สรุปสั้น

นักวิจัยเปิดเผยห่วงโซ่การโจมตีรูปแบบใหม่ที่เชื่อมโยงกับกลุ่มผู้โจมตี UAC-0226 ซึ่งกำลังสร้างความเสี่ยงร้ายแรงต่อผู้ใช้ Windows โดยแคมเปญนี้ใช้ไฟล์บีบอัด WinRAR ที่ถูกดัดแปลงให้เป็นกับดัก ซ่อนไฟล์อันตรายไว้ในสตรีมข้อมูลที่มองไม่เห็น และอาศัยเทคนิคการโหลดเข้าหน่วยความจำขั้นสูงเพื่อส่งมัลแวร์ขโมยข้อมูลชื่อ GIFTEDCROOK ที่ออกแบบมาเพื่อดูดข้อมูล credential ของเบราว์เซอร์ คุกกี้ และเอกสารสำคัญออกจากเครื่องที่ติดมัลแวร์อย่างเงียบ ๆ แคมเปญนี้แสดงให้เห็นการมุ่งเป้าไปที่บุคลากรที่เกี่ยวข้องกับกองทัพยูเครนอย่างชัดเจน โดยใช้เอกสารล่อที่ทำให้ดูเหมือนเป็นบันทึกภายในของหน่วยงานทหารเพื่อสร้างความน่าเชื่อถือ การติดมัลแวร์เริ่มต้นจากสิ่งที่ดูเหมือนไฟล์ WinRAR ธรรมดา แต่ภายในกลับซ่อนไฟล์ไว้มากกว่าเอกสารทั่วไป

ทีมนักวิเคราะห์จากบริษัท Synaptic Security ซึ่งเปิดเผยผลการวิเคราะห์ในรายงานที่แบ่งปันกับ Cyber Security News ระบุว่าได้ค้นพบห่วงโซ่การโจมตีทั้งหมดระหว่างติดตามกิจกรรมเครื่องมือของ UAC-0226 โดยห่วงโซ่นี้เริ่มจากไฟล์บีบอัด RAR ผ่านเอกสาร PDF ล่อ ไฟล์ shortcut (LNK) สคริปต์ PowerShell ที่ถูก obfuscate payload ที่เข้ารหัสแบบบวกค่า และจบลงที่มัลแวร์ขโมยข้อมูล GIFTEDCROOK โดยอาศัยคุณสมบัติ Alternate Data Streams (ADS) ของ WinRAR ในการซ่อนไฟล์หลายไฟล์ไว้พร้อมกับเอกสารล่อ เมื่อเหยื่อเปิดไฟล์ที่ดูเหมือนเอกสารราชการทหารถูกต้อง การโจมตีจริงก็ได้เริ่มทำงานเงียบ ๆ เบื้องหลังไปแล้ว และเมื่อ GIFTEDCROOK ทำงานเต็มที่ มันจะมุ่งเป้าไปที่เบราว์เซอร์อย่าง Google Chrome, Microsoft Edge, Opera และ Firefox เพื่อดึงข้อมูลล็อกอิน คุกกี้ และไฟล์เซสชัน รวมถึงค้นหาโปรไฟล์ VPN ฐานข้อมูล KeePass และไฟล์อีเมล แล้วรวบรวมทั้งหมดเป็นไฟล์ ZIP ก่อนส่งออกไปยังโครงสร้างพื้นฐานของผู้โจมตี

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 26 มิถุนายน พ.ศ. 2569 ว่า มีการบันทึกห่วงโซ่การโจมตีใหม่ที่เชื่อมโยงกับกลุ่ม UAC-0226 ซึ่งใช้ไฟล์บีบอัด WinRAR ที่ฝังกับดัก ร่วมกับสตรีมไฟล์ที่ซ่อนอยู่และเทคนิคการโหลดเข้าหน่วยความจำที่ซับซ้อน เพื่อส่งมัลแวร์ GIFTEDCROOK ทีมนักวิเคราะห์ของบริษัท Synaptic Security เป็นผู้ค้นพบและรายงานรายละเอียดทั้งหมด

ไฟล์บีบอัดดังกล่าวจะวางไฟล์สองส่วนลงบนระบบ ได้แก่ PowerShell loader ที่ถูก obfuscate อย่างหนักลงในโฟลเดอร์ C:\ProgramData\WC3 และ payload สุดท้ายที่เข้ารหัสไว้ลงในไฟล์ C:\ProgramData\wt1 จากนั้น shortcut สำหรับ startup ที่ถูกวางในโฟลเดอร์ Startup ของ Windows จะทำให้ GIFTEDCROOK ทำงานโดยอัตโนมัติทุกครั้งที่ผู้ใช้ล็อกอินกลับเข้าระบบ ทำให้ผู้โจมตีคงสิทธิ์การเข้าถึงอย่างต่อเนื่องโดยไม่ต้องดำเนินการเพิ่มเติม

