สรุปสั้น

กลุ่มภัยคุกคามขั้นสูงแบบต่อเนื่อง (APT) ของรัสเซียที่ชื่อ Gamaredon ยังคงพัฒนาและขยายคลังมัลแวร์อย่างต่อเนื่อง ในฐานะส่วนหนึ่งของการโจมตีไซเบอร์ต่อยูเครนที่ดำเนินมาตลอดปี 2025 บริษัท ESET บริษัทความมั่นคงปลอดภัยไซเบอร์จากสโลวาเกีย ระบุว่าได้สังเกตเห็น 35 แคมเปญ spear-phishing ที่แตกต่างกันซึ่ง Gamaredon ปล่อยใส่เป้าหมายใหม่ ๆ โดยส่วนใหญ่เกิดขึ้นในครึ่งหลังของปี เป้าหมายหลักคือสถาบันของรัฐและกองทัพยูเครน ESET ระบุว่า “ตลอดปี 2025 Gamaredon ยังคงเคลื่อนไหวอย่างหนักและมุ่งเป้าไปที่ยูเครนเพียงอย่างเดียว เป้าหมายสูงสุดของกลุ่มยังคงเป็นการขโมยข้อมูลละเอียดอ่อนและข้อมูลสำคัญอื่น ๆ ที่อาจนำไปใช้สนับสนุนผลประโยชน์ของรัสเซียในสงครามที่ยังดำเนินอยู่ในยูเครน” จุดเด่นของปีนี้คือการเพิ่มเครื่องมือ PowerShell อันตรายใหม่ถึง 6 ตัว และการพึ่งพาบริการของบุคคลที่สาม เช่น tunnel service และแพลตฟอร์ม serverless worker มากขึ้นอย่างมีนัยสำคัญ เพื่อใช้ซ่อนโครงสร้างพื้นฐานเบื้องหลังตัวจริง ทำให้ปฏิบัติการมีความยืดหยุ่นและยากต่อการขัดขวางมากขึ้น

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 29 มิถุนายน 2569 ว่าบริษัท ESET ได้เปิดเผยรายงานสรุปกิจกรรมของกลุ่ม Gamaredon ตลอดปี 2025 โดยพบ 35 แคมเปญ spear-phishing ที่มุ่งเป้าหน่วยงานรัฐและทหารยูเครนเป็นหลัก

แคมเปญ spear-phishing เหล่านี้ใช้ไฟล์แนบแบบ archive หรือไฟล์ XHTML ที่ใช้เทคนิค HTML smuggling เพื่อส่ง HTA downloader อันตราย ซึ่งทำหน้าที่ปล่อย payload เพิ่มเติม เช่น PteroSand บางการโจมตียังใช้ช่องโหว่ใน WinRAR ที่ได้รับการแก้ไขแล้ว (CVE-2025-8088) เป็นอาวุธ เพื่อวาง HTA downloader ลงในโฟลเดอร์ Windows Startup ของเหยื่อ ส่งผลให้ downloader ถูกรันโดยอัตโนมัติในการล็อกอินครั้งถัดไป จึงเพิ่มกลไกการฝังตัวถาวรเข้าไปในห่วงโซ่การบุกรุก การโจมตีของ Gamaredon ยังเป็นที่รู้จักว่าพึ่งพาเครื่องมือสร้างอาวุธอย่าง PteroLNK และ PteroPaste เพื่ออำนวยความสะดวกในการเคลื่อนที่ด้านข้าง (lateral movement) ด้วยการแพร่เชื้อใส่ไดรฟ์ USB และไดรฟ์เครือข่ายด้วยไฟล์ LNK อันตราย ที่เมื่อผู้ใช้ที่ไม่ระวังเปิดขึ้นมา ก็จะกระตุ้นให้ดึงมัลแวร์ downloader ลงมา

