สรุปสั้น
นักวิจัยเปิดเผยห่วงโซ่การโจมตีรูปแบบใหม่ที่เชื่อมโยงกับกลุ่มผู้โจมตี UAC-0226 ซึ่งกำลังสร้างความเสี่ยงร้ายแรงต่อผู้ใช้ Windows โดยแคมเปญนี้ใช้ไฟล์บีบอัด WinRAR ที่ถูกดัดแปลงให้เป็นกับดัก ซ่อนไฟล์อันตรายไว้ในสตรีมข้อมูลที่มองไม่เห็น และอาศัยเทคนิคการโหลดเข้าหน่วยความจำขั้นสูงเพื่อส่งมัลแวร์ขโมยข้อมูลชื่อ GIFTEDCROOK ที่ออกแบบมาเพื่อดูดข้อมูล credential ของเบราว์เซอร์ คุกกี้ และเอกสารสำคัญออกจากเครื่องที่ติดมัลแวร์อย่างเงียบ ๆ แคมเปญนี้แสดงให้เห็นการมุ่งเป้าไปที่บุคลากรที่เกี่ยวข้องกับกองทัพยูเครนอย่างชัดเจน โดยใช้เอกสารล่อที่ทำให้ดูเหมือนเป็นบันทึกภายในของหน่วยงานทหารเพื่อสร้างความน่าเชื่อถือ การติดมัลแวร์เริ่มต้นจากสิ่งที่ดูเหมือนไฟล์ WinRAR ธรรมดา แต่ภายในกลับซ่อนไฟล์ไว้มากกว่าเอกสารทั่วไป
ทีมนักวิเคราะห์จากบริษัท Synaptic Security ซึ่งเปิดเผยผลการวิเคราะห์ในรายงานที่แบ่งปันกับ Cyber Security News ระบุว่าได้ค้นพบห่วงโซ่การโจมตีทั้งหมดระหว่างติดตามกิจกรรมเครื่องมือของ UAC-0226 โดยห่วงโซ่นี้เริ่มจากไฟล์บีบอัด RAR ผ่านเอกสาร PDF ล่อ ไฟล์ shortcut (LNK) สคริปต์ PowerShell ที่ถูก obfuscate payload ที่เข้ารหัสแบบบวกค่า และจบลงที่มัลแวร์ขโมยข้อมูล GIFTEDCROOK โดยอาศัยคุณสมบัติ Alternate Data Streams (ADS) ของ WinRAR ในการซ่อนไฟล์หลายไฟล์ไว้พร้อมกับเอกสารล่อ เมื่อเหยื่อเปิดไฟล์ที่ดูเหมือนเอกสารราชการทหารถูกต้อง การโจมตีจริงก็ได้เริ่มทำงานเงียบ ๆ เบื้องหลังไปแล้ว และเมื่อ GIFTEDCROOK ทำงานเต็มที่ มันจะมุ่งเป้าไปที่เบราว์เซอร์อย่าง Google Chrome, Microsoft Edge, Opera และ Firefox เพื่อดึงข้อมูลล็อกอิน คุกกี้ และไฟล์เซสชัน รวมถึงค้นหาโปรไฟล์ VPN ฐานข้อมูล KeePass และไฟล์อีเมล แล้วรวบรวมทั้งหมดเป็นไฟล์ ZIP ก่อนส่งออกไปยังโครงสร้างพื้นฐานของผู้โจมตี
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 26 มิถุนายน พ.ศ. 2569 ว่า มีการบันทึกห่วงโซ่การโจมตีใหม่ที่เชื่อมโยงกับกลุ่ม UAC-0226 ซึ่งใช้ไฟล์บีบอัด WinRAR ที่ฝังกับดัก ร่วมกับสตรีมไฟล์ที่ซ่อนอยู่และเทคนิคการโหลดเข้าหน่วยความจำที่ซับซ้อน เพื่อส่งมัลแวร์ GIFTEDCROOK ทีมนักวิเคราะห์ของบริษัท Synaptic Security เป็นผู้ค้นพบและรายงานรายละเอียดทั้งหมด
ไฟล์บีบอัดดังกล่าวจะวางไฟล์สองส่วนลงบนระบบ ได้แก่ PowerShell loader ที่ถูก obfuscate อย่างหนักลงในโฟลเดอร์ C:\ProgramData\WC3 และ payload สุดท้ายที่เข้ารหัสไว้ลงในไฟล์ C:\ProgramData\wt1 จากนั้น shortcut สำหรับ startup ที่ถูกวางในโฟลเดอร์ Startup ของ Windows จะทำให้ GIFTEDCROOK ทำงานโดยอัตโนมัติทุกครั้งที่ผู้ใช้ล็อกอินกลับเข้าระบบ ทำให้ผู้โจมตีคงสิทธิ์การเข้าถึงอย่างต่อเนื่องโดยไม่ต้องดำเนินการเพิ่มเติม
