สรุปสั้น

LokiBot หนึ่งในมัลแวร์ตระกูลขโมย credential ที่เก่าแก่ที่สุดและยังทำงานอยู่ในปัจจุบัน ได้กลับมาปรากฏตัวอีกครั้งในแคมเปญแบบหลายขั้นตอนที่ออกแบบมาเพื่อขโมย credential จากแอปพลิเคชันหลากหลายประเภท แคมเปญนี้ใช้ไฟล์แนบอีเมลแบบ JScript เป็นจุดเริ่มต้น แล้วจุดชนวนห่วงโซ่เหตุการณ์อย่างเงียบ ๆ ที่จบลงด้วยการลักลอบดึงข้อมูลอ่อนไหวออกจากเครื่องของเหยื่อ สิ่งที่ทำให้การกลับมาครั้งนี้น่าจับตาคือวิธีที่ผู้โจมตีผสมผสานเทคนิคเก่าเข้ากับวิธีหลบเลี่ยงการตรวจจับแบบใหม่ โดย LokiBot ถูกโฆษณาครั้งแรกเมื่อเดือนพฤษภาคม 2015 บนฟอรัมใต้ดินโดยผู้ใช้ชื่อ “lokistov” และ “carter” และหลังจากซอร์สโค้ดรั่วในปี 2018 ก็เกิด fork จำนวนมากที่ขยายความสามารถด้วยการรองรับ Android การ keylogging และการเข้าถึงระยะไกล

ปัจจุบัน LokiBot สามารถพุ่งเป้าขโมย credential ที่เก็บอยู่ในแอปพลิเคชันมากกว่าหนึ่งร้อยตัว รวมถึงเบราว์เซอร์ กระเป๋าเงินคริปโต อีเมลไคลเอนต์ และเครื่องมือ FTP โดยนักวิเคราะห์จากบริษัท LevelBlue เป็นผู้ระบุแคมเปญล่าสุดนี้ และตั้งข้อสังเกตว่าผู้โจมตีออกแบบแต่ละขั้นตอนอย่างพิถีพิถันเพื่อจำกัดการเปิดเผยตัวและทำลายหลักฐานหากมีสิ่งผิดพลาด LevelBlue ระบุในรายงานที่แบ่งปันกับ Cyber Security News ว่าตัวอย่างถูกแพร่กระจายในรูปแบบไฟล์แนบอีเมลอันตราย ซึ่งยังคงเป็นวิธีส่งมอบที่ถูกรายงานบ่อยที่สุดของ LokiBot ด้วยราคาที่ไม่แพงและใช้งานง่าย ทำให้ครั้งหนึ่งมันเคยเป็นที่นิยมในหมู่อาชญากรไซเบอร์ระดับล่าง และการที่ยังปรากฏใน threat feed อย่างต่อเนื่องแสดงว่ามันยังคงถูกพัฒนาอยู่

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 25 มิถุนายน พ.ศ. 2569 ว่า LokiBot มัลแวร์ขโมย credential ที่เก่าแก่ที่สุดตัวหนึ่งซึ่งยังทำงานอยู่ ได้กลับมาในแคมเปญหลายขั้นตอนที่ออกแบบมาเพื่อขโมย credential จากแอปพลิเคชันหลากหลาย โดยใช้ไฟล์แนบอีเมล JScript เป็นจุดเริ่มต้น จุดที่น่าสนใจคือการที่ผู้โจมตีผสมเทคนิคเก่าเข้ากับวิธีหลบเลี่ยงการตรวจจับใหม่

นาย LokiBot ในเชิงประวัติถูกโฆษณาครั้งแรกเมื่อเดือนพฤษภาคม 2015 บนฟอรัมใต้ดินโดย threat actor ที่ใช้ชื่อ “lokistov” และ “carter” หลังจากซอร์สโค้ดรั่วไหลในปี 2018 ก็เกิด fork จำนวนมากที่ขยายมัลแวร์ด้วยการรองรับ Android การ keylogging และการเข้าถึงระยะไกล ปัจจุบันมันสามารถพุ่งเป้า credential ที่เก็บอยู่ในแอปพลิเคชันมากกว่าหนึ่งร้อยตัว รวมถึงเบราว์เซอร์ กระเป๋าคริปโต อีเมลไคลเอนต์ และเครื่องมือ FTP โดยนักวิเคราะห์จากบริษัท LevelBlue เป็นผู้ระบุแคมเปญล่าสุดนี้ และตั้งข้อสังเกตว่าผู้โจมตีสร้างแต่ละขั้นตอนอย่างระมัดระวังเพื่อจำกัดการเปิดเผยตัวและทำลายหลักฐานหากมีอะไรผิดพลาด