นอกจากนี้ยังมีการใช้ PteroSetup ซึ่งเป็นเครื่องมือสร้างอาวุธแบบ VBScript รุ่นเก่าที่ตรวจพบครั้งแรกในเดือนมกราคม 2021 และเคยถูกคาดว่าเลิกใช้ไปแล้ว โดยเครื่องมือนี้จะสแกนไดรฟ์ USB และไดรฟ์เครือข่ายที่ map ไว้เพื่อหาไฟล์ติดตั้งที่ถูกต้อง และหากพบ ก็จะแทนที่ด้วยไฟล์ 7z self-extracting (SFX) ที่บรรจุทั้งตัวติดตั้งจริงและ VBScript downloader อันตราย

วิธีการโจมตี

ในปี 2025 การพึ่งพาบริการของบุคคลที่สามของกลุ่มเติบโตขึ้นอย่างมาก โดย ESET ระบุว่า tunnel service และแพลตฟอร์ม serverless worker กลายเป็นส่วนสำคัญที่เพิ่มขึ้นในการซ่อนโครงสร้างพื้นฐานเบื้องหลังตัวจริง การโจมตียังมีลักษณะเด่นที่การเพิ่มเครื่องมือ PowerShell อันตรายใหม่ 6 ตัว ได้แก่ PteroDee และ PteroCache สำหรับดึงและรัน PowerShell payload ในหน่วยความจำ, PteroDum สำหรับดึงและรัน VBScript payload ในหน่วยความจำ, PteroOdd สำหรับดึงเซิร์ฟเวอร์ C2 ผ่าน Telegra.ph API ซึ่งน่าจะใช้ในแคมเปญที่ Gamaredon ร่วมมือกับกลุ่ม Turla, PteroEffigy สำหรับดึงเซิร์ฟเวอร์ C2 ผ่านบริการจัดเก็บข้อมูลคลาวด์ GoFile และ PteroPaste สำหรับสร้างอาวุธบนไดรฟ์ USB และดาวน์โหลด PowerShell payload เพิ่มเติมผ่านช่องทางที่เข้ารหัส

นาย Zoltán Rusnák นักวิจัยของ ESET ระบุว่า แม้กลุ่มจะหยุดปฏิบัติการช่วงสั้น ๆ ในเดือนมกราคม 2025 แต่ Gamaredon ก็ทุ่มเทเวลาส่วนใหญ่ในครึ่งปีแรกไปกับการพัฒนาและติดตั้งเครื่องมือใหม่ การอัปเดตจำนวนมากเกิดขึ้นในช่วงก่อนวันหยุดสำคัญของรัสเซียและไครเมีย และที่น่าสังเกตคือไม่พบการอัปเดตระหว่างหรือทันทีหลังวันหยุดเหล่านี้ ซึ่งบ่งชี้เพิ่มเติมว่าผู้ปฏิบัติการของ Gamaredon น่าจะเป็นพนักงานที่เกี่ยวข้องกับรัฐบาล อีกแง่มุมที่น่าสนใจคือการใช้บริการที่ถูกต้องตามกฎหมายหลากหลายเป็นช่องทางขโมยข้อมูลและเป็น dead drop resolver เพื่อรับรายละเอียดเซิร์ฟเวอร์ C2 ได้แก่ Telegra.ph, Teletype, Rentry.co, Write.as, Dropbox, GoFile, DEV Community (dev.to), Mastodon, Lesma, Nopaste.net, Paste.ee, Wasabi, Tebi และ Intercolo ESET สรุปว่ากลุ่มชดเชยความเรียบง่ายของมัลแวร์ด้วยความต่อเนื่อง การอัปเดตบ่อยครั้ง และการใช้บริการออนไลน์ที่ถูกต้องตามกฎหมายในทางที่ผิดอย่างสร้างสรรค์มากขึ้น

