สรุปสั้น
นักวิจัยจากบริษัท Synaptic Security ค้นพบมัลแวร์คลัสเตอร์ใหม่ที่ชื่อ GhostShell ซึ่งกำลังพุ่งเป้าโจมตีปฏิบัติการโดรนของยูเครนและซัพพลายเชนด้านกลาโหมในวงกว้างอย่างจริงจัง โดยตั้งรหัสติดตามให้คลัสเตอร์นี้ว่า MB-0009 ปฏิบัติการดังกล่าวใช้เทคนิคที่ซับซ้อนผสมผสานกัน ทั้งการฝัง implant ที่สื่อสารด้วย mutual TLS (mTLS) และการใช้ช่อง Telegram เป็น dead-drop resolver เพื่อแอบฝังตัวอยู่ในเครือข่ายเป้าหมายอย่างเงียบเชียบ ผู้อยู่เบื้องหลังเริ่มเคลื่อนไหวมาตั้งแต่อย่างน้อยเดือนกุมภาพันธ์ พ.ศ. 2569 และวิธีการบ่งชี้ว่ามีการมุ่งเป้าองค์กรที่เกี่ยวข้องกับเทคโนโลยีอากาศยานไร้คนขับ (UAV) ของยูเครนอย่างจงใจ มัลแวร์เดินทางมาในรูปไฟล์บีบอัดที่ถูกวางกับดักชื่อ Besomar_documentation.rar ซึ่งใช้ช่องโหว่การจัดการไฟล์บีบอัดสองรายการคือ CVE-2025-8088 และ CVE-2025-6218 เมื่อเปิดไฟล์ มันจะวางสคริปต์มุ่งร้ายลงในโฟลเดอร์ Startup ของ Windows อย่างเงียบ ๆ เพื่อให้มัลแวร์ทำงานทุกครั้งที่เปิดเครื่อง พร้อมกับมีไฟล์ PDF ตัวล่อปลอมเป็นเอกสารของบริษัท Besomar ผู้ผลิตโดรนปีกตรึงความแม่นยำสูงของยูเครน เอกสารตัวล่อถูกออกแบบให้ครอบคลุมหน่วยทหาร เจ้าหน้าที่เทคนิค ฝ่ายจัดซื้อ และองค์กรอาสาสมัคร สะท้อนว่าผู้โจมตีสนใจซัพพลายเชนทั้งระบบที่สนับสนุนการใช้งานโดรน ไม่ใช่แค่ผู้ปฏิบัติงานรายบุคคล
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 24 มิถุนายน พ.ศ. 2569 ว่านักวิจัยจากบริษัท Synaptic Security ได้เผยแพร่รายงานเชิงลึกที่แบ่งปันกับ Cyber Security News (CSN) เกี่ยวกับการติดตามมัลแวร์คลัสเตอร์ใหม่ชื่อ GhostShell ที่กำหนดรหัสว่า MB-0009 ซึ่งกำลังโจมตีอุตสาหกรรมโดรนของยูเครนอยู่ในขณะนี้
มัลแวร์เริ่มจากไฟล์บีบอัด Besomar_documentation.rar ที่ใช้ช่องโหว่ในการจัดการไฟล์บีบอัดเพื่อวางสคริปต์ลงโฟลเดอร์ Startup โดยไม่ต้องอาศัยการกระทำพิเศษใด ๆ นอกจากการเปิดไฟล์ จากนั้นสคริปต์จะดาวน์โหลด payload สามตัวจากโดเมนส่งมอบที่จดทะเบียนเมื่อเดือนกุมภาพันธ์ พ.ศ. 2569 โดยแต่ละ payload ใช้ผู้รับจดทะเบียน (registrar) และผู้ให้บริการโฮสติงต่างกัน เป็นการเลือกอย่างจงใจเพื่อหลีกเลี่ยงการถูกตัดวงจรที่จุดเดียว
มัลแวร์ส่ง payload สามตัวที่แตกต่างกันหลังสคริปต์เริ่มต้นทำงาน แต่ละตัวมีเส้นทางการติดต่อกลับไปยังผู้โจมตีที่ต่างกัน payload หนึ่งจะตั้ง implant ที่ฝังตัวถาวร อีกตัวใช้ช่อง Telegram เป็น resolver แบบสดเพื่อดึงที่อยู่เซิร์ฟเวอร์ของผู้โจมตี และตัวที่สามทำอุโมงค์ส่งข้อมูลที่ขโมยมาผ่าน proxy ที่เข้ารหัส การใช้ช่องทางการสื่อสารแยกกันเช่นนี้ทำให้ฝ่ายป้องกันตัดการเข้าถึงทั้งหมดในคราวเดียวได้ยากขึ้น บ่งชี้ว่าเป็นปฏิบัติการที่วางแผนมาอย่างรอบคอบ

วิธีการโจมตี
