สรุปสั้น

มีการค้นพบแคมเปญโจมตีไซเบอร์ครั้งใหม่ที่กระจายมัลแวร์ตระกูลที่ไม่เคยมีการบันทึกมาก่อนชื่อ SharkLoader ซึ่งทำหน้าที่เป็น loader สำหรับปล่อย Cobalt Strike Beacon ลงบนเครื่องที่ถูกเจาะ โดยบริษัท Kaspersky ติดตามกิจกรรมนี้ภายใต้ชื่อ StrikeShark และระบุว่าแคมเปญดังกล่าวพุ่งเป้าไปที่องค์กรทางการทูตในอินโดนีเซีย หน่วยงานรัฐในไต้หวัน บริษัทพัฒนาซอฟต์แวร์ในหลายประเทศ รวมถึงหน่วยงานในภาคส่วนอื่น ๆ ที่ตั้งอยู่ในฮ่องกง เลบานอน ซีเรีย โคลอมเบีย มาซิโดเนียเหนือ เนปาล และเซอร์เบีย ซึ่งบ่งชี้ว่าเป็นแคมเปญที่มีขอบเขตทางภูมิศาสตร์กว้างและมีชุดเป้าหมายหลากหลาย มากกว่าจะจำกัดอยู่ที่อุตสาหกรรมหรือภูมิภาคใดภูมิภาคหนึ่ง

แม้แคมเปญนี้จะไม่มีความเชื่อมโยงโดยตรงกับกลุ่มผู้โจมตีที่รู้จัก แต่ผู้ปฏิบัติการได้ใช้เครื่องมือ post-compromise แบบโอเพนซอร์สหลายตัว เช่น FScan และ Pillager ซึ่งมักถูกใช้โดยนักพัฒนาที่พูดภาษาจีน ทำให้เชื่อว่าเป็นฝีมือของผู้โจมตีที่พูดภาษาจีน โดยห่วงโซ่การโจมตีอาศัยช่องทางเข้าถึงเริ่มต้นสองแบบ คือการใช้ประโยชน์จากช่องโหว่ Exchange Server ที่รู้จักอย่าง CVE-2021-26855 (ProxyLogon) เพื่อโจมตีหน่วยงานทูตอินโดนีเซีย หรือผ่านช่องโหว่ path traversal ใน Openfire (CVE-2023-32315) สำหรับองค์กรพัฒนาซอฟต์แวร์ในไต้หวัน และช่องโหว่ RCE ร้ายแรงใน GeoServer (CVE-2024-36401) สำหรับองค์กรในโคลอมเบีย เมื่อยึดหัวหาดได้ ผู้โจมตีจะสร้างความคงอยู่ด้วยการวาง web shell เพื่อกระตุ้นห่วงโซ่ DLL side-loading และส่ง SharkLoader ในที่สุด

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 26 มิถุนายน พ.ศ. 2569 ว่า บริษัท Kaspersky ผู้จำหน่ายโซลูชันความปลอดภัยไซเบอร์สัญชาติรัสเซีย ได้ค้นพบแคมเปญโจมตีที่ส่งมัลแวร์ใหม่ชื่อ SharkLoader ซึ่งทำหน้าที่เป็น loader ปล่อย Cobalt Strike Beacon ภายใต้ปฏิบัติการที่ติดตามในชื่อ StrikeShark

ผู้โจมตีได้นำช่องโหว่ RCE และ authentication bypass ที่เปิดเผยต่อสาธารณะหลายรายการมาใช้เป็นอาวุธ ได้แก่ Apache Shiro (CVE-2016-4437), ผลิตภัณฑ์ Hikvision (CVE-2021-36260), Microsoft SharePoint (CVE-2021-27076), Zimbra Collaboration Suite (CVE-2022-27925), Microsoft Exchange Server (CVE-2022-41082 หรือ ProxyNotShell), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2024-21762 และ CVE-2022-40684), React Server Components (CVE-2025-55182) และ Cisco IOS XE Web UI (CVE-2023-20198) โดยประเมินว่าผู้โจมตีน่าจะใช้ proof-of-concept (PoC) ที่เผยแพร่บน GitHub หรือแพลตฟอร์มโอเพนซอร์สอื่นเพื่อเข้าถึงเป้าหมายแบบฉวยโอกาส

นอกจากการใช้ช่องโหว่แล้ว StrikeShark ยังกระจาย loader ผ่าน dropper ที่ปลอมตัวเป็นโปรแกรมติดตั้งหรือแอปพลิเคชันถูกต้อง เช่น Google Update และ Cisco AnyConnect แล้วรันมัลแวร์เมื่อกระบวนการติดตั้งเสร็จสิ้น โดยบาง dropper ใช้เอกสาร PDF ล่อเพื่อโน้มน้าวให้เหยื่อเปิดไฟล์อันตราย Kaspersky ระบุว่าแม้จะยังไม่พบหลักฐานการขโมยข้อมูลออกชัดเจน แต่การมุ่งเป้าหน่วยงานรัฐและบริษัทพัฒนาซอฟต์แวร์บ่งชี้ว่าน่าจะเป็นปฏิบัติการจารกรรมไซเบอร์ที่สนใจข่าวกรองทางการเมืองหรือทรัพย์สินทางปัญญา

