สรุปสั้น
นักวิจัยจากบริษัท Cato Networks เปิดเผยรายงานวิเคราะห์ปฏิบัติการแฮ็กโดยผู้โจมตีรหัส “Poisson” ซึ่งเป็นแฮ็กเกอร์มือใหม่ที่พูดภาษาฝรั่งเศส โดยเจาะเข้าระบบธุรกิจยานยนต์ขนาดเล็กในฝรั่งเศสและวาง keylogger เพื่อขโมย credential ของธนาคารและอีเมล ปฏิบัติการทั้งหมดถูกบันทึกคำสั่งได้ 339 คำสั่งตลอด 33 วัน หลังจากผู้โจมตีทิ้ง SSH key และคู่มือปฏิบัติการไว้ใน storage bucket ที่เปิดสาธารณะ จุดสำคัญของรายงานฉบับนี้คือการที่ Poisson ติดตั้ง OpenSSH Server และ Tailscale บนเครื่องเหยื่อก่อนที่เซิร์ฟเวอร์ C2 ของ Havoc framework จะล่ม ทำให้เขาสามารถเข้าถึงเครื่องเหยื่อได้ตลอด 18 วันผ่านเครือข่าย Tailscale แม้ C2 จะออฟไลน์ และเมื่อเซิร์ฟเวอร์ C2 กลับมาในวันที่ 26 เมษายน agent ของ Havoc ก็เชื่อมต่อกลับโดยอัตโนมัติโดยไม่ต้องเจาะระบบใหม่
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 17 มิถุนายน พ.ศ. 2569 ว่า นาย Vitaly Simonovich นักวิจัยจากทีม Cato CTRL ของบริษัท Cato Networks ได้เผยแพร่รายงานวิเคราะห์ปฏิบัติการแฮ็กที่ไม่ธรรมดา โดยสามารถติดตามคำสั่งของผู้โจมตีได้ทีละคำสั่งจากฝั่งคีย์บอร์ดของผู้โจมตีเอง แทนที่จะเป็นการวิเคราะห์จากร่องรอยทาง forensic ตามปกติ เนื่องจากผู้โจมตีรหัส “Poisson” ทิ้ง SSH key และไฟล์คู่มือปฏิบัติการไว้ใน storage bucket ของ Backblaze B2 ที่เปิดเป็นสาธารณะ
ผู้โจมตีรายนี้ไม่ใช่กลุ่ม APT แต่เป็นแฮ็กเกอร์มือใหม่ที่มีรูปแบบการทำงานคล้ายนักเรียน คือเริ่มทำงานหลัง 15.00 น. ตามเวลา CET และมีช่วงพักกลางวันยาว ใช้เครื่องมือฟรีทั้งหมดตั้งแต่ DuckDNS, Backblaze B2 และ VPS ราคาถูกของ IONOS ในเบอร์ลิน เขาทำผิดพลาดหลายครั้ง ทั้งเปิดเผย home directory ถึง 5 ครั้ง ตั้งชื่อ storage bucket ตามแฮนเดิลของตัวเอง และทิ้งไฟล์ทดสอบ keylogger ที่บันทึกการพิมพ์ของตัวเองไว้ในแพ็กเกจ แม้จะล้มเหลวในการโจมตีราวครึ่งหนึ่ง แต่สามารถเจาะเข้าเครื่องได้ 4 เครื่อง
การโจมตีเริ่มจากมัลแวร์ที่ทำงานเกือบทั้งหมดในหน่วยความจำ โดยใช้ VBScript stager ที่มีกลไกหลบ sandbox จากนั้นถอดรหัส PowerShell loader ซึ่งดาวน์โหลด .NET loader เพื่อรัน Havoc Demon agent โดยไม่ทิ้งไฟล์ลงดิสก์ สำหรับการยกระดับสิทธิ์ เขาใช้ Start-Process -Verb RunAs ซึ่งจะแสดงหน้าต่าง UAC ให้ผู้ใช้กด Yes โดยบนเครื่องเหยื่อบางเครื่องต้องลองถึง 12 ครั้งตลอด 2 วันกว่าจะสำเร็จ หลังจากนั้นเขาตั้ง scheduled task ที่รันด้วยสิทธิ์สูงสุดทุกครั้งที่ล็อกอิน ฉีด shellcode เข้า Explorer.exe สร้าง RustDesk เป็นช่องทางสำรอง และวาง keylogger ที่เป็นสคริปต์ Python 70 บรรทัดซึ่งบันทึกการกดแป้นลงไฟล์ในเครื่องโดยไม่มี beacon หรือเซิร์ฟเวอร์รับข้อมูล โดย Poisson จะล็อกอินเข้ามาหยิบไฟล์ด้วยตัวเอง และใช้คำสั่ง powercfg ป้องกันไม่ให้เครื่องเข้าสู่โหมด sleep
วิธีการโจมตี
