สรุปสั้น
LokiBot หนึ่งในมัลแวร์ตระกูลขโมย credential ที่เก่าแก่ที่สุดและยังทำงานอยู่ในปัจจุบัน ได้กลับมาปรากฏตัวอีกครั้งในแคมเปญแบบหลายขั้นตอนที่ออกแบบมาเพื่อขโมย credential จากแอปพลิเคชันหลากหลายประเภท แคมเปญนี้ใช้ไฟล์แนบอีเมลแบบ JScript เป็นจุดเริ่มต้น แล้วจุดชนวนห่วงโซ่เหตุการณ์อย่างเงียบ ๆ ที่จบลงด้วยการลักลอบดึงข้อมูลอ่อนไหวออกจากเครื่องของเหยื่อ สิ่งที่ทำให้การกลับมาครั้งนี้น่าจับตาคือวิธีที่ผู้โจมตีผสมผสานเทคนิคเก่าเข้ากับวิธีหลบเลี่ยงการตรวจจับแบบใหม่ โดย LokiBot ถูกโฆษณาครั้งแรกเมื่อเดือนพฤษภาคม 2015 บนฟอรัมใต้ดินโดยผู้ใช้ชื่อ “lokistov” และ “carter” และหลังจากซอร์สโค้ดรั่วในปี 2018 ก็เกิด fork จำนวนมากที่ขยายความสามารถด้วยการรองรับ Android การ keylogging และการเข้าถึงระยะไกล
ปัจจุบัน LokiBot สามารถพุ่งเป้าขโมย credential ที่เก็บอยู่ในแอปพลิเคชันมากกว่าหนึ่งร้อยตัว รวมถึงเบราว์เซอร์ กระเป๋าเงินคริปโต อีเมลไคลเอนต์ และเครื่องมือ FTP โดยนักวิเคราะห์จากบริษัท LevelBlue เป็นผู้ระบุแคมเปญล่าสุดนี้ และตั้งข้อสังเกตว่าผู้โจมตีออกแบบแต่ละขั้นตอนอย่างพิถีพิถันเพื่อจำกัดการเปิดเผยตัวและทำลายหลักฐานหากมีสิ่งผิดพลาด LevelBlue ระบุในรายงานที่แบ่งปันกับ Cyber Security News ว่าตัวอย่างถูกแพร่กระจายในรูปแบบไฟล์แนบอีเมลอันตราย ซึ่งยังคงเป็นวิธีส่งมอบที่ถูกรายงานบ่อยที่สุดของ LokiBot ด้วยราคาที่ไม่แพงและใช้งานง่าย ทำให้ครั้งหนึ่งมันเคยเป็นที่นิยมในหมู่อาชญากรไซเบอร์ระดับล่าง และการที่ยังปรากฏใน threat feed อย่างต่อเนื่องแสดงว่ามันยังคงถูกพัฒนาอยู่
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 25 มิถุนายน พ.ศ. 2569 ว่า LokiBot มัลแวร์ขโมย credential ที่เก่าแก่ที่สุดตัวหนึ่งซึ่งยังทำงานอยู่ ได้กลับมาในแคมเปญหลายขั้นตอนที่ออกแบบมาเพื่อขโมย credential จากแอปพลิเคชันหลากหลาย โดยใช้ไฟล์แนบอีเมล JScript เป็นจุดเริ่มต้น จุดที่น่าสนใจคือการที่ผู้โจมตีผสมเทคนิคเก่าเข้ากับวิธีหลบเลี่ยงการตรวจจับใหม่
นาย LokiBot ในเชิงประวัติถูกโฆษณาครั้งแรกเมื่อเดือนพฤษภาคม 2015 บนฟอรัมใต้ดินโดย threat actor ที่ใช้ชื่อ “lokistov” และ “carter” หลังจากซอร์สโค้ดรั่วไหลในปี 2018 ก็เกิด fork จำนวนมากที่ขยายมัลแวร์ด้วยการรองรับ Android การ keylogging และการเข้าถึงระยะไกล ปัจจุบันมันสามารถพุ่งเป้า credential ที่เก็บอยู่ในแอปพลิเคชันมากกว่าหนึ่งร้อยตัว รวมถึงเบราว์เซอร์ กระเป๋าคริปโต อีเมลไคลเอนต์ และเครื่องมือ FTP โดยนักวิเคราะห์จากบริษัท LevelBlue เป็นผู้ระบุแคมเปญล่าสุดนี้ และตั้งข้อสังเกตว่าผู้โจมตีสร้างแต่ละขั้นตอนอย่างระมัดระวังเพื่อจำกัดการเปิดเผยตัวและทำลายหลักฐานหากมีอะไรผิดพลาด