ผลกระทบในวงกว้างจากการติด LokiBot สำเร็จนั้นรุนแรง เมื่อมัลแวร์ทำกระบวนการเก็บเกี่ยว credential เสร็จสิ้น มันจะบีบอัดข้อมูลที่ขโมยมาและส่งไปยังเซิร์ฟเวอร์ระยะไกล จากนั้นผู้โจมตีจะได้รับรหัสผ่านและรายละเอียดบัญชีจากแอปพลิเคชันหลายสิบตัว ทำให้บุคคลและองค์กรเสี่ยงต่อการถูกยึดบัญชีและการขโมยข้อมูลอย่างแท้จริง

LokiBot campaign uses JScript attachment .NET injector and process injection to steal credentials

วิธีการโจมตี

การโจมตีเริ่มต้นเมื่อเหยื่อได้รับอีเมลฟิชชิ่งที่มีไฟล์ JScript แนบมาด้วย การเปิดไฟล์ทำให้ Windows รันมันผ่านโปรแกรม Windows Script Host ที่มีอยู่ในตัว สคริปต์ถูกทำให้อ่านยาก (obfuscate) อย่างหนักด้วยฟังก์ชันลวงและตัวแปรที่ตั้งชื่อแบบเลขฐานสิบหกเพื่อชะลอการวิเคราะห์ เมื่อรันแล้ว สคริปต์จะถอดรหัส PowerShell script ที่เข้ารหัส Base64 บันทึกลงโฟลเดอร์ C:\Temp ด้วยชื่อไฟล์แบบสุ่มแล้วรัน หากเกินเวลา timeout ที่กำหนด สคริปต์จะทำความสะอาดตัวเองด้วยการหยุดโปรเซสและลบไฟล์ของตัวเองทิ้ง

ขั้นตอน PowerShell จะถอดรหัส .NET assembly payload ด้วย XOR และคีย์ที่ฝังไว้ แล้วโหลดเข้าหน่วยความจำโดยตรงโดยไม่เขียนลงดิสก์ .NET assembly ที่โหลดมาซึ่งถูกป้องกันด้วย obfuscator ชื่อ ConfuserEx ทำหน้าที่เป็น injector มันจะ spawn โปรเซส aspnet_compiler.exe ที่ถูกต้องตามกฎหมาย จัดสรรหน่วยความจำภายในนั้น และเขียน LokiBot payload ตัวสุดท้ายลงไปในพื้นที่ดังกล่าว เทคนิค process injection นี้ทำให้มัลแวร์ทำงานอยู่ภายในโปรเซส Windows ที่น่าเชื่อถือ ทำให้ตรวจจับได้ยากขึ้น เมื่อทำงาน LokiBot จะสร้าง mutex โดยใช้ค่า MD5 hash ของ registry identifier เฉพาะของเครื่องเพื่อให้แน่ใจว่ามีเพียงอินสแตนซ์เดียวทำงาน จากนั้นจะวนเรียกชุดฟังก์ชันเก็บเกี่ยว credential ที่แต่ละตัวพุ่งเป้าแอปพลิเคชันเฉพาะ ก่อนบีบอัดข้อมูลที่ขโมยด้วย aPLib และส่งไปยังเซิร์ฟเวอร์ command-and-control ที่ที่อยู่ถูกเก็บไว้ใน binary