เมื่อทำงานเต็มรูปแบบ GIFTEDCROOK จะเคลื่อนที่อย่างเงียบ ๆ ทั่วเครื่องที่ติดมัลแวร์ มุ่งเป้าไปที่เบราว์เซอร์อย่าง Chrome, Edge, Opera และ Firefox เพื่อดึงข้อมูลล็อกอิน คุกกี้ และไฟล์เซสชันที่บันทึกไว้ พร้อมทั้งค้นหาโปรไฟล์ VPN ฐานข้อมูล KeePass และไฟล์อีเมล รวบรวมทุกอย่างเป็นไฟล์ ZIP ก่อนส่งออกไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม การมุ่งเป้าบุคลากรสายทหารยูเครนสะท้อนว่าแคมเปญนี้มีลักษณะของปฏิบัติการจารกรรมข้อมูลที่มีเป้าหมายชัดเจน


วิธีการโจมตี
การโจมตีอาศัยการผสมผสานระหว่าง WinRAR Alternate Data Streams (ADS) และ reflective PE loading เพื่อส่ง GIFTEDCROOK ขณะหลบเลี่ยงเครื่องมือรักษาความปลอดภัยส่วนใหญ่ คุณสมบัติ ADS เปิดให้ไฟล์บีบอัดสามารถพกพาไฟล์พิเศษที่มองไม่เห็นมาพร้อมกับ PDF ล่อที่มองเห็นได้ ดังนั้นเมื่อแตกไฟล์บีบอัด ส่วนประกอบอันตรายหลายชิ้นจะถูกวางลงบนเครื่องของเหยื่อโดยไม่ก่อให้เกิดสัญญาณเตือนที่ชัดเจน
PowerShell loader ที่อยู่ในโฟลเดอร์ WC3 ถูกฝังกลบด้วยโค้ดขยะหลายพันบรรทัด ชื่อฟังก์ชันแบบสุ่ม และคำสั่งแสดงผลที่ไม่เกี่ยวข้อง เพื่อสร้างความสับสนให้กับเครื่องมือวิเคราะห์ ส่วนตรรกะการทำงานจริงจะอ่าน payload ที่เข้ารหัสจากไฟล์ wt1 ถอดรหัสด้วยการลบค่า 72 ออกจากแต่ละไบต์ แล้วโหลดผลลัพธ์เข้าสู่หน่วยความจำโดยตรงผ่านการเรียกใช้ Windows API ระดับล่าง ทำให้ไม่มีไฟล์ปฏิบัติการที่ตรวจจับได้หลงเหลืออยู่บนดิสก์
payload ที่ถอดรหัสแล้วเป็นไฟล์ PE แบบ headless ที่กำหนดเอง หมายความว่ามันไม่มีส่วนหัว (header) มาตรฐานที่เครื่องมือสแกนความปลอดภัยมักมองหา โดย reflective loader ชื่อ Main.dll!Func จะประกอบโครงสร้าง DLL ขึ้นใหม่ในหน่วยความจำ resolve ฟังก์ชันที่จำเป็นทั้งหมด และส่งต่อการทำงานไปยัง GIFTEDCROOK โดยไม่แตะระบบไฟล์อีกครั้ง ทำให้การตรวจจับแบบอิงไฟล์แบบดั้งเดิมแทบไร้ผล เมื่อ GIFTEDCROOK ทำงาน มันจะไล่ดู process environment เพื่อค้นหาไดเรกทอรีโปรไฟล์ของเบราว์เซอร์โดยไม่เรียกใช้ API ที่ชัดเจนซึ่งอาจกระตุ้นการตรวจจับเชิงพฤติกรรม แล้วถอดรหัสข้อมูลสำคัญของเบราว์เซอร์ด้วยฟังก์ชัน CryptUnprotectData ของ Windows ก่อนรวบรวมไฟล์เข้าสู่ไดเรกทอรี staging และบีบอัดเป็น ZIP ส่งไปยังเซิร์ฟเวอร์ C2 ที่ hxxps://142.111.194[.]73:8640/dj5FZEiLnA/ นอกจากนี้มัลแวร์ยังเก็บตัวระบุตัวตนต่อการติดมัลแวร์แต่ละครั้งไว้ในไฟล์ชั่วคราว เพื่อให้ผู้โจมตีติดตามเหยื่อแต่ละรายข้ามเซสชันได้โดยไม่ต้องพึ่ง Windows registry
ผลกระทบต่อไทย
แม้แคมเปญนี้จะมุ่งเป้าไปที่บุคลากรสายทหารยูเครนโดยเฉพาะ แต่เทคนิคที่ใช้ถือเป็นภัยคุกคามระดับสากลที่องค์กรไทยต้องเฝ้าระวัง โดยเฉพาะการใช้ WinRAR ADS ซ่อนไฟล์อันตราย และการใช้ reflective PE loading เพื่อหลบเลี่ยงโปรแกรมป้องกันไวรัสแบบอิงไฟล์ ซึ่งเป็นเทคนิคที่ผู้โจมตีกลุ่มอื่นสามารถนำไปใช้ซ้ำกับเป้าหมายในไทยได้ทันที WinRAR เป็นโปรแกรมที่ใช้แพร่หลายในองค์กรไทยทั้งภาครัฐและเอกชน หากผู้ใช้ดาวน์โหลดไฟล์บีบอัดจากอีเมลหรือแหล่งที่ไม่น่าเชื่อถือ ก็มีโอกาสตกเป็นเหยื่อได้ ขณะที่ GIFTEDCROOK พุ่งเป้าขโมย credential เบราว์เซอร์ คุกกี้ ฐานข้อมูล KeePass และโปรไฟล์ VPN ซึ่งหากรั่วไหลอาจเปิดทางให้ผู้โจมตีเข้าถึงระบบภายในองค์กรต่อได้