ผลกระทบต่อไทย

แม้ Gamaredon จะมุ่งเป้าเฉพาะยูเครน แต่เทคนิคที่กลุ่มใช้เป็นบทเรียนสำคัญสำหรับองค์กรไทย โดยเฉพาะการใช้ช่องโหว่ WinRAR (CVE-2025-8088) ซึ่งเป็นซอฟต์แวร์บีบอัดยอดนิยมที่ผู้ใช้ไทยจำนวนมากติดตั้ง และมักไม่ได้อัปเดตเป็นเวอร์ชันล่าสุด การใช้ HTML smuggling ผ่านไฟล์แนบ และการแพร่เชื้อผ่านไดรฟ์ USB และไดรฟ์เครือข่าย ล้วนเป็นเทคนิคที่กลุ่มภัยคุกคามอื่น ๆ นำไปใช้ซ้ำได้ จุดที่ควรจับตาเป็นพิเศษคือการใช้บริการคลาวด์และแพลตฟอร์มที่ถูกต้องตามกฎหมาย เช่น Dropbox, Telegram และ Mastodon เป็นช่องทาง C2 ซึ่งทำให้ทราฟฟิกอันตรายกลมกลืนกับการใช้งานปกติ ยากต่อการตรวจจับด้วยระบบที่อนุญาตบริการเหล่านี้ องค์กรไทยจึงควรอัปเดต WinRAR เฝ้าระวังการเรียกใช้บริการคลาวด์จากกระบวนการที่ผิดปกติ และจำกัดการรันไฟล์จากไดรฟ์ที่ถอดได้

คำแนะนำ

ผู้ดูแลระบบและองค์กรควรอัปเดต WinRAR เป็นเวอร์ชันที่แก้ไข CVE-2025-8088 แล้วโดยด่วน เฝ้าระวังไฟล์แนบประเภท archive และ XHTML ที่อาจใช้ HTML smuggling ตรวจสอบโฟลเดอร์ Windows Startup เพื่อหา HTA downloader ที่น่าสงสัย จำกัดและตรวจสอบการรันไฟล์ LNK และไฟล์ติดตั้งจากไดรฟ์ USB และไดรฟ์เครือข่าย เฝ้าระวังกระบวนการที่เรียกใช้บริการคลาวด์และ paste site ที่ถูกต้องตามกฎหมาย (เช่น Telegra.ph, Dropbox, GoFile, Mastodon) โดยไม่มีเหตุผลทางธุรกิจ และนำ indicator of compromise ที่ ESET เผยแพร่ไปใช้ในระบบตรวจจับ พร้อมฝึกอบรมพนักงานให้ระวัง spear-phishing ที่อิงประเด็นสถานการณ์ปัจจุบัน

Indicators of Compromise (IoCs)

หมายเหตุ: Indicator ทั้งหมด defang ไว้แล้ว (เช่น evil[.]com, 1.2.3[.]4) ห้ามคลิกหรือเชื่อมต่อโดยตรง — ชุด IoC จาก ESET (รายงาน Gamaredon ปี 2025)

ESET detection names

Win32/Pterodo · Win64/Pterodo · MSIL/Pterodo · DOC/TrojanDownloader.Pterodo · VBA/Pterodo · JS/Pterodo · LNK/TrojanDownloader.Pterodo · PowerShell/Pterodo · VBS/Pterodo · Win32/TrojanDownloader.Pterodo

Sample Hashes (SHA-1)