วิธีการโจมตี

เมื่อยึดหัวหาดได้ ผู้โจมตีจะสร้างความคงอยู่ด้วยการวาง web shell เพื่อกระตุ้นห่วงโซ่ DLL side-loading ที่เกี่ยวข้องกับ SystemSettings.exe (CVE-2021-27076) เพื่อส่ง SharkLoader (SystemSettings.dll) เมื่อ DLL ถูกโหลด SharkLoader จะใช้เทคนิค Perfect DLL Hijacking ที่นักวิจัยความปลอดภัย นาย Elliot Killick อธิบายไว้เมื่อเดือนตุลาคม 2023 เพื่อรันโค้ดอันตรายขณะหลบเลี่ยง Windows Loader Lock ซึ่งเป็นล็อกระดับระบบที่ระบบปฏิบัติการถือไว้ขณะโหลดและยกเลิกการโหลด DLL

โดยเฉพาะ มัลแวร์ถูกออกแบบให้ถอดรหัสและโหลด DscCoreR.mui ซึ่งใช้คลายการบีบอัดและโหลด Cobalt Strike ใน thread ใหม่ที่ถูกสร้างในสถานะ suspended พร้อมส่วนประกอบอีกสองตัว ได้แก่ SyncRes.dat ที่ติดตั้ง Windows API hook หลายตัวด้วยไลบรารี Microsoft Detours เพื่อตรวจสอบ exception ระหว่างรันไทม์ และ MinHook DLL ที่ติดตั้ง API hook สำหรับฟังก์ชัน VirtualAlloc และ Sleep เพื่อคัดลอก Cobalt Strike Beacon ที่คลายบีบอัดแล้วเข้าสู่พื้นที่หน่วยความจำที่จัดสรรไว้ โดย hook ที่เกี่ยวกับ Sleep จะถูกกระตุ้นเมื่อ Beacon เรียก Sleep เพื่อพยายามหลบเทคนิคการสแกนหน่วยความจำที่มองหาพื้นที่โค้ดแบบ executable (RWX) สุดท้ายมัลแวร์จะเรียก ResumeThread เพื่อเริ่มการทำงานของ beacon

แม้ SharkLoader จะไม่มีกลไกความคงอยู่ในตัว แต่ผู้โจมตีใช้ Registry Run keys และ scheduled task เพื่อเปิดใช้ SystemSettings.exe ทั้งเมื่อผู้ใช้ล็อกอินหรือแม้ไม่มีผู้ใช้ล็อกอินอยู่ก็ตาม การโจมตียังมีขั้นตอนการสำรวจระบบอย่างกว้างขวาง ทั้งการ enumerate Active Directory การขโมย credential ผ่าน process LSASS และไฟล์ฐานข้อมูล NTDS รวมถึงการใช้เครื่องมือสแกนและเก็บข้อมูลโอเพนซอร์สอย่าง FScan, Searchall และ Pillager

ผลกระทบต่อไทย

แม้รายงานจะไม่ได้ระบุเหยื่อในไทยโดยตรง แต่เป้าหมายของ StrikeShark ครอบคลุมหน่วยงานทูตในอินโดนีเซียและหน่วยงานรัฐในไต้หวัน ซึ่งอยู่ในภูมิภาคเอเชียและใกล้เคียงกับไทย สะท้อนว่าผู้โจมตีที่พูดภาษาจีนกลุ่มนี้มีความสนใจในเป้าหมายเอเชียตะวันออกและเอเชียตะวันออกเฉียงใต้ หน่วยงานรัฐและบริษัทพัฒนาซอฟต์แวร์ของไทยจึงอยู่ในกลุ่มเสี่ยงที่อาจตกเป็นเป้าด้วยรูปแบบเดียวกัน โดยเฉพาะองค์กรที่ยังเปิดบริการ public-facing ที่มีช่องโหว่ค้างอยู่ เช่น Exchange Server, FortiOS, Cisco IOS XE หรือ SharePoint ซึ่งล้วนเป็นช่องทางเข้าถึงเริ่มต้นที่แคมเปญนี้ใช้ การที่ผู้โจมตีอาศัย PoC สาธารณะโจมตีแบบฉวยโอกาส ยิ่งทำให้องค์กรไทยที่แพตช์ช้ามีความเสี่ยงสูง

คำแนะนำ

องค์กรควรเร่งแพตช์ช่องโหว่ที่เปิดเผยต่อสาธารณะทั้งหมดในระบบ public-facing โดยเฉพาะรายการ CVE ที่ระบุในแคมเปญนี้ เฝ้าระวังพฤติกรรม DLL side-loading ที่เกี่ยวข้องกับ SystemSettings.exe/SystemSettings.dll ตรวจสอบ Registry Run keys และ scheduled task ที่ผิดปกติ รวมถึงเฝ้าระวังการเข้าถึง process LSASS และไฟล์ NTDS ซึ่งบ่งชี้ความพยายามขโมย credential ควรใช้โซลูชัน EDR ที่ตรวจจับ Cobalt Strike Beacon ในหน่วยความจำ จำกัดสิทธิ์การติดตั้งซอฟต์แวร์เพื่อลดความเสี่ยงจาก dropper ที่ปลอมเป็นโปรแกรมติดตั้ง และตรวจหา web shell บนเซิร์ฟเวอร์ที่เปิดสู่อินเทอร์เน็ตอย่างสม่ำเสมอ

แหล่งอ้างอิง