครื่องที่ยังคงติดต่อกลับไปยังโครงสร้างพื้นฐานของกลุ่ม

ในปี 2569 APT28 เปิดตัวแคมเปญใหม่ชื่อ FrostArmada ซึ่งมุ่งเป้าไปที่เราเตอร์ MikroTik และ TP-Link โดยเปลี่ยนแปลงค่า DNS เพื่อเปลี่ยนเส้นทาง traffic ของเหยื่อ ในช่วงที่แคมเปญนี้มีขนาดใหญ่ที่สุดเมื่อเดือนธันวาคม 2568 มีอุปกรณ์ที่ได้รับผลกระทบกว่า 18,000 IP ใน 120 ประเทศ กระทบองค์กรราว 200 แห่งและอุปกรณ์ผู้บริโภคอีก 5,000 เครื่อง เหยื่อหลักประกอบด้วยกระทรวงต่างประเทศ หน่วยงานบังคับใช้กฎหมาย และผู้ให้บริการ IT hosting โดยมีเป้าหมายเป็นประเทศสมาชิก NATO และยูเครน

นอกจากนี้ กลุ่ม APT28 ยังพัฒนาเครื่องมือใหม่หลายตัว ได้แก่ BeardShell ซึ่งเป็น backdoor ภาษา C++ ที่ใช้ cloud storage API เป็นช่องทาง command-and-control (C2) ในปฏิบัติการ Phantom Net Voxel, Slimagent ซึ่งเป็น keylogger ที่เชื่อมโยงกับ X-Agent (มัลแวร์ลายเซ็นของ APT28 ที่ใช้มานานกว่าทศวรรษ) และ LameHug ซึ่งเป็น infostealer ที่ใช้ AI โดยสามารถสอบถาม AI model แบบ live เพื่อสร้างคำสั่งโจมตีแบบ real-time กลุ่มนี้ยังใช้แนวทาง disposable tools คือเครื่องมือแต่ละตัวถูกออกแบบให้ใช้งานครั้งเดียวแล้วทิ้ง เมื่อถูกตรวจพบจะเปลี่ยนไปใช้เครื่องมือใหม่ทันที

APT28 Fancy Bear hackers abuse compromised EdgeRouters and cloud services for stealthy cyberattacks

วิธีการโจมตี

การใช้เราเตอร์ SOHO เป็นโครงสร้างพื้นฐาน:

  1. ยึดครอง botnet ที่มีอยู่ — เข้าควบคุม MooBot botnet ที่ประกอบด้วย Ubiquiti EdgeRouter เพื่อใช้เป็นฐานปฏิบัติการ
  2. Relay stolen credentials — ส่งต่อ authentication hash ที่ขโมยมาจาก Microsoft Exchange ผ่านเราเตอร์ที่บุกรุก
  3. โฮสต์หน้าฟิชชิง — ใช้ IP ที่อยู่อาศัยในการโฮสต์หน้าฟิชชิง ทำให้หลีกเลี่ยง IP reputation-based filtering
  4. DNS hijacking — ในแคมเปญ FrostArmada เปลี่ยนค่า DNS ของเราเตอร์ MikroTik และ TP-Link เพื่อเปลี่ยนเส้นทาง traffic

เครื่องมือใหม่ที่พัฒนาขึ้น:

  • BeardShell — backdoor ภาษา C++ ใช้ cloud storage API เป็นช่องทาง C2 ทำให้ traffic ดูเหมือนการใช้บริการคลาวด์ปกติ
  • Slimagent — keylogger ที่วิวัฒนาการมาจาก X-Agent ซึ่งเป็นมัลแวร์ลายเซ็นของ APT28
  • LameHug — infostealer ที่ใช้ AI สร้างคำสั่งโจมตีแบบ on-the-fly โดยสอบถาม AI model แบบ live ทำให้ทุกการโจมตีมีรูปแบบที่ไม่ซ้ำกัน

จุดอันตราย: การใช้เราเตอร์ตามบ้านและสำนักงานเป็นจุดซ่อนตัวทำให้การติดตามและปิดกั้นทำได้ยาก เพราะ IP address เป็นของผู้ใช้ทั่วไป ประกอบกับแนวทาง disposable tools ที่ใช้แล้วทิ้งทำให้ IoC มีอายุสั้นมาก

ผลกระทบต่อไทย

แม้เป้าหมายหลักของ APT28 จะเป็นประเทศสมาชิก NATO และยูเครน แต่แคมเปญ FrostArmada ส่งผลกระทบต่ออุปกรณ์ใน 120 ประเทศ ซึ่งอาจรวมถึงประเทศไทยด้วย เราเตอร์ Ubiquiti EdgeRouter, MikroTik และ TP-Link ที่ตกเป็นเป้าหมายล้วนเป็นอุปกรณ์ที่มีการใช้งานอย่างแพร่หลายในประเทศไทย ทั้งในบ้าน สำนักงาน และ ISP ขนาดเล็ก

เราเตอร์เหล่านี้หากไม่ได้อัปเดต firmware หรือยังใช้ค่าเริ่มต้นจากโรงงาน อาจถูกใช้เป็นส่วนหนึ่งของ botnet โดยเจ้าของอุปกรณ์ไม่รู้ตัว นอกจากนี้ เทคนิค DNS hijacking ที่ใช้ในแคมเปญ FrostArmada อาจส่งผลให้ผู้ใช้งานในไทยถูกเปลี่ยนเส้นทาง traffic ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมได้

คำแนะนำ

  1. อัปเดต firmware เราเตอร์ — ตรวจสอบและอัปเดต firmware ของ Ubiquiti EdgeRouter, MikroTik และ TP-Link เป็นเวอร์ชันล่าสุดทันที
  2. เปลี่ยนรหัสผ่านเริ่มต้น — เปลี่ยนรหัสผ่าน admin ของเราเตอร์จากค่าเริ่มต้น และใช้รหัสผ่านที่ซับซ้อน
  3. ปิด remote management — ปิดการเข้าถึง management interface จากอินเทอร์เน็ต หากไม่จำเป็นต้องใช้งาน
  4. ตรวจสอบค่า DNS — ตรวจสอบว่าค่า DNS ของเราเตอร์ไม่ถูกเปลี่ยนแปลงไปเป็นค่าที่ไม่รู้จัก
  5. Monitor outbound traffic — เฝ้าระวัง traffic ที่ผิดปกติจากเราเตอร์ โดยเฉพาะการเชื่อมต่อไปยัง cloud storage API ที่ไม่คาดคิด
  6. ใช้ DNS-over-HTTPS (DoH) — กำหนดค่า DNS ที่เชื่อถือได้บนอุปกรณ์ปลายทางเพื่อป้องกัน DNS hijacking ที่ระดับเราเตอร์

แหล่งอ้างอิง