SHA-1Detectionรายละเอียด
41BDC7545EE8A7E37714AE6C4F69F95C846FCB38PowerShell/Pterodo.SVPteroBox รุ่น rclone
76EC9B898E3FED239AF3895D9F3225EFB1273DCCPowerShell/Pterodo.WYPteroBox รุ่น API
606C2692E409E40E6D563458FDF71FAA9EA22557VBS/Pterodo.COCPteroCache — ดาวน์โหลด PowerShell payload
569265C1BDE1D738963DD027BEB24AE0DC864F7FVBS/Pterodo.CAQPteroDee — ดาวน์โหลด PowerShell payload
584685A6AA84192302DF27C35E492B2846C06DD6PowerShell/Pterodo.VPPteroDum — ดาวน์โหลด VBScript payload
8CB65FE85C25CE521139990689AC989B44A0A230PowerShell/Pterodo.UEPteroEffigy — ดาวน์โหลด PowerShell payload
42DB9DE2017F66ED3AF88E7B1094891627B3C706PowerShell/Pterodo.QBPteroOdd — ดึง C2 ผ่าน Telegra.ph API
61B03FF9D84EB653F9F66867DBF76DFB1E130E93PowerShell/Pterodo.WYPteroPaste — downloader + ตัวสร้างอาวุธ USB
256DE94FDBF675E3CCB1ADC42AB74771B5381B3FVBS/Pterodo.CEBPteroGram — ขโมยข้อมูล Telegram Desktop
B66B2FB1A71A7E8CAF3B9A90DD84A2A3619F5CC5PowerShell/Pterodo.WKPteroSteal — ขโมย credential (รุ่น PowerShell)
ED5BA0EF9E2413F1CD29464209F7B5E347810299PowerShell/Pterodo.PKPteroLNK — ตัวสร้างอาวุธ USB (รุ่น PowerShell)
B13B5B1186B5AC0558E692E72990ECEB810BDA47VBS/Pterodo.CLRPteroLNK — ตัวสร้างอาวุธ USB/network drive (รุ่น VBScript)
F045E11EEA6AF11867380141C1E1888F433B5342PowerShell/Pterodo.WOPteroPSDoor version 1000
09A22856890AB6AEF6311CA2BD27BE54E86DA75CPowerShell/Pterodo.QDPteroPSLoad — PowerShell downloader
7947737949CC3D273DFE8DBD9F70701A25ED05B8VBS/Pterodo.CMEPteroVDoor version 2000
7976F1E6B079008E56AE35F1AFC6336D12CBA8E1VBS/Pterodo.BOUPteroX — VBScript downloader อเนกประสงค์

Network IoCs — Domains

DomainFirst seen
wwpeeya.ignores.workers[.]dev2025-11-20
szrtrboyre.fewwef.workers[.]dev2025-12-29
srkwk.3742eddi.workers[.]dev2025-08-11
jvyuwatt.ssuworker.workers[.]dev2025-12-29
stake.ytmrj83283.workers[.]dev2026-01-01
wage.zpwyi71185.workers[.]dev2025-12-30
d16ss6sn-80.euw.devtunnels[.]ms2025-08-11
ch47f6gl-80.euw.devtunnels[.]ms2025-12-30
7tnzsgp4-80.use.devtunnels[.]ms2025-12-31
x3f2q1cd-80.asse.devtunnels[.]ms2025-12-29
x8b9b7q2-80.euw.devtunnels[.]ms2025-12-23
4273twd6-80.euw.devtunnels[.]ms2025-12-30
ser-uk-defines-involved.trycloudflare[.]com2025-08-11
cheese-metals-gourmet-interviews.trycloudflare[.]com2026-01-01
parameter-iron-turns-combinations.trycloudflare[.]com2025-12-30
alfred-assumptions-asin-winston.trycloudflare[.]com2025-02-18
your-combination-percent-gibson.trycloudflare[.]com2025-12-31
innocent-fares-supposed-loved.trycloudflare[.]com2025-12-29
graph-proved-physicians-ward.trycloudflare[.]com2025-12-23
finally-election-audience-dont.trycloudflare[.]com2025-12-30
8b82933574e0112129f7062a41689f7a.loophole[.]site2025-08-11
99a23d4d4f0c9ca8e8bac7d30a02442d.loophole[.]site2025-12-23
litanq[.]ru2025-03-13
estaca[.]ru2026-01-01
earlysilence[.]ru2026-01-01
zalupka[.]net2025-12-29
veryinappropriate[.]ru2026-01-01
holdmyspice[.]ru2025-03-23
maybefallout[.]ru2025-12-30
maybefallout[.]online2025-12-30
lettinggo[.]ru2025-12-30
dushun[.]ru2025-03-03

Network IoCs — IP Addresses

IPHosting providerFirst seen
69.67.173[.]214BL Networks2026-01-01
167.88.164[.]202RouterHosting LLC2025-03-03
172.235.166[.]243Linode2025-03-23

แหล่งอ้างอิง