สรุปสั้น

นักวิจัยจากบริษัท Huntress ค้นพบแคมเปญโจมตีที่ใช้เทคนิค ClickFix ซึ่งเป็น social engineering ที่หลอกให้ผู้ใช้กด Win+R แล้ววางคำสั่งลงใน Windows Run dialog ด้วยตัวเอง คำสั่งดังกล่าวใช้ pcalua.exe ซึ่งเป็นยูทิลิตีของ Windows เป็นตัวกลางดาวน์โหลดและติดตั้ง MSI package แบบเงียบ ๆ โดย MSI จะวาง loader ที่นักวิจัยตั้งชื่อว่า “Potemkin” ซึ่งใช้ Domain Generation Algorithm (DGA) สร้างโดเมนผู้สมัคร 10,000 รายการจาก word list ที่ฝังไว้ และลองเชื่อมต่อทีละโดเมนจนกว่าจะเจอเซิร์ฟเวอร์ C2 ที่ใช้งานได้ เมื่อเชื่อมต่อสำเร็จ Potemkin จะโหลด RMMProject RAT ขนาด 4.4 MB เข้าหน่วยความจำแบบ reflective loading ซึ่งรองรับ 15 ประเภทงานรวมถึงการขโมย credential จากเบราว์เซอร์และ hidden remote desktop

นอกจากนี้ผู้โจมตียังติดตั้ง EtherRAT ซึ่งเป็น backdoor ที่เขียนด้วย Node.js และดึงที่อยู่เซิร์ฟเวอร์ C2 จาก smart contract บน Ethereum blockchain ทำให้การ takedown ด้วยวิธีดั้งเดิมทำได้ยากมาก ผู้โจมตีที่เป็นมนุษย์เข้าควบคุมโดยตรงและเคลื่อนย้ายภายในเครือข่ายด้วย WMIExec และ SMBExec จนแพร่กระจาย EtherRAT ไปกว่า 11 เครื่อง พร้อมปิด Windows Defender ตลอดทาง

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 17 มิถุนายน พ.ศ. 2569 ว่า บริษัท Huntress ตรวจพบแคมเปญโจมตีที่ใช้เทคนิค ClickFix ในเดือนพฤษภาคม 2569 โดยติดตามจาก endpoint เครื่องเดียวที่ไม่มี agent ติดตั้ง จนกระทั่งพบการบุกรุกแบบ hands-on-keyboard เต็มรูปแบบที่แพร่กระจายข้ามเครือข่ายขององค์กรเหยื่อ ผู้โจมตีเริ่มดำเนินการมาระยะหนึ่งก่อนที่ใครจะรู้ตัว เนื่องจากเครื่องต้นทางไม่มี endpoint agent

การติดมัลแวร์เริ่มจากผู้ใช้เข้าเว็บไซต์ที่ถูกยึด ซึ่งแสดงข้อความหลอกเป็นคำแนะนำแก้ปัญหา บอกให้กด Win+R แล้ววางคำสั่งลงไป คำสั่งดังกล่าวใช้ pcalua.exe เป็นตัวกลาง proxy mshta.exe เพื่อดึงไฟล์ HTA จากโดเมน cl.distritovagas[.]com จากนั้น HTA payload ดาวน์โหลด MSI installer ชื่อ inst24.msi จากเซิร์ฟเวอร์ของผู้โจมตีและรันโดยไม่แสดง prompt ใด ๆ ทั้งสิ้น MSI วาง Potemkin loader ลงในโฟลเดอร์ AppData ของผู้ใช้และลงทะเบียน registry key ใน HKCU\...\Run\RunSearch เพื่อให้ทำงานทุกครั้งที่รีบูต

Potemkin เป็น loader ที่สร้างมาเพื่อจุดประสงค์เดียว คือใช้ DGA สร้างโดเมนผู้สมัคร 10,000 รายการจาก word list ที่ฝังไว้ แล้วลองเชื่อมต่อทีละโดเมนจนกว่าจะเจอเซิร์ฟเวอร์ C2 ที่ทำงานอยู่ เมื่อเชื่อมต่อได้ มันจะดึง RMMProject RAT ขนาด 4.4 MB มาโหลดเข้าหน่วยความจำแบบ reflective loading โดย RMMProject รองรับ 15 ประเภทงาน ครอบคลุมทั้งการขโมย credential และ cookie จาก Chrome, Firefox และ Edge, hidden remote desktop module และ process injection ห้าชั่วโมงหลังจากนั้น ผู้โจมตีวาง EtherRAT และตั้ง Cloudflare tunnel โดยใช้สำเนา cloudflared ที่เปลี่ยนชื่อแล้ว เพื่อสร้างช่องทางเข้าถึงจากอินเทอร์เน็ตอย่างถาวร

เมื่อเข้าระบบได้แล้ว ผู้โจมตีที่เป็นมนุษย์เข้าควบคุมโดยตรงและเริ่มเคลื่อนย้ายภายในเครือข่าย ใช้ Administrator credential ที่ได้มาร่วมกับเครื่องมือจากชุด Impacket โดยเคลื่อนย้ายไปยัง domain controller ผ่าน WMIExec และ SMBExec เป้าหมายคือแพร่กระจาย EtherRAT ไปยังเครื่องให้มากที่สุดพร้อมสร้าง fallback path หลายชั้น ตลอดการปฏิบัติการ ผู้โจมตีพยายามปิด Windows Defender อย่างเป็นระบบ โดยสลับใช้ AMSI patch, registry policy write, reflective in-memory loading และการเพิ่ม exclusion path ก่อนจะหยุดบริการ Defender โดยตรง นอกจากนี้ยังตั้ง reverse shell บนพอร์ต 43301 และ Chisel SOCKS tunnel หลายชั้นเพื่อสร้าง persistence ที่ทนทานต่อการตรวจจับ

