สรุปสั้น
นักวิจัยจากบริษัท Huntress ค้นพบแคมเปญโจมตีที่ใช้เทคนิค ClickFix ซึ่งเป็น social engineering ที่หลอกให้ผู้ใช้กด Win+R แล้ววางคำสั่งลงใน Windows Run dialog ด้วยตัวเอง คำสั่งดังกล่าวใช้ pcalua.exe ซึ่งเป็นยูทิลิตีของ Windows เป็นตัวกลางดาวน์โหลดและติดตั้ง MSI package แบบเงียบ ๆ โดย MSI จะวาง loader ที่นักวิจัยตั้งชื่อว่า “Potemkin” ซึ่งใช้ Domain Generation Algorithm (DGA) สร้างโดเมนผู้สมัคร 10,000 รายการจาก word list ที่ฝังไว้ และลองเชื่อมต่อทีละโดเมนจนกว่าจะเจอเซิร์ฟเวอร์ C2 ที่ใช้งานได้ เมื่อเชื่อมต่อสำเร็จ Potemkin จะโหลด RMMProject RAT ขนาด 4.4 MB เข้าหน่วยความจำแบบ reflective loading ซึ่งรองรับ 15 ประเภทงานรวมถึงการขโมย credential จากเบราว์เซอร์และ hidden remote desktop
นอกจากนี้ผู้โจมตียังติดตั้ง EtherRAT ซึ่งเป็น backdoor ที่เขียนด้วย Node.js และดึงที่อยู่เซิร์ฟเวอร์ C2 จาก smart contract บน Ethereum blockchain ทำให้การ takedown ด้วยวิธีดั้งเดิมทำได้ยากมาก ผู้โจมตีที่เป็นมนุษย์เข้าควบคุมโดยตรงและเคลื่อนย้ายภายในเครือข่ายด้วย WMIExec และ SMBExec จนแพร่กระจาย EtherRAT ไปกว่า 11 เครื่อง พร้อมปิด Windows Defender ตลอดทาง
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 17 มิถุนายน พ.ศ. 2569 ว่า บริษัท Huntress ตรวจพบแคมเปญโจมตีที่ใช้เทคนิค ClickFix ในเดือนพฤษภาคม 2569 โดยติดตามจาก endpoint เครื่องเดียวที่ไม่มี agent ติดตั้ง จนกระทั่งพบการบุกรุกแบบ hands-on-keyboard เต็มรูปแบบที่แพร่กระจายข้ามเครือข่ายขององค์กรเหยื่อ ผู้โจมตีเริ่มดำเนินการมาระยะหนึ่งก่อนที่ใครจะรู้ตัว เนื่องจากเครื่องต้นทางไม่มี endpoint agent
การติดมัลแวร์เริ่มจากผู้ใช้เข้าเว็บไซต์ที่ถูกยึด ซึ่งแสดงข้อความหลอกเป็นคำแนะนำแก้ปัญหา บอกให้กด Win+R แล้ววางคำสั่งลงไป คำสั่งดังกล่าวใช้ pcalua.exe เป็นตัวกลาง proxy mshta.exe เพื่อดึงไฟล์ HTA จากโดเมน cl.distritovagas[.]com จากนั้น HTA payload ดาวน์โหลด MSI installer ชื่อ inst24.msi จากเซิร์ฟเวอร์ของผู้โจมตีและรันโดยไม่แสดง prompt ใด ๆ ทั้งสิ้น MSI วาง Potemkin loader ลงในโฟลเดอร์ AppData ของผู้ใช้และลงทะเบียน registry key ใน HKCU\...\Run\RunSearch เพื่อให้ทำงานทุกครั้งที่รีบูต
Potemkin เป็น loader ที่สร้างมาเพื่อจุดประสงค์เดียว คือใช้ DGA สร้างโดเมนผู้สมัคร 10,000 รายการจาก word list ที่ฝังไว้ แล้วลองเชื่อมต่อทีละโดเมนจนกว่าจะเจอเซิร์ฟเวอร์ C2 ที่ทำงานอยู่ เมื่อเชื่อมต่อได้ มันจะดึง RMMProject RAT ขนาด 4.4 MB มาโหลดเข้าหน่วยความจำแบบ reflective loading โดย RMMProject รองรับ 15 ประเภทงาน ครอบคลุมทั้งการขโมย credential และ cookie จาก Chrome, Firefox และ Edge, hidden remote desktop module และ process injection ห้าชั่วโมงหลังจากนั้น ผู้โจมตีวาง EtherRAT และตั้ง Cloudflare tunnel โดยใช้สำเนา cloudflared ที่เปลี่ยนชื่อแล้ว เพื่อสร้างช่องทางเข้าถึงจากอินเทอร์เน็ตอย่างถาวร
เมื่อเข้าระบบได้แล้ว ผู้โจมตีที่เป็นมนุษย์เข้าควบคุมโดยตรงและเริ่มเคลื่อนย้ายภายในเครือข่าย ใช้ Administrator credential ที่ได้มาร่วมกับเครื่องมือจากชุด Impacket โดยเคลื่อนย้ายไปยัง domain controller ผ่าน WMIExec และ SMBExec เป้าหมายคือแพร่กระจาย EtherRAT ไปยังเครื่องให้มากที่สุดพร้อมสร้าง fallback path หลายชั้น ตลอดการปฏิบัติการ ผู้โจมตีพยายามปิด Windows Defender อย่างเป็นระบบ โดยสลับใช้ AMSI patch, registry policy write, reflective in-memory loading และการเพิ่ม exclusion path ก่อนจะหยุดบริการ Defender โดยตรง นอกจากนี้ยังตั้ง reverse shell บนพอร์ต 43301 และ Chisel SOCKS tunnel หลายชั้นเพื่อสร้าง persistence ที่ทนทานต่อการตรวจจับ