payload ตัวแรกชื่อ 122.exe ทำหน้าที่เป็น loader ที่ถอดรหัสและรัน implant ขั้นที่ 2 โดยตรงในหน่วยความจำ โดยไม่เขียนสิ่งใดที่มองเห็นได้ลงดิสก์ implant ตัวนี้สื่อสารกับเซิร์ฟเวอร์คำสั่งผ่าน HTTPS และยืนยันตัวตนด้วยใบรับรองไคลเอนต์ (client certificate) ที่ออกโดยผู้ออกใบรับรองส่วนตัวชื่อ “GhostShell Implant CA” การใช้ mutual TLS แบบนี้หมายความว่าเซิร์ฟเวอร์จะตอบสนองเฉพาะการเชื่อมต่อที่มีใบรับรองถูกต้องเท่านั้น ปิดกั้นความพยายามตรวจสอบหรือดักจับการสื่อสารจากภายนอก
payload ตัวที่สองชื่อ update.exe ปลอมตัวเป็นบริการ Windows Security Health Service และใช้ช่อง Telegram ที่ t.me/flufff6262 เป็น dead-drop resolver โดยจะดึงค่าที่เข้ารหัสจากช่องนั้น ถอดรหัสเพื่อให้ได้ที่อยู่เซิร์ฟเวอร์สดของผู้โจมตี แล้วฉีด shellcode ที่เชื่อมต่อกลับผ่าน HTTPS การเก็บที่อยู่เซิร์ฟเวอร์ไว้บน Telegram ทำให้ผู้โจมตีสามารถสับเปลี่ยนปลายทางได้โดยไม่ต้องสร้างหรือติดตั้งใหม่ ส่วน payload ตัวที่สามชื่อ 22.exe เป็น launcher ที่เขียนด้วยภาษา Go ซึ่งห่อ tunneling client ไว้เต็มรูปแบบ มันตั้งการเชื่อมต่อ proxy ที่เข้ารหัสและส่ง Vidar v2 ซึ่งเป็น infostealer ที่รู้จักกันดี ทำงานในหน่วยความจำทั้งหมด Vidar สามารถเก็บเกี่ยวรหัสผ่านเบราว์เซอร์ คุกกี้ ข้อมูลกระเป๋าคริปโต ไฟล์แอปส่งข้อความ และภาพหน้าจอ แล้วส่งออกไปผ่านอุโมงค์เข้ารหัสในลักษณะที่ตรวจจับได้ยากบนเครือข่าย ทีมนักวิจัยแนะนำให้ฝ่ายความปลอดภัยมองหาใบรับรองไคลเอนต์ mTLS ที่มี issuer string “GhostShell Implant CA” ในการสื่อสารที่ดักจับได้ เนื่องจากค่านี้เป็นจุดยึดในการตรวจจับที่เชื่อถือได้ตลอดทุกตัวอย่างในอนาคตที่ผูกกับคลัสเตอร์นี้
ผลกระทบต่อไทย
แม้ปฏิบัติการ GhostShell จะมุ่งเป้าซัพพลายเชนกลาโหมและอุตสาหกรรมโดรนของยูเครนโดยเฉพาะ แต่เทคนิคที่ใช้ถือเป็นบทเรียนสำคัญสำหรับองค์กรไทย โดยเฉพาะการใช้ช่องโหว่ในโปรแกรมบีบอัดไฟล์ (CVE-2025-8088 และ CVE-2025-6218) เพื่อฝังมัลแวร์ผ่านไฟล์ RAR ที่ดูเหมือนเอกสารธุรกิจปกติ ซึ่งเป็นเทคนิคที่ใช้โจมตีได้กับทุกองค์กรทั่วโลก นอกจากนี้การใช้ Telegram เป็น dead-drop resolver และการสื่อสารผ่าน mTLS ยังเป็นแนวโน้มที่ทำให้การตรวจจับยากขึ้นมาก หน่วยงานด้านกลาโหม อุตสาหกรรมป้องกันประเทศ และผู้ผลิตเทคโนโลยี UAV ของไทยควรระมัดระวังเป็นพิเศษ เพราะภาคส่วนเหล่านี้เป็นเป้าหมายที่มีมูลค่าสูงสำหรับการจารกรรมจากรัฐชาติ
คำแนะนำ
องค์กรที่ทำงานในหรือเกี่ยวข้องกับภาคกลาโหมควรปฏิบัติต่อไฟล์บีบอัดที่ไม่คาดคิดด้วยความระมัดระวัง โดยเฉพาะไฟล์ที่อ้างอิงถึงฮาร์ดแวร์โดรนหรือเอกสารจัดซื้อ ควรอัปเดตโปรแกรมบีบอัดไฟล์ (เช่น WinRAR/7-Zip) ให้เป็นเวอร์ชันล่าสุดเพื่อปิดช่องโหว่ CVE-2025-8088 และ CVE-2025-6218 การบล็อกการเข้าถึงโดเมนที่จดทะเบียนใหม่ที่ขอบเขตเครือข่ายจะช่วยลดความเสี่ยงจากการส่งมอบแบบหลายขั้นตอนนี้ ทีมความปลอดภัยควรมองหาใบรับรองไคลเอนต์ mTLS ที่มี issuer “GhostShell Implant CA” รวมถึงตรวจสอบไฟล์ในโฟลเดอร์ Startup และนำ IoCs ด้านล่างไปใช้ในการตรวจจับ
