สรุปสั้น
นักวิจัยจากบริษัท ESET เปิดเผยว่าพบมัลแวร์แบ็กดอร์ SprySOCKS เวอร์ชัน Windows จำนวน 2 รุ่นคือ WIN_DRV และ WIN_PLUS ซึ่งเดิมเคยเป็นมัลแวร์ที่ทำงานบน Linux เท่านั้น โดยกลุ่มภัยคุกคามจากจีนที่รู้จักกันในชื่อ Earth Lusca (หรือ FishMonger, Aquatic Panda, Charcoal Typhoon) ได้นำไปใช้โจมตีหน่วยงานรัฐบาลใน 4 ประเทศ ได้แก่ ไต้หวัน ไทย ปากีสถาน และฮอนดูรัส ระหว่างปี 2023 ถึง 2024 ความน่ากังวลเป็นพิเศษคือรุ่น WIN_DRV มีความสามารถในการซ่อนตัวระดับ kernel ด้วย driver ที่ลงนามด้วยใบรับรองที่รั่วไหล สามารถซ่อนกระบวนการ ไฟล์ การเชื่อมต่อเครือข่าย และ registry key ได้ทั้งหมด
มัลแวร์ทั้งสองรุ่นรองรับคำสั่ง command-and-control มากกว่า 30 คำสั่ง สื่อสารผ่าน TCP, UDP และ WebSocket พร้อมความสามารถในการเก็บข้อมูลระบบ จัดการไฟล์ บันทึกการกดแป้นพิมพ์ และทำหน้าที่เป็น SOCKS proxy นอกจากนี้ ESET ยังพบร่องรอยที่บ่งชี้ว่าอาจมีการใช้ UEFI bootkit ที่ใช้ประโยชน์จากช่องโหว่ CVE-2023-24932 ซึ่งเกี่ยวข้องกับ BlackLotus UEFI malware อีกด้วย
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 16 มิถุนายน พ.ศ. 2569 ว่าบริษัท ESET ได้เผยแพร่รายงานวิจัยเกี่ยวกับการค้นพบมัลแวร์แบ็กดอร์ SprySOCKS เวอร์ชัน Windows จำนวน 2 รุ่น ซึ่งถูกใช้ในปฏิบัติการจารกรรมทางไซเบอร์โดยกลุ่ม Earth Lusca ที่มีความเชื่อมโยงกับรัฐบาลจีน SprySOCKS ถูกบันทึกไว้ครั้งแรกโดยบริษัท Trend Micro ในเดือนกันยายน 2023 ในฐานะมัลแวร์ที่ทำงานบน Linux เท่านั้น โดยกลุ่ม Earth Lusca ซึ่ง ESET ติดตามในชื่อ FishMonger เป็นกลุ่มจารกรรมไซเบอร์ที่อยู่ภายใต้ร่ม Winnti และถูกประเมินว่าเชื่อมโยงกับผู้รับเหมาจีนชื่อ i-Soon
SprySOCKS พัฒนาต่อยอดจาก remote access trojan (RAT) บน Windows ชื่อ Trochilus และมีลักษณะร่วมกับแบ็กดอร์ RedLeaves ซึ่งทั้งคู่มี source code ที่ทับซ้อนกันอย่างมาก เวอร์ชัน Windows ที่ค้นพบเป็นส่วนหนึ่งของ SprySOCKS เวอร์ชัน 1.8 แบ่งเป็นรุ่น WIN_DRV ที่มี kernel driver สำหรับซ่อนตัวขั้นสูง และรุ่น WIN_PLUS ที่เป็นแบ็กดอร์แบบเรียบง่ายกว่า
รุ่น WIN_DRV ใช้ kernel driver ชื่อ RawWNPF ที่โหลดเข้าหน่วยความจำโดยตรง ผ่าน driver ตัวที่สองชื่อ DriverLoader (fsdiskbit.sys) ซึ่งลงนามด้วยใบรับรองที่รั่วไหลจากโปรเจกต์ PastDSE บน GitHub โดย driver ดังกล่าวทำให้มัลแวร์สามารถซ่อนกระบวนการผ่านการจัดการ Windows API ซ่อนการเชื่อมต่อเครือข่าย ซ่อนไฟล์จากรายการไดเรกทอรี และซ่อน registry key ที่ใช้สำหรับ persistence ได้ทั้งหมด
chain การโจมตีเริ่มจาก initial access ที่ยังไม่ระบุวิธีการแน่ชัด แต่กลุ่มนี้เคยใช้ช่องโหว่ N-day ในผลิตภัณฑ์ Fortinet, GitLab, Microsoft Exchange Server, Progress Telerik UI และ Zimbra จากนั้นจะ drop batch script สร้าง scheduled task เพื่อเรียก DLL side-loading chain ที่โหลดแบ็กดอร์ SprySOCKS และ driver components ส่วนรุ่น WIN_PLUS ใช้แนวทางต่างออกไปโดยอาศัย Windows Print Spooler service (spoolsv.exe) เป็นจุดเริ่มต้นในการรันโค้ด โดยลงทะเบียนเป็น print processor แล้ว inject SprySOCKS loader เข้าในกระบวนการ svchost.exe ที่สร้างขึ้นใหม่
