สรุปสั้น

นักวิจัยจากบริษัท Synaptic Security ค้นพบมัลแวร์คลัสเตอร์ใหม่ที่ชื่อ GhostShell ซึ่งกำลังพุ่งเป้าโจมตีปฏิบัติการโดรนของยูเครนและซัพพลายเชนด้านกลาโหมในวงกว้างอย่างจริงจัง โดยตั้งรหัสติดตามให้คลัสเตอร์นี้ว่า MB-0009 ปฏิบัติการดังกล่าวใช้เทคนิคที่ซับซ้อนผสมผสานกัน ทั้งการฝัง implant ที่สื่อสารด้วย mutual TLS (mTLS) และการใช้ช่อง Telegram เป็น dead-drop resolver เพื่อแอบฝังตัวอยู่ในเครือข่ายเป้าหมายอย่างเงียบเชียบ ผู้อยู่เบื้องหลังเริ่มเคลื่อนไหวมาตั้งแต่อย่างน้อยเดือนกุมภาพันธ์ พ.ศ. 2569 และวิธีการบ่งชี้ว่ามีการมุ่งเป้าองค์กรที่เกี่ยวข้องกับเทคโนโลยีอากาศยานไร้คนขับ (UAV) ของยูเครนอย่างจงใจ มัลแวร์เดินทางมาในรูปไฟล์บีบอัดที่ถูกวางกับดักชื่อ Besomar_documentation.rar ซึ่งใช้ช่องโหว่การจัดการไฟล์บีบอัดสองรายการคือ CVE-2025-8088 และ CVE-2025-6218 เมื่อเปิดไฟล์ มันจะวางสคริปต์มุ่งร้ายลงในโฟลเดอร์ Startup ของ Windows อย่างเงียบ ๆ เพื่อให้มัลแวร์ทำงานทุกครั้งที่เปิดเครื่อง พร้อมกับมีไฟล์ PDF ตัวล่อปลอมเป็นเอกสารของบริษัท Besomar ผู้ผลิตโดรนปีกตรึงความแม่นยำสูงของยูเครน เอกสารตัวล่อถูกออกแบบให้ครอบคลุมหน่วยทหาร เจ้าหน้าที่เทคนิค ฝ่ายจัดซื้อ และองค์กรอาสาสมัคร สะท้อนว่าผู้โจมตีสนใจซัพพลายเชนทั้งระบบที่สนับสนุนการใช้งานโดรน ไม่ใช่แค่ผู้ปฏิบัติงานรายบุคคล

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 24 มิถุนายน พ.ศ. 2569 ว่านักวิจัยจากบริษัท Synaptic Security ได้เผยแพร่รายงานเชิงลึกที่แบ่งปันกับ Cyber Security News (CSN) เกี่ยวกับการติดตามมัลแวร์คลัสเตอร์ใหม่ชื่อ GhostShell ที่กำหนดรหัสว่า MB-0009 ซึ่งกำลังโจมตีอุตสาหกรรมโดรนของยูเครนอยู่ในขณะนี้

มัลแวร์เริ่มจากไฟล์บีบอัด Besomar_documentation.rar ที่ใช้ช่องโหว่ในการจัดการไฟล์บีบอัดเพื่อวางสคริปต์ลงโฟลเดอร์ Startup โดยไม่ต้องอาศัยการกระทำพิเศษใด ๆ นอกจากการเปิดไฟล์ จากนั้นสคริปต์จะดาวน์โหลด payload สามตัวจากโดเมนส่งมอบที่จดทะเบียนเมื่อเดือนกุมภาพันธ์ พ.ศ. 2569 โดยแต่ละ payload ใช้ผู้รับจดทะเบียน (registrar) และผู้ให้บริการโฮสติงต่างกัน เป็นการเลือกอย่างจงใจเพื่อหลีกเลี่ยงการถูกตัดวงจรที่จุดเดียว

มัลแวร์ส่ง payload สามตัวที่แตกต่างกันหลังสคริปต์เริ่มต้นทำงาน แต่ละตัวมีเส้นทางการติดต่อกลับไปยังผู้โจมตีที่ต่างกัน payload หนึ่งจะตั้ง implant ที่ฝังตัวถาวร อีกตัวใช้ช่อง Telegram เป็น resolver แบบสดเพื่อดึงที่อยู่เซิร์ฟเวอร์ของผู้โจมตี และตัวที่สามทำอุโมงค์ส่งข้อมูลที่ขโมยมาผ่าน proxy ที่เข้ารหัส การใช้ช่องทางการสื่อสารแยกกันเช่นนี้ทำให้ฝ่ายป้องกันตัดการเข้าถึงทั้งหมดในคราวเดียวได้ยากขึ้น บ่งชี้ว่าเป็นปฏิบัติการที่วางแผนมาอย่างรอบคอบ