แคมเปญ ClickFix ติดตั้ง Potemkin Loader และ EtherRAT แพร่กระจายในเครือข่ายผ่าน hands-on-keyboard attack

วิธีการโจมตี

สิ่งที่ทำให้ EtherRAT โดดเด่นคือการใช้ Ethereum blockchain เป็นกลไกค้นหาเซิร์ฟเวอร์ C2 โดย backdoor จะอ่านที่อยู่ C2 จาก smart contract บน blockchain ทำให้ผู้ป้องกันไม่สามารถ takedown ด้วยการยึดโดเมนหรือ sinkhole ตามวิธีดั้งเดิมได้ เนื่องจากข้อมูลบน blockchain ไม่สามารถลบหรือแก้ไขได้ EtherRAT ใช้ Ethereum contract address 0xb3f2897f2bc797e5b9033faef8c81e92b01cb831 และ storage key 0x40b57c3622c1CbfD699207F71F2dE5A8Fe256893 ในการดึงที่อยู่ C2

ห่วงโซ่การโจมตีทั้งหมดมีหลายชั้น เริ่มจาก ClickFix prompt → HTA download → MSI installer → Potemkin loader (DGA 10,000 domains) → RMMProject RAT (reflective loading) → EtherRAT (blockchain C2) → Cloudflare tunnel → lateral movement ด้วย WMIExec/SMBExec → ปิด Defender → reverse shell + Chisel SOCKS tunnel ทุกขั้นตอนออกแบบมาเพื่อสร้าง redundancy หากช่องทางใดช่องทางหนึ่งถูกตรวจจับ ผู้โจมตียังมีช่องทางอื่นสำรองอยู่

ผลกระทบต่อไทย

เทคนิค ClickFix เป็นภัยคุกคามที่มีประสิทธิภาพสูงต่อผู้ใช้ในไทย เนื่องจากอาศัยการหลอกให้ผู้ใช้ทำตามคำสั่งที่ดูเหมือนขั้นตอนแก้ปัญหาทั่วไป ซึ่งไม่จำเป็นต้องมี exploit ทางเทคนิคใด ๆ และผู้ใช้ที่ไม่ได้รับการฝึกอบรมด้านความปลอดภัยมีโอกาสตกเป็นเหยื่อสูง การใช้ Ethereum blockchain เป็น C2 resolver ยังทำให้การตอบสนองต่อเหตุการณ์ยากขึ้นมาก เนื่องจากไม่สามารถใช้วิธี domain takedown แบบดั้งเดิมได้ องค์กรในไทยที่ใช้ Cloudflare tunnel ในงานปกติจะต้องมีระบบแยกแยะการใช้งานที่ถูกต้องออกจากการใช้งานโดยผู้โจมตี

คำแนะนำ

องค์กรควรตรวจสอบ endpoint coverage ทันที เนื่องจากการบุกรุกทั้งหมดเริ่มจากเครื่องที่ไม่มี monitoring agent ติดตั้ง การปิด Windows Run dialog ผ่าน Group Policy จะลบจุดเข้าของ ClickFix ได้ เพราะการโจมตีอาศัยให้ผู้ใช้วางคำสั่งลงในหน้าต่างนั้นโดยเฉพาะ ทีมรักษาความปลอดภัยควรตั้งแจ้งเตือนเมื่อพบ cloudflared หรือสำเนาที่เปลี่ยนชื่อบน endpoint และถือว่าคำสั่ง Stop-Service WinDefend ร่วมกับการเพิ่ม Add-MpPreference exclusion จำนวนมากเป็นสัญญาณภัยคุกคามระดับสูง

Indicators of Compromise (IoCs)

ประเภทค่ารายละเอียด
SHA2562abe5dd3a057fdef935722e50e9251c272d29fd26113187b853a1f9a9cb89d9bPotemkin Loader (RunSearch.exe)
SHA2563b7ae925e2d64522b4f69b56285b05aeca8c5aab5ab46a9c02c4fafb69d881ceRMMProject RAT (avast_update.bin)
SHA256cd4e5e2c65b1660470d3446539ee68adf5faeece3eaeb46583623be9911ee145ABE helper DLL ที่ฝังใน RMMProject
SHA25679f7b67ce8b39070f3e1c2b90fce0ce84134782a7dedcccc1edac197ee9e089binst24.msi — MSI installer ที่วาง Potemkin
SHA2562ada24dd6e517f37942b749c2bd57ddd97445e9853002cee70a0bc30d0b0ce3acons_1.0.1.msi — MSI ที่ส่ง EtherRAT
IP77.110.122[.]58C2 หลักและ staging server
IP213.165.41[.]26Chisel reverse SOCKS server
Domaincl.distritovagas[.]comโดเมนส่ง HTA ของ ClickFix
Domainsonra.eutialyson[.]comโดเมนดาวน์โหลด MSI
Domainanus-staylard[.]xyzC2 ของ Potemkin และ RMMProject
Domainresumeacceptable[.]comC2 ของ EtherRAT (ดึงจาก blockchain)
Ethereum0xb3f2897f2bc797e5b9033faef8c81e92b01cb831EtherRAT contract address

แหล่งอ้างอิง