ผลกระทบในวงกว้างจากการติด LokiBot สำเร็จนั้นรุนแรง เมื่อมัลแวร์ทำกระบวนการเก็บเกี่ยว credential เสร็จสิ้น มันจะบีบอัดข้อมูลที่ขโมยมาและส่งไปยังเซิร์ฟเวอร์ระยะไกล จากนั้นผู้โจมตีจะได้รับรหัสผ่านและรายละเอียดบัญชีจากแอปพลิเคชันหลายสิบตัว ทำให้บุคคลและองค์กรเสี่ยงต่อการถูกยึดบัญชีและการขโมยข้อมูลอย่างแท้จริง

วิธีการโจมตี
การโจมตีเริ่มต้นเมื่อเหยื่อได้รับอีเมลฟิชชิ่งที่มีไฟล์ JScript แนบมาด้วย การเปิดไฟล์ทำให้ Windows รันมันผ่านโปรแกรม Windows Script Host ที่มีอยู่ในตัว สคริปต์ถูกทำให้อ่านยาก (obfuscate) อย่างหนักด้วยฟังก์ชันลวงและตัวแปรที่ตั้งชื่อแบบเลขฐานสิบหกเพื่อชะลอการวิเคราะห์ เมื่อรันแล้ว สคริปต์จะถอดรหัส PowerShell script ที่เข้ารหัส Base64 บันทึกลงโฟลเดอร์ C:\Temp ด้วยชื่อไฟล์แบบสุ่มแล้วรัน หากเกินเวลา timeout ที่กำหนด สคริปต์จะทำความสะอาดตัวเองด้วยการหยุดโปรเซสและลบไฟล์ของตัวเองทิ้ง
ขั้นตอน PowerShell จะถอดรหัส .NET assembly payload ด้วย XOR และคีย์ที่ฝังไว้ แล้วโหลดเข้าหน่วยความจำโดยตรงโดยไม่เขียนลงดิสก์ .NET assembly ที่โหลดมาซึ่งถูกป้องกันด้วย obfuscator ชื่อ ConfuserEx ทำหน้าที่เป็น injector มันจะ spawn โปรเซส aspnet_compiler.exe ที่ถูกต้องตามกฎหมาย จัดสรรหน่วยความจำภายในนั้น และเขียน LokiBot payload ตัวสุดท้ายลงไปในพื้นที่ดังกล่าว เทคนิค process injection นี้ทำให้มัลแวร์ทำงานอยู่ภายในโปรเซส Windows ที่น่าเชื่อถือ ทำให้ตรวจจับได้ยากขึ้น เมื่อทำงาน LokiBot จะสร้าง mutex โดยใช้ค่า MD5 hash ของ registry identifier เฉพาะของเครื่องเพื่อให้แน่ใจว่ามีเพียงอินสแตนซ์เดียวทำงาน จากนั้นจะวนเรียกชุดฟังก์ชันเก็บเกี่ยว credential ที่แต่ละตัวพุ่งเป้าแอปพลิเคชันเฉพาะ ก่อนบีบอัดข้อมูลที่ขโมยด้วย aPLib และส่งไปยังเซิร์ฟเวอร์ command-and-control ที่ที่อยู่ถูกเก็บไว้ใน binary
ผลกระทบต่อไทย
LokiBot เป็นมัลแวร์ที่แพร่กระจายผ่านไฟล์แนบอีเมลซึ่งเป็นช่องทางที่พบบ่อยในการโจมตีองค์กรไทย ทั้งภาคธุรกิจ SME และพนักงานทั่วไปที่อาจเปิดไฟล์แนบโดยไม่ระวัง เนื่องจากมันขโมย credential จากเบราว์เซอร์ กระเป๋าคริปโต อีเมล และ FTP ได้มากกว่าร้อยแอป ผู้ใช้ไทยที่ติดมัลแวร์มีความเสี่ยงสูงที่บัญชีธนาคารออนไลน์ อีเมลทำงาน และกระเป๋าคริปโตจะถูกยึด อีกทั้ง credential ที่ถูกขโมยยังอาจกลายเป็นจุดเริ่มต้นของการโจมตีองค์กรในวงกว้าง เทคนิค process injection เข้าสู่โปรเซส Windows ที่น่าเชื่อถือยังทำให้โซลูชันป้องกันพื้นฐานตรวจจับได้ยาก องค์กรไทยจึงควรยกระดับการกรองอีเมลและการตรวจจับพฤติกรรมบนเครื่องปลายทาง