GhostShell malware mTLS implant Telegram dead-drop targets Ukrainian drone operations

วิธีการโจมตี

payload ตัวแรกชื่อ 122.exe ทำหน้าที่เป็น loader ที่ถอดรหัสและรัน implant ขั้นที่ 2 โดยตรงในหน่วยความจำ โดยไม่เขียนสิ่งใดที่มองเห็นได้ลงดิสก์ implant ตัวนี้สื่อสารกับเซิร์ฟเวอร์คำสั่งผ่าน HTTPS และยืนยันตัวตนด้วยใบรับรองไคลเอนต์ (client certificate) ที่ออกโดยผู้ออกใบรับรองส่วนตัวชื่อ “GhostShell Implant CA” การใช้ mutual TLS แบบนี้หมายความว่าเซิร์ฟเวอร์จะตอบสนองเฉพาะการเชื่อมต่อที่มีใบรับรองถูกต้องเท่านั้น ปิดกั้นความพยายามตรวจสอบหรือดักจับการสื่อสารจากภายนอก

payload ตัวที่สองชื่อ update.exe ปลอมตัวเป็นบริการ Windows Security Health Service และใช้ช่อง Telegram ที่ t.me/flufff6262 เป็น dead-drop resolver โดยจะดึงค่าที่เข้ารหัสจากช่องนั้น ถอดรหัสเพื่อให้ได้ที่อยู่เซิร์ฟเวอร์สดของผู้โจมตี แล้วฉีด shellcode ที่เชื่อมต่อกลับผ่าน HTTPS การเก็บที่อยู่เซิร์ฟเวอร์ไว้บน Telegram ทำให้ผู้โจมตีสามารถสับเปลี่ยนปลายทางได้โดยไม่ต้องสร้างหรือติดตั้งใหม่ ส่วน payload ตัวที่สามชื่อ 22.exe เป็น launcher ที่เขียนด้วยภาษา Go ซึ่งห่อ tunneling client ไว้เต็มรูปแบบ มันตั้งการเชื่อมต่อ proxy ที่เข้ารหัสและส่ง Vidar v2 ซึ่งเป็น infostealer ที่รู้จักกันดี ทำงานในหน่วยความจำทั้งหมด Vidar สามารถเก็บเกี่ยวรหัสผ่านเบราว์เซอร์ คุกกี้ ข้อมูลกระเป๋าคริปโต ไฟล์แอปส่งข้อความ และภาพหน้าจอ แล้วส่งออกไปผ่านอุโมงค์เข้ารหัสในลักษณะที่ตรวจจับได้ยากบนเครือข่าย ทีมนักวิจัยแนะนำให้ฝ่ายความปลอดภัยมองหาใบรับรองไคลเอนต์ mTLS ที่มี issuer string “GhostShell Implant CA” ในการสื่อสารที่ดักจับได้ เนื่องจากค่านี้เป็นจุดยึดในการตรวจจับที่เชื่อถือได้ตลอดทุกตัวอย่างในอนาคตที่ผูกกับคลัสเตอร์นี้

ผลกระทบต่อไทย

แม้ปฏิบัติการ GhostShell จะมุ่งเป้าซัพพลายเชนกลาโหมและอุตสาหกรรมโดรนของยูเครนโดยเฉพาะ แต่เทคนิคที่ใช้ถือเป็นบทเรียนสำคัญสำหรับองค์กรไทย โดยเฉพาะการใช้ช่องโหว่ในโปรแกรมบีบอัดไฟล์ (CVE-2025-8088 และ CVE-2025-6218) เพื่อฝังมัลแวร์ผ่านไฟล์ RAR ที่ดูเหมือนเอกสารธุรกิจปกติ ซึ่งเป็นเทคนิคที่ใช้โจมตีได้กับทุกองค์กรทั่วโลก นอกจากนี้การใช้ Telegram เป็น dead-drop resolver และการสื่อสารผ่าน mTLS ยังเป็นแนวโน้มที่ทำให้การตรวจจับยากขึ้นมาก หน่วยงานด้านกลาโหม อุตสาหกรรมป้องกันประเทศ และผู้ผลิตเทคโนโลยี UAV ของไทยควรระมัดระวังเป็นพิเศษ เพราะภาคส่วนเหล่านี้เป็นเป้าหมายที่มีมูลค่าสูงสำหรับการจารกรรมจากรัฐชาติ