เมื่อทำงานเต็มรูปแบบ GIFTEDCROOK จะเคลื่อนที่อย่างเงียบ ๆ ทั่วเครื่องที่ติดมัลแวร์ มุ่งเป้าไปที่เบราว์เซอร์อย่าง Chrome, Edge, Opera และ Firefox เพื่อดึงข้อมูลล็อกอิน คุกกี้ และไฟล์เซสชันที่บันทึกไว้ พร้อมทั้งค้นหาโปรไฟล์ VPN ฐานข้อมูล KeePass และไฟล์อีเมล รวบรวมทุกอย่างเป็นไฟล์ ZIP ก่อนส่งออกไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม การมุ่งเป้าบุคลากรสายทหารยูเครนสะท้อนว่าแคมเปญนี้มีลักษณะของปฏิบัติการจารกรรมข้อมูลที่มีเป้าหมายชัดเจน

GIFTEDCROOK malware abuses WinRAR ADS and reflective loading to steal browser data
GIFTEDCROOK malware abuses WinRAR ADS and reflective loading to steal browser data

วิธีการโจมตี

การโจมตีอาศัยการผสมผสานระหว่าง WinRAR Alternate Data Streams (ADS) และ reflective PE loading เพื่อส่ง GIFTEDCROOK ขณะหลบเลี่ยงเครื่องมือรักษาความปลอดภัยส่วนใหญ่ คุณสมบัติ ADS เปิดให้ไฟล์บีบอัดสามารถพกพาไฟล์พิเศษที่มองไม่เห็นมาพร้อมกับ PDF ล่อที่มองเห็นได้ ดังนั้นเมื่อแตกไฟล์บีบอัด ส่วนประกอบอันตรายหลายชิ้นจะถูกวางลงบนเครื่องของเหยื่อโดยไม่ก่อให้เกิดสัญญาณเตือนที่ชัดเจน

PowerShell loader ที่อยู่ในโฟลเดอร์ WC3 ถูกฝังกลบด้วยโค้ดขยะหลายพันบรรทัด ชื่อฟังก์ชันแบบสุ่ม และคำสั่งแสดงผลที่ไม่เกี่ยวข้อง เพื่อสร้างความสับสนให้กับเครื่องมือวิเคราะห์ ส่วนตรรกะการทำงานจริงจะอ่าน payload ที่เข้ารหัสจากไฟล์ wt1 ถอดรหัสด้วยการลบค่า 72 ออกจากแต่ละไบต์ แล้วโหลดผลลัพธ์เข้าสู่หน่วยความจำโดยตรงผ่านการเรียกใช้ Windows API ระดับล่าง ทำให้ไม่มีไฟล์ปฏิบัติการที่ตรวจจับได้หลงเหลืออยู่บนดิสก์

payload ที่ถอดรหัสแล้วเป็นไฟล์ PE แบบ headless ที่กำหนดเอง หมายความว่ามันไม่มีส่วนหัว (header) มาตรฐานที่เครื่องมือสแกนความปลอดภัยมักมองหา โดย reflective loader ชื่อ Main.dll!Func จะประกอบโครงสร้าง DLL ขึ้นใหม่ในหน่วยความจำ resolve ฟังก์ชันที่จำเป็นทั้งหมด และส่งต่อการทำงานไปยัง GIFTEDCROOK โดยไม่แตะระบบไฟล์อีกครั้ง ทำให้การตรวจจับแบบอิงไฟล์แบบดั้งเดิมแทบไร้ผล เมื่อ GIFTEDCROOK ทำงาน มันจะไล่ดู process environment เพื่อค้นหาไดเรกทอรีโปรไฟล์ของเบราว์เซอร์โดยไม่เรียกใช้ API ที่ชัดเจนซึ่งอาจกระตุ้นการตรวจจับเชิงพฤติกรรม แล้วถอดรหัสข้อมูลสำคัญของเบราว์เซอร์ด้วยฟังก์ชัน CryptUnprotectData ของ Windows ก่อนรวบรวมไฟล์เข้าสู่ไดเรกทอรี staging และบีบอัดเป็น ZIP ส่งไปยังเซิร์ฟเวอร์ C2 ที่ hxxps://142.111.194[.]73:8640/dj5FZEiLnA/ นอกจากนี้มัลแวร์ยังเก็บตัวระบุตัวตนต่อการติดมัลแวร์แต่ละครั้งไว้ในไฟล์ชั่วคราว เพื่อให้ผู้โจมตีติดตามเหยื่อแต่ละรายข้ามเซสชันได้โดยไม่ต้องพึ่ง Windows registry