Indicators of Compromise (IoCs)
| ประเภท | Indicator | คำอธิบาย |
|---|---|---|
| SHA-256 | 28f58061348a1c54fa6e7ff6618630259618d4afdf78514d5fccfc993797cdff | Besomar_documentation.rar – ไฟล์บีบอัดส่งมอบเริ่มต้น |
| SHA-256 | ab5681266f70af7df24383f15de876e411fc18e35cb6f24603b12f580b05ccb3 | 122.exe – XOR-overlay loader (Stage-1) |
| SHA-256 | 8de34006dafd990853a45cbe9aaab4ee18c8cd4c1ad0a98fe71f8d63cd60db25 | 22.exe – Go-based Xray/Vidar v2 launcher |
| SHA-256 | b1834634820ae696f0514ca2b6723061f115857232306e573f4d115bc6ead012 | update.exe – in-memory HTTPS stager |
| SHA-256 | 423c98b9a8ad09bbb0aa24e86c23095ef6a26e30b3db07358927929d2fb2ecb3 | client.key.pem – กุญแจส่วนตัวของ implant |
| SHA-256 | 1d6f3e8583ce84b892097a03b0d4525850f8d3c59dea56482f17e5c44422dc89 | client.cert.pem – ใบรับรองไคลเอนต์ mTLS |
| SHA-256 | c91874dc34e991e614060d6f16da7d4680e5eb7d36fba489644863f4c6c8cf66 | config.pfx – PKCS#12 container ที่สกัดจาก implant |
| SHA-256 | cff6007dbb9826d0a08865f47a71b31e90c5067c637ac863e360315da984f107 | MicrosoftUpdate-1.302.1609.vbs – สคริปต์ฝังตัวใน Startup |
| Domain | cloudaxis[.]cc | โดเมนส่งมอบ payload Stage-1 (จดทะเบียน ก.พ. 2026) |
| Domain | cdnexpress[.]cc | โดเมน C2 แบบ mTLS Stage-2 |
| IP Address | 154.58.204[.]149 | IP โฮสต์ของ cloudaxis.cc (Madrid/Cogent, AS214036 Ultahost) |
| IP Address | 5.252.177[.]88 | IP C2 ของ cdnexpress.cc (MivoCloud, AS39798) |
| IP Address | 5.181.156[.]168 | ปลายทางอุโมงค์ Xray VLESS พอร์ต 25475 (MivoCloud, AS39798) |
| IP Address | 86.54.25[.]2 | IP C2 Metasploit ที่ resolve ผ่าน Telegram dead-drop |
| URL | https://t[.]me/flufff6262 | ช่อง Telegram dead-drop ที่ใช้ resolve ที่อยู่ C2 สด |
| URL | https://cdnexpress[.]cc/analytics | endpoint beacon ของ implant Stage-2 |
| Certificate Issuer | CN=GhostShell Implant CA | ผู้ออกใบรับรอง CA ส่วนตัวที่ฝังใน C2 builder – จุด pivot หลักของคลัสเตอร์ |
| Certificate Subject | CN=ed6e62814295701f | ตัวระบุต่อ implant ที่ฝังในใบรับรองไคลเอนต์ mTLS |
หมายเหตุ: ที่อยู่ IP และโดเมนถูก defang ไว้โดยเจตนา (เช่น
[.]) เพื่อป้องกันการ resolve หรือสร้างลิงก์โดยไม่ตั้งใจ ให้ re-fang เฉพาะภายในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM เท่านั้น