วิธีการโจมตี
สิ่งที่ทำให้ EtherRAT โดดเด่นคือการใช้ Ethereum blockchain เป็นกลไกค้นหาเซิร์ฟเวอร์ C2 โดย backdoor จะอ่านที่อยู่ C2 จาก smart contract บน blockchain ทำให้ผู้ป้องกันไม่สามารถ takedown ด้วยการยึดโดเมนหรือ sinkhole ตามวิธีดั้งเดิมได้ เนื่องจากข้อมูลบน blockchain ไม่สามารถลบหรือแก้ไขได้ EtherRAT ใช้ Ethereum contract address 0xb3f2897f2bc797e5b9033faef8c81e92b01cb831 และ storage key 0x40b57c3622c1CbfD699207F71F2dE5A8Fe256893 ในการดึงที่อยู่ C2
ห่วงโซ่การโจมตีทั้งหมดมีหลายชั้น เริ่มจาก ClickFix prompt → HTA download → MSI installer → Potemkin loader (DGA 10,000 domains) → RMMProject RAT (reflective loading) → EtherRAT (blockchain C2) → Cloudflare tunnel → lateral movement ด้วย WMIExec/SMBExec → ปิด Defender → reverse shell + Chisel SOCKS tunnel ทุกขั้นตอนออกแบบมาเพื่อสร้าง redundancy หากช่องทางใดช่องทางหนึ่งถูกตรวจจับ ผู้โจมตียังมีช่องทางอื่นสำรองอยู่
ผลกระทบต่อไทย
เทคนิค ClickFix เป็นภัยคุกคามที่มีประสิทธิภาพสูงต่อผู้ใช้ในไทย เนื่องจากอาศัยการหลอกให้ผู้ใช้ทำตามคำสั่งที่ดูเหมือนขั้นตอนแก้ปัญหาทั่วไป ซึ่งไม่จำเป็นต้องมี exploit ทางเทคนิคใด ๆ และผู้ใช้ที่ไม่ได้รับการฝึกอบรมด้านความปลอดภัยมีโอกาสตกเป็นเหยื่อสูง การใช้ Ethereum blockchain เป็น C2 resolver ยังทำให้การตอบสนองต่อเหตุการณ์ยากขึ้นมาก เนื่องจากไม่สามารถใช้วิธี domain takedown แบบดั้งเดิมได้ องค์กรในไทยที่ใช้ Cloudflare tunnel ในงานปกติจะต้องมีระบบแยกแยะการใช้งานที่ถูกต้องออกจากการใช้งานโดยผู้โจมตี
คำแนะนำ
องค์กรควรตรวจสอบ endpoint coverage ทันที เนื่องจากการบุกรุกทั้งหมดเริ่มจากเครื่องที่ไม่มี monitoring agent ติดตั้ง การปิด Windows Run dialog ผ่าน Group Policy จะลบจุดเข้าของ ClickFix ได้ เพราะการโจมตีอาศัยให้ผู้ใช้วางคำสั่งลงในหน้าต่างนั้นโดยเฉพาะ ทีมรักษาความปลอดภัยควรตั้งแจ้งเตือนเมื่อพบ cloudflared หรือสำเนาที่เปลี่ยนชื่อบน endpoint และถือว่าคำสั่ง Stop-Service WinDefend ร่วมกับการเพิ่ม Add-MpPreference exclusion จำนวนมากเป็นสัญญาณภัยคุกคามระดับสูง
Indicators of Compromise (IoCs)
| ประเภท | ค่า | รายละเอียด |
|---|---|---|
| SHA256 | 2abe5dd3a057fdef935722e50e9251c272d29fd26113187b853a1f9a9cb89d9b | Potemkin Loader (RunSearch.exe) |
| SHA256 | 3b7ae925e2d64522b4f69b56285b05aeca8c5aab5ab46a9c02c4fafb69d881ce | RMMProject RAT (avast_update.bin) |
| SHA256 | cd4e5e2c65b1660470d3446539ee68adf5faeece3eaeb46583623be9911ee145 | ABE helper DLL ที่ฝังใน RMMProject |
| SHA256 | 79f7b67ce8b39070f3e1c2b90fce0ce84134782a7dedcccc1edac197ee9e089b | inst24.msi — MSI installer ที่วาง Potemkin |
| SHA256 | 2ada24dd6e517f37942b749c2bd57ddd97445e9853002cee70a0bc30d0b0ce3a | cons_1.0.1.msi — MSI ที่ส่ง EtherRAT |
| IP | 77.110.122[.]58 | C2 หลักและ staging server |
| IP | 213.165.41[.]26 | Chisel reverse SOCKS server |
| Domain | cl.distritovagas[.]com | โดเมนส่ง HTA ของ ClickFix |
| Domain | sonra.eutialyson[.]com | โดเมนดาวน์โหลด MSI |
| Domain | anus-staylard[.]xyz | C2 ของ Potemkin และ RMMProject |
| Domain | resumeacceptable[.]com | C2 ของ EtherRAT (ดึงจาก blockchain) |
| Ethereum | 0xb3f2897f2bc797e5b9033faef8c81e92b01cb831 | EtherRAT contract address |