ผลกระทบต่อไทย

แม้แคมเปญนี้จะมุ่งเป้าไปที่บุคลากรสายทหารยูเครนโดยเฉพาะ แต่เทคนิคที่ใช้ถือเป็นภัยคุกคามระดับสากลที่องค์กรไทยต้องเฝ้าระวัง โดยเฉพาะการใช้ WinRAR ADS ซ่อนไฟล์อันตราย และการใช้ reflective PE loading เพื่อหลบเลี่ยงโปรแกรมป้องกันไวรัสแบบอิงไฟล์ ซึ่งเป็นเทคนิคที่ผู้โจมตีกลุ่มอื่นสามารถนำไปใช้ซ้ำกับเป้าหมายในไทยได้ทันที WinRAR เป็นโปรแกรมที่ใช้แพร่หลายในองค์กรไทยทั้งภาครัฐและเอกชน หากผู้ใช้ดาวน์โหลดไฟล์บีบอัดจากอีเมลหรือแหล่งที่ไม่น่าเชื่อถือ ก็มีโอกาสตกเป็นเหยื่อได้ ขณะที่ GIFTEDCROOK พุ่งเป้าขโมย credential เบราว์เซอร์ คุกกี้ ฐานข้อมูล KeePass และโปรไฟล์ VPN ซึ่งหากรั่วไหลอาจเปิดทางให้ผู้โจมตีเข้าถึงระบบภายในองค์กรต่อได้

คำแนะนำ

ทีมความปลอดภัยควรเฝ้าระวังการแก้ไขโฟลเดอร์ Startup การรัน PowerShell ที่ผิดปกติซึ่งเกี่ยวข้องกับคำสั่ง IEX และการเชื่อมต่อขาออกไปยังพอร์ตที่ไม่ใช่มาตรฐาน นอกจากนี้การบล็อกการรันไฟล์ LNK ที่มาจากไฟล์บีบอัด และการบังคับใช้นโยบายการรัน PowerShell ที่เข้มงวดขึ้น จะช่วยลดความเสี่ยงต่อห่วงโซ่การโจมตีลักษณะนี้ได้อย่างมีนัยสำคัญ ควรให้ความรู้ผู้ใช้ให้ระมัดระวังเอกสารแนบที่มาในรูปไฟล์บีบอัด ตรวจสอบไฟล์ก่อนเปิดด้วยเครื่องมือที่ตรวจจับ ADS ได้ และพิจารณาใช้โซลูชัน EDR ที่ตรวจจับพฤติกรรมการโหลดเข้าหน่วยความจำได้

Indicators of Compromise (IoCs)

หมายเหตุ: IP address และโดเมนถูก defang (เช่น [.]) โดยตั้งใจ เพื่อป้องกันการ resolve หรือสร้างลิงก์โดยไม่ตั้งใจ ให้ re-fang เฉพาะภายในแพลตฟอร์มข่าวกรองภัยคุกคามที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM เท่านั้น

ประเภทIndicatorคำอธิบาย
SHA-256420f1931af9b3f7d02c5edfc78eb69abdad6e71d2c3e9b81f9cbc3823a503654ไฟล์บีบอัดอันตราย
SHA-256dc4c906e56ecb446cbb10b227e1fb470e428108584678314533d80e52a2b9b30PDF ล่อ (decoy)
SHA-25605e131555faabae0960f0527cfb72d2b8e2381fd0fde22b0b4e2b365c7faf445Startup LNK
SHA-2566b7e3dd5af5a56dd24e96c5b13282ad084c78d0a589d5e4c1b6ba58b4525d9a8WC3 PowerShell Loader
SHA-2563006a6639eff677b08595927cf219a3bcd5fdd02bfd592606316bfd4623bb902Encoded wt1 Payload
SHA-25678538f945a1d20aa392f3065f222223a4ed47284abfafa8c135bdfd9eacef222Decoded Custom-Header Image
SHA-256b268ecbc386d32ace546dd483707fd2c923de8f091741e544f52c7f872fe0d91PE ที่ประกอบใหม่ (วิเคราะห์เท่านั้น)
IP:Port142.111.194[.]73:8640เซิร์ฟเวอร์ Command-and-Control
URLhxxps://142.111.194[.]73:8640/dj5FZEiLnA/C2 Callback Endpoint
File PathC:\ProgramData\WC3Obfuscated PowerShell Loader
File PathC:\ProgramData\wt1Encoded Stage Payload
File Path%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ThJRq_6uEj.lnkPersistence Startup Shortcut
File Path%USERPROFILE%\RJ_8An6YWmhvYh9I8MeStaging Directory
File Path%USERPROFILE%\qhGQKHaADCeIZe2UoRub.zipไฟล์ exfiltration สุดท้าย
File Path%TEMP%\oBKhrQLe1CKmO3RhHOไฟล์ระบุตัวตนต่อการติดมัลแวร์
File Path%TEMP%\logs.txtไฟล์ log ของมัลแวร์
File NameMain.dllReflective Loader DLL
File Nameвзвод розвідки.pdfPDF ล่อธีมยูเครน

แหล่งอ้างอิง