ฟีเจอร์ที่น่าสนใจอีกอย่างคือ TCP traffic diversion ซึ่งช่วยให้ผู้โจมตีส่งคำสั่งไปยังแบ็กดอร์ผ่าน TCP port แบบสุ่มบนเครื่องเป้าหมายได้ โดยไม่ต้องเปิดเผย listening port จริงของแบ็กดอร์ในการจราจรเครือข่าย ทำให้การตรวจจับยากขึ้นอย่างมาก
วิธีการโจมตี
กลุ่ม Earth Lusca ใช้กลยุทธ์การโจมตีหลายขั้นตอนเพื่อเข้าถึงเป้าหมายที่เป็นหน่วยงานรัฐบาล โดยเน้นหน่วยงานด้านกิจการต่างประเทศ เทคโนโลยี และโทรคมนาคม:
WIN_DRV execution chain: เริ่มจากการ drop batch script → สร้าง scheduled task → เรียก DLL side-loading chain → โหลด SprySOCKS backdoor พร้อม kernel driver ใช้ persistence ผ่าน scheduled task และ Image File Execution Options (IFEO) ผ่าน vds.exe
WIN_PLUS execution chain: อาศัย Windows Print Spooler service (spoolsv.exe) → รัน first-stage loader เป็น print processor (VSPMsg) → inject SprySOCKS loader เข้าใน svchost.exe ที่สร้างใหม่ → เปิดแบ็กดอร์
ทั้งสองรุ่นรองรับคำสั่ง C2 มากกว่า 30 คำสั่ง ครอบคลุมการเก็บข้อมูลระบบ, จัดการไฟล์ (สร้าง ลบ อัปโหลด ดาวน์โหลด), enumeration กระบวนการและบริการ, keylogging, การดักจับ clipboard, ทำหน้าที่เป็น SOCKS proxy และสามารถทำงานได้ทั้งในโหมด client และ server
ESET ยังพบ “limited indications” ที่บ่งชี้ว่าอาจมีการใช้ UEFI bootkit ที่ใช้ประโยชน์จาก CVE-2023-24932 (CVSS 6.7) ซึ่งเป็นช่องโหว่ bypass Secure Boot ที่เกี่ยวข้องกับ BlackLotus UEFI malware แม้จะยังไม่มีหลักฐานยืนยันที่แข็งแกร่ง
ผลกระทบต่อไทย
ข่าวนี้มีผลกระทบโดยตรงต่อประเทศไทย เนื่องจาก ESET ระบุชัดเจนว่าไทยเป็นหนึ่งใน 4 ประเทศเป้าหมายที่กลุ่ม Earth Lusca ใช้ SprySOCKS เวอร์ชัน Windows โจมตีหน่วยงานรัฐบาล ร่วมกับไต้หวัน ปากีสถาน และฮอนดูรัส โดยเป้าหมายเน้นหน่วยงานด้านกิจการต่างประเทศ เทคโนโลยี และโทรคมนาคม ซึ่งหน่วยงานรัฐไทยที่อยู่ในขอบเขตเหล่านี้ควรถือเป็นความเสี่ยงระดับสูง การที่มัลแวร์มี kernel-level stealth สามารถซ่อนตัวจากเครื่องมือตรวจจับทั่วไปได้ ทำให้อาจมีการ compromise ที่ยังไม่ถูกค้นพบในหน่วยงานไทย
คำแนะนำ
หน่วยงานรัฐไทยโดยเฉพาะด้านกิจการต่างประเทศและเทคโนโลยีควรตรวจสอบระบบด้วย indicators of compromise (IoCs) ที่ ESET เผยแพร่ในรายงานโดยทันที ควรค้นหา driver ชื่อ fsdiskbit.sys และ scheduled task หรือ print processor ที่ผิดปกติ ตรวจสอบ Image File Execution Options (IFEO) ของ vds.exe ว่ามีค่า Debugger ที่น่าสงสัยหรือไม่ แพตช์ช่องโหว่ CVE-2023-24932 ใน Windows Boot Manager และเปิดใช้ Secure Boot revocation อัปเดต Fortinet, Exchange Server และ Zimbra ให้เป็นเวอร์ชันล่าสุด พร้อมติดตั้ง EDR ที่สามารถตรวจจับ kernel-level rootkit ได้