จุดเปลี่ยนสำคัญของปฏิบัติการนี้เกิดขึ้นในวันที่ 7 เมษายน เมื่อ Poisson ใช้เวลา 5 ชั่วโมงในช่วงกลางคืนติดตั้ง OpenSSH Server และ Tailscale บนเครื่องเหยื่อ จากนั้นเชื่อมเครื่องดังกล่าวเข้ากับเครือข่าย Tailscale ส่วนตัวของเขา พร้อมตั้งค่า key-based SSH authentication และ reverse tunnel ทำให้เขาสามารถเข้าถึงเครื่องเหยื่อผ่านเครือข่ายเข้ารหัสของ Tailscale ได้โดยไม่ต้องพึ่ง C2 และไม่มีพอร์ตเปิดให้ตรวจจับจากภายนอก วันถัดมาเซิร์ฟเวอร์ Havoc C2 ก็ออฟไลน์ แต่ช่องทาง Tailscale อยู่บนเครือข่ายแยกต่างหาก ทำให้การเข้าถึงไม่ได้รับผลกระทบ
เมื่อ C2 กลับมาออนไลน์ในวันที่ 26 เมษายน agent ของ Havoc บนเครื่องเหยื่อก็เชื่อมต่อกลับโดยอัตโนมัติ ในช่วง 5 วันสุดท้ายเขารันคำสั่งอีก 145 คำสั่ง ตรวจสอบ smart-card และ certificate stores ซึ่งบ่งชี้ว่าเขาอาจเล็งการล็อกอินแบบ certificate-based รันไฟล์ปริศนา 2 ไฟล์จากแพ็กเกจชื่อ Thales.zip นานราว 32 นาที จากนั้นลบไฟล์ 17 ไฟล์และหยุดปฏิบัติการในวันที่ 1 พฤษภาคม เป้าหมายของ Poisson ค่อนข้างแคบ ไม่มีการใช้ Mimikatz ไม่มีการเคลื่อนย้ายภายในเครือข่าย ไม่มี ransomware และไม่พบว่าเขาขโมยเอกสารที่เรียกดู ตั้งแต่เอกสารภาษีไปจนถึงประกัน เขาต้องการเพียงสิ่งที่คนพิมพ์ ได้แก่ข้อมูลล็อกอินธนาคาร รหัสผ่านอีเมล และ credential ของเว็บไซต์หน่วยงานรัฐ ซึ่งสำหรับเจ้าของธุรกิจขนาดเล็กแล้วนั่นหมายถึงความเสียหายทางการเงินโดยตรง
เทคนิคที่ Poisson ใช้ไม่ใช่ของใหม่ กลุ่ม APT31 ของจีนเคยใช้ Tailscale ตลอดปี 2024–2025 เพื่อสร้าง tunnel ออกจากบริษัทไอทีในรัสเซีย กลุ่ม Scattered Spider ใช้เครื่องมือ remote access ที่ถูกกฎหมายอย่าง Ngrok และ Fleetdeck ส่วน RustDesk ซึ่ง Poisson ใช้เป็นช่องทางสำรองก็ปรากฏในปฏิบัติการของกลุ่ม Akira ransomware เมื่อไม่นานมานี้ เนื่องจากเครื่องมือเหล่านี้เป็นซอฟต์แวร์ที่มีลายเซ็นดิจิทัลถูกต้อง การตรวจจับที่อาศัยเพียงการบล็อกไฟล์อันตรายจึงไม่สามารถจับได้
ผลกระทบต่อไทย
แม้เหตุการณ์นี้เกิดขึ้นกับธุรกิจในฝรั่งเศส แต่เทคนิคที่ใช้มีความเกี่ยวข้องกับไทยโดยตรง เนื่องจาก Tailscale, OpenSSH และ RustDesk ล้วนเป็นซอฟต์แวร์ที่ถูกต้องตามกฎหมายและมีการใช้งานอย่างแพร่หลายในองค์กรไทย ทำให้การตรวจจับยากมากหากอาศัยเพียงการบล็อกไฟล์อันตราย ธุรกิจ SME ในไทยที่มักไม่มีระบบ EDR หรือทีม SOC จะมีความเสี่ยงสูงต่อการถูกโจมตีในลักษณะเดียวกัน เนื่องจากไม่มีระบบตรวจจับพฤติกรรมผิดปกติ และบทเรียนสำคัญคือการปิดเซิร์ฟเวอร์ C2 เพียงอย่างเดียวไม่ใช่การแก้ไขปัญหาที่แท้จริง หากผู้โจมตีได้สร้างช่องทาง persistence อื่นไว้แล้ว
คำแนะนำ
องค์กรควรตั้งค่าแจ้งเตือนเมื่อมีการติดตั้ง OpenSSH Server บนเครื่อง Windows workstation ซึ่งโดยปกติไม่ค่อยมีเหตุผลที่ถูกต้อง และเฝ้าระวัง tailscale.exe บนเครื่องที่ไม่มีความจำเป็นต้องใช้ VPN ตรวจจับ reverse tunnel ด้วยการ monitor คำสั่ง ssh -R ที่ชี้ไปยังโฮสต์ภายนอก เฝ้าระวัง wscript.exe ที่รันไฟล์ .vbs จากโฟลเดอร์ staging ของผู้ใช้ และตรวจสอบ scheduled task ที่ตั้งค่าสิทธิ์สูงสุดซึ่งเรียกใช้ script interpreter ควรตรวจจับการเปลี่ยนแปลงค่า powercfg standby-timeout ที่ป้องกันไม่ให้เครื่องเข้า sleep และบล็อก DuckDNS ในระดับเครือข่าย สิ่งสำคัญที่สุดคือเมื่อพบเซิร์ฟเวอร์ C2 ให้สันนิษฐานว่ามีช่องทาง persistence อื่นซ่อนอยู่เสมอ และต้อง hunt หา persistence layer ที่อยู่เบื้องหลังด้วย