คำแนะนำ
ทีมความปลอดภัยควรเฝ้าระวังการแก้ไขโฟลเดอร์ Startup การรัน PowerShell ที่ผิดปกติซึ่งเกี่ยวข้องกับคำสั่ง IEX และการเชื่อมต่อขาออกไปยังพอร์ตที่ไม่ใช่มาตรฐาน นอกจากนี้การบล็อกการรันไฟล์ LNK ที่มาจากไฟล์บีบอัด และการบังคับใช้นโยบายการรัน PowerShell ที่เข้มงวดขึ้น จะช่วยลดความเสี่ยงต่อห่วงโซ่การโจมตีลักษณะนี้ได้อย่างมีนัยสำคัญ ควรให้ความรู้ผู้ใช้ให้ระมัดระวังเอกสารแนบที่มาในรูปไฟล์บีบอัด ตรวจสอบไฟล์ก่อนเปิดด้วยเครื่องมือที่ตรวจจับ ADS ได้ และพิจารณาใช้โซลูชัน EDR ที่ตรวจจับพฤติกรรมการโหลดเข้าหน่วยความจำได้
Indicators of Compromise (IoCs)
หมายเหตุ: IP address และโดเมนถูก defang (เช่น
[.]) โดยตั้งใจ เพื่อป้องกันการ resolve หรือสร้างลิงก์โดยไม่ตั้งใจ ให้ re-fang เฉพาะภายในแพลตฟอร์มข่าวกรองภัยคุกคามที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM เท่านั้น
| ประเภท | Indicator | คำอธิบาย |
|---|---|---|
| SHA-256 | 420f1931af9b3f7d02c5edfc78eb69abdad6e71d2c3e9b81f9cbc3823a503654 | ไฟล์บีบอัดอันตราย |
| SHA-256 | dc4c906e56ecb446cbb10b227e1fb470e428108584678314533d80e52a2b9b30 | PDF ล่อ (decoy) |
| SHA-256 | 05e131555faabae0960f0527cfb72d2b8e2381fd0fde22b0b4e2b365c7faf445 | Startup LNK |
| SHA-256 | 6b7e3dd5af5a56dd24e96c5b13282ad084c78d0a589d5e4c1b6ba58b4525d9a8 | WC3 PowerShell Loader |
| SHA-256 | 3006a6639eff677b08595927cf219a3bcd5fdd02bfd592606316bfd4623bb902 | Encoded wt1 Payload |
| SHA-256 | 78538f945a1d20aa392f3065f222223a4ed47284abfafa8c135bdfd9eacef222 | Decoded Custom-Header Image |
| SHA-256 | b268ecbc386d32ace546dd483707fd2c923de8f091741e544f52c7f872fe0d91 | PE ที่ประกอบใหม่ (วิเคราะห์เท่านั้น) |
| IP:Port | 142.111.194[.]73:8640 | เซิร์ฟเวอร์ Command-and-Control |
| URL | hxxps://142.111.194[.]73:8640/dj5FZEiLnA/ | C2 Callback Endpoint |
| File Path | C:\ProgramData\WC3 | Obfuscated PowerShell Loader |
| File Path | C:\ProgramData\wt1 | Encoded Stage Payload |
| File Path | %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ThJRq_6uEj.lnk | Persistence Startup Shortcut |
| File Path | %USERPROFILE%\RJ_8An6YWmhvYh9I8Me | Staging Directory |
| File Path | %USERPROFILE%\qhGQKHaADCeIZe2UoRub.zip | ไฟล์ exfiltration สุดท้าย |
| File Path | %TEMP%\oBKhrQLe1CKmO3RhHO | ไฟล์ระบุตัวตนต่อการติดมัลแวร์ |
| File Path | %TEMP%\logs.txt | ไฟล์ log ของมัลแวร์ |
| File Name | Main.dll | Reflective Loader DLL |
| File Name | взвод розвідки.pdf | PDF ล่อธีมยูเครน |