ผลกระทบต่อไทย

LokiBot เป็นมัลแวร์ที่แพร่กระจายผ่านไฟล์แนบอีเมลซึ่งเป็นช่องทางที่พบบ่อยในการโจมตีองค์กรไทย ทั้งภาคธุรกิจ SME และพนักงานทั่วไปที่อาจเปิดไฟล์แนบโดยไม่ระวัง เนื่องจากมันขโมย credential จากเบราว์เซอร์ กระเป๋าคริปโต อีเมล และ FTP ได้มากกว่าร้อยแอป ผู้ใช้ไทยที่ติดมัลแวร์มีความเสี่ยงสูงที่บัญชีธนาคารออนไลน์ อีเมลทำงาน และกระเป๋าคริปโตจะถูกยึด อีกทั้ง credential ที่ถูกขโมยยังอาจกลายเป็นจุดเริ่มต้นของการโจมตีองค์กรในวงกว้าง เทคนิค process injection เข้าสู่โปรเซส Windows ที่น่าเชื่อถือยังทำให้โซลูชันป้องกันพื้นฐานตรวจจับได้ยาก องค์กรไทยจึงควรยกระดับการกรองอีเมลและการตรวจจับพฤติกรรมบนเครื่องปลายทาง

คำแนะนำ

ผู้ดูแลระบบควรตั้งค่าให้ระบบกรองอีเมลบล็อกหรือกักไฟล์แนบที่เป็นสคริปต์ เช่น .js, .jse, .vbs และไฟล์ JScript และปิดการเชื่อมโยงไฟล์สคริปต์กับ Windows Script Host หากไม่จำเป็น ควรใช้โซลูชัน EDR ที่ตรวจจับพฤติกรรม process injection โดยเฉพาะการ spawn โปรเซสอย่าง aspnet_compiler.exe ที่ผิดปกติ และเฝ้าระวัง PowerShell ที่รันแบบ obfuscate หรือโหลด assembly เข้าหน่วยความจำ ควรอบรมพนักงานให้ระวังอีเมลฟิชชิ่งที่มีไฟล์แนบน่าสงสัย เปิดใช้ MFA สำหรับบัญชีสำคัญเพื่อลดผลกระทบหาก credential ถูกขโมย และตรวจสอบ log การเชื่อมต่อขาออกไปยังเซิร์ฟเวอร์ C2 ที่ไม่รู้จัก หากพบการติดมัลแวร์ควรรีบ rotate รหัสผ่านของบัญชีทั้งหมดที่เคยใช้บนเครื่องนั้น

Indicators of Compromise (IoCs)

ประเภทตัวบ่งชี้คำอธิบาย
Filenamegruijvdsdbcmcvbtryedfhpoibbedflokjqnb.jsไฟล์แนบ JScript อันตราย (dropper เริ่มต้น)
SHA256c099f965144bccd0b590f946659fc3c0747c54aef505b6caaca9078712f455fbhash ของไฟล์แนบ JScript
SHA25664c7dd0a3a3ae49977ac05913d3878000cce14e5d8c1ee05b782bdfd648bde91hash ของ .NET injector / ขั้นกลาง
SHA256ad10ff9043d6f327045943635fcbd0c5918acb79dc998db92ee4c7dee5224710hash ของ payload stage
SHA2564c9f271242f61f1a31b8146305e9a7ed512c521445d4f7a7a901e301307add3dhash ของ LokiBot PE executable
SHA2565864a697bd7b339f56b05405f29a097cd027cafdcc4e63c2aaeccccbf930605fhash ของ LokiBot sample เพิ่มเติม
IP Address158.94.211[.]95IP เซิร์ฟเวอร์ C2 ของ LokiBot
Domainkbfvzoboss[.]bidโดเมน C2 ของ LokiBot
Domainalphastand[.]tradeโดเมน C2 ของ LokiBot
Domainalphastand[.]winโดเมน C2 ของ LokiBot
Domainalphastand[.]topโดเมน C2 ของ LokiBot
URLhxxp[://]158.94.211[.]95/kelly/five/fre.phpC2 endpoint ของ LokiBot
URLhxxp[://]kbfvzoboss[.]bid/alien/fre.phpC2 endpoint ของ LokiBot
URLhxxp[://]alphastand[.]trade/alien/fre.phpC2 endpoint ของ LokiBot
URLhxxp[://]alphastand[.]win/alien/fre.phpC2 endpoint ของ LokiBot
URLhxxp[://]alphastand[.]top/alien/fre.phpC2 endpoint ของ LokiBot

หมายเหตุ: IP, โดเมน และ URL ถูก defang (เช่น [.], hxxp[://]) เพื่อป้องกันการ resolve หรือคลิกโดยไม่ตั้งใจ ให้ re-fang เฉพาะภายในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM ขององค์กรเท่านั้น

แหล่งอ้างอิง