คำแนะนำ

องค์กรที่ทำงานในหรือเกี่ยวข้องกับภาคกลาโหมควรปฏิบัติต่อไฟล์บีบอัดที่ไม่คาดคิดด้วยความระมัดระวัง โดยเฉพาะไฟล์ที่อ้างอิงถึงฮาร์ดแวร์โดรนหรือเอกสารจัดซื้อ ควรอัปเดตโปรแกรมบีบอัดไฟล์ (เช่น WinRAR/7-Zip) ให้เป็นเวอร์ชันล่าสุดเพื่อปิดช่องโหว่ CVE-2025-8088 และ CVE-2025-6218 การบล็อกการเข้าถึงโดเมนที่จดทะเบียนใหม่ที่ขอบเขตเครือข่ายจะช่วยลดความเสี่ยงจากการส่งมอบแบบหลายขั้นตอนนี้ ทีมความปลอดภัยควรมองหาใบรับรองไคลเอนต์ mTLS ที่มี issuer “GhostShell Implant CA” รวมถึงตรวจสอบไฟล์ในโฟลเดอร์ Startup และนำ IoCs ด้านล่างไปใช้ในการตรวจจับ

Indicators of Compromise (IoCs)

ประเภทIndicatorคำอธิบาย
SHA-25628f58061348a1c54fa6e7ff6618630259618d4afdf78514d5fccfc993797cdffBesomar_documentation.rar – ไฟล์บีบอัดส่งมอบเริ่มต้น
SHA-256ab5681266f70af7df24383f15de876e411fc18e35cb6f24603b12f580b05ccb3122.exe – XOR-overlay loader (Stage-1)
SHA-2568de34006dafd990853a45cbe9aaab4ee18c8cd4c1ad0a98fe71f8d63cd60db2522.exe – Go-based Xray/Vidar v2 launcher
SHA-256b1834634820ae696f0514ca2b6723061f115857232306e573f4d115bc6ead012update.exe – in-memory HTTPS stager
SHA-256423c98b9a8ad09bbb0aa24e86c23095ef6a26e30b3db07358927929d2fb2ecb3client.key.pem – กุญแจส่วนตัวของ implant
SHA-2561d6f3e8583ce84b892097a03b0d4525850f8d3c59dea56482f17e5c44422dc89client.cert.pem – ใบรับรองไคลเอนต์ mTLS
SHA-256c91874dc34e991e614060d6f16da7d4680e5eb7d36fba489644863f4c6c8cf66config.pfx – PKCS#12 container ที่สกัดจาก implant
SHA-256cff6007dbb9826d0a08865f47a71b31e90c5067c637ac863e360315da984f107MicrosoftUpdate-1.302.1609.vbs – สคริปต์ฝังตัวใน Startup
Domaincloudaxis[.]ccโดเมนส่งมอบ payload Stage-1 (จดทะเบียน ก.พ. 2026)
Domaincdnexpress[.]ccโดเมน C2 แบบ mTLS Stage-2
IP Address154.58.204[.]149IP โฮสต์ของ cloudaxis.cc (Madrid/Cogent, AS214036 Ultahost)
IP Address5.252.177[.]88IP C2 ของ cdnexpress.cc (MivoCloud, AS39798)
IP Address5.181.156[.]168ปลายทางอุโมงค์ Xray VLESS พอร์ต 25475 (MivoCloud, AS39798)
IP Address86.54.25[.]2IP C2 Metasploit ที่ resolve ผ่าน Telegram dead-drop
URLhttps://t[.]me/flufff6262ช่อง Telegram dead-drop ที่ใช้ resolve ที่อยู่ C2 สด
URLhttps://cdnexpress[.]cc/analyticsendpoint beacon ของ implant Stage-2
Certificate IssuerCN=GhostShell Implant CAผู้ออกใบรับรอง CA ส่วนตัวที่ฝังใน C2 builder – จุด pivot หลักของคลัสเตอร์
Certificate SubjectCN=ed6e62814295701fตัวระบุต่อ implant ที่ฝังในใบรับรองไคลเอนต์ mTLS

หมายเหตุ: ที่อยู่ IP และโดเมนถูก defang ไว้โดยเจตนา (เช่น [.]) เพื่อป้องกันการ resolve หรือสร้างลิงก์โดยไม่ตั้งใจ ให้ re-fang เฉพาะภายในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM เท่านั้น

แหล่งอ้างอิง