คำแนะนำ
ผู้ดูแลระบบควรตั้งค่าให้ระบบกรองอีเมลบล็อกหรือกักไฟล์แนบที่เป็นสคริปต์ เช่น .js, .jse, .vbs และไฟล์ JScript และปิดการเชื่อมโยงไฟล์สคริปต์กับ Windows Script Host หากไม่จำเป็น ควรใช้โซลูชัน EDR ที่ตรวจจับพฤติกรรม process injection โดยเฉพาะการ spawn โปรเซสอย่าง aspnet_compiler.exe ที่ผิดปกติ และเฝ้าระวัง PowerShell ที่รันแบบ obfuscate หรือโหลด assembly เข้าหน่วยความจำ ควรอบรมพนักงานให้ระวังอีเมลฟิชชิ่งที่มีไฟล์แนบน่าสงสัย เปิดใช้ MFA สำหรับบัญชีสำคัญเพื่อลดผลกระทบหาก credential ถูกขโมย และตรวจสอบ log การเชื่อมต่อขาออกไปยังเซิร์ฟเวอร์ C2 ที่ไม่รู้จัก หากพบการติดมัลแวร์ควรรีบ rotate รหัสผ่านของบัญชีทั้งหมดที่เคยใช้บนเครื่องนั้น
Indicators of Compromise (IoCs)
| ประเภท | ตัวบ่งชี้ | คำอธิบาย |
|---|---|---|
| Filename | gruijvdsdbcmcvbtryedfhpoibbedflokjqnb.js | ไฟล์แนบ JScript อันตราย (dropper เริ่มต้น) |
| SHA256 | c099f965144bccd0b590f946659fc3c0747c54aef505b6caaca9078712f455fb | hash ของไฟล์แนบ JScript |
| SHA256 | 64c7dd0a3a3ae49977ac05913d3878000cce14e5d8c1ee05b782bdfd648bde91 | hash ของ .NET injector / ขั้นกลาง |
| SHA256 | ad10ff9043d6f327045943635fcbd0c5918acb79dc998db92ee4c7dee5224710 | hash ของ payload stage |
| SHA256 | 4c9f271242f61f1a31b8146305e9a7ed512c521445d4f7a7a901e301307add3d | hash ของ LokiBot PE executable |
| SHA256 | 5864a697bd7b339f56b05405f29a097cd027cafdcc4e63c2aaeccccbf930605f | hash ของ LokiBot sample เพิ่มเติม |
| IP Address | 158.94.211[.]95 | IP เซิร์ฟเวอร์ C2 ของ LokiBot |
| Domain | kbfvzoboss[.]bid | โดเมน C2 ของ LokiBot |
| Domain | alphastand[.]trade | โดเมน C2 ของ LokiBot |
| Domain | alphastand[.]win | โดเมน C2 ของ LokiBot |
| Domain | alphastand[.]top | โดเมน C2 ของ LokiBot |
| URL | hxxp[://]158.94.211[.]95/kelly/five/fre.php | C2 endpoint ของ LokiBot |
| URL | hxxp[://]kbfvzoboss[.]bid/alien/fre.php | C2 endpoint ของ LokiBot |
| URL | hxxp[://]alphastand[.]trade/alien/fre.php | C2 endpoint ของ LokiBot |
| URL | hxxp[://]alphastand[.]win/alien/fre.php | C2 endpoint ของ LokiBot |
| URL | hxxp[://]alphastand[.]top/alien/fre.php | C2 endpoint ของ LokiBot |
หมายเหตุ: IP, โดเมน และ URL ถูก defang (เช่น
[.],hxxp[://]) เพื่อป้องกันการ resolve หรือคลิกโดยไม่ตั้งใจ ให้ re-fang เฉพาะภายในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM ขององค์กรเท่านั้น
