สรุปสั้น

นักวิจัยด้านความปลอดภัยเปิดโปงมัลแวร์ loader ตัวใหม่ชื่อ SharkLoader ที่แทรกซึมเข้าเครือข่ายอย่างเงียบ ๆ ด้วยการซ่อนตัวอยู่ในตัวติดตั้งซอฟต์แวร์ปลอม และถูกพบว่าใช้ส่ง Cobalt Strike Beacon ซึ่งเป็นเฟรมเวิร์ก post-exploitation ชื่อดังลงบนเครื่องที่ถูกเจาะ แคมเปญนี้ผสมลูกเล่นเก่าอย่างการปลอมมัลแวร์เป็นโปรแกรมที่น่าเชื่อถือ เข้ากับวิศวกรรมการหลบเลี่ยงการตรวจจับที่ล้ำลึกอยู่เบื้องหลัง ผู้โจมตีที่ถูกติดตามในชื่อคลัสเตอร์ StrikeShark ไม่ได้พึ่งช่องทางเข้าเครือข่ายทางเดียว แต่ทั้งเจาะช่องโหว่ที่รู้จักในซอฟต์แวร์อย่าง Microsoft Exchange, SharePoint, อุปกรณ์ Fortinet และ Cisco IOS XE ควบคู่กับการแจก dropper ที่ปลอมเป็นเครื่องมืออย่าง Cisco AnyConnect และ Google Update

นักวิเคราะห์จาก บริษัท PolySwarm เป็นผู้ระบุและจัดทำเอกสาร SharkLoader หลังตรวจสอบตัวอย่างที่ผูกกับชุดการบุกรุกนี้ โดยชี้ว่ามัลแวร์นี้ไม่ใช่แค่ downloader ธรรมดา แต่เป็น loader ที่จัดขั้นตอนอย่างพิถีพิถันเพื่อเลี่ยงการตรวจจับในทุกขั้น มันถอดรหัสและรันเกือบทั้งหมดในหน่วยความจำ ทิ้งร่องรอยให้เครื่องมือแอนติไวรัสจับได้น้อยมาก เหยื่อที่ยืนยันแล้วครอบคลุมหน่วยงานรัฐ คณะผู้แทนทางการทูต และบริษัทซอฟต์แวร์ในอินโดนีเซีย ไต้หวัน ฮ่องกง เลบานอน ซีเรีย โคลอมเบีย นอร์ทมาซิโดเนีย เนปาล และเซอร์เบีย การกระจายเช่นนี้บ่งชี้ว่าผู้โจมตีหว่านแหกว้าง แต่การกระจุกตัวที่เครือข่ายรัฐและการทูตก็ทำให้เกิดคำถามเรื่องแรงจูงใจด้านการข่าวกรอง

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 3 กรกฎาคม 2569 ว่า บริษัท PolySwarm ได้เปิดเผยรายงานที่แชร์ให้ CSN ระบุว่างานวิจัยของพวกเขาแสดงให้เห็นว่า SharkLoader ถูกออกแบบมาเป็น loader หลายขั้นเพื่อหลบการตรวจจับในทุกจังหวะ ส่วนที่สะดุดตาที่สุดของแคมเปญคือการใช้ “ความไว้วางใจ” มาเล่นงานเหยื่อ ด้วยการห่อ SharkLoader ไว้ในตัวติดตั้งที่ทำแบรนด์ให้ดูเหมือน Cisco AnyConnect หรือ Google Update ผู้โจมตีจึงอาศัยสัญชาตญาณของผู้ใช้ที่มักคลิกหน้าต่างอัปเดตที่คุ้นเคยโดยไม่คิดซ้ำ เมื่อเปิดขึ้นมา ตัวติดตั้งปลอมจะแอบวาง loader ลงเครื่องขณะที่เหยื่อเชื่อว่ากำลังอัปเดตซอฟต์แวร์ของแท้

จากนั้น SharkLoader จะใช้เทคนิค DLL side loading โดยส่วนใหญ่ผ่านการยึดโปรแกรม Windows ของแท้ชื่อ SystemSettings.exe ให้โหลดไฟล์อันตรายชื่อ SystemSettings.dll เนื่องจากโปรเซสที่มองเห็นเป็นคอมโพเนนต์ Windows ของแท้ที่มีลายเซ็น เครื่องมือความปลอดภัยที่พึ่งพาชื่อเสียงของไฟล์ (file reputation) เพียงอย่างเดียวจะไม่ตั้งข้อสงสัย นอกจากนี้นักวิจัยยังพบว่ามัลแวร์ใช้เทคนิค Perfect DLL Hijacking ซึ่งบิดเบือนพฤติกรรมภายในของตัวโหลด Windows เพื่อเรียกทำงานเธรดอันตรายพร้อมหลบล็อกความปลอดภัย

วิธีการโจมตี

SharkLoader ไม่ได้แค่เข้าเครื่องอย่างเงียบ ๆ แต่ยังทำงานหนักเพื่ออยู่ให้รอดต่อไป มัลแวร์ hook การเรียก Windows API จำนวนมากแล้วเปลี่ยนเส้นทางไปยัง raw system call ที่สร้างขึ้นแบบทันที เพื่อช่วยเลี่ยงเครื่องมือที่คอยเฝ้าพฤติกรรมน่าสงสัย มันยังแทรกแซงการบันทึกล็อกของ Event Tracing for Windows (ETW) และปลอม parent process ID เพื่อกลมกลืนกิจกรรมของตัวเองเข้ากับ “เสียงรบกวน” ปกติของระบบ เพื่อคงอยู่ในเครื่อง ผู้โจมตีตั้ง persistence ผ่าน scheduled task ที่รันทุกห้านาที, registry run key และ scheduled task เพิ่มเติมที่รันด้วยสิทธิ์ระดับ SYSTEM

หลังปักหลักได้แล้ว ผู้โจมตีจะเดินหน้าสู่ขั้นสำรวจ ทั้งการ enumerate Active Directory, ขโมยข้อมูลรับรอง, dump หน่วยความจำ LSASS และดึงฐานข้อมูล NTDS ซึ่งเป็นขั้นตอนคลาสสิกในการควบคุมเครือข่าย จากนั้นจึงใช้ Cobalt Strike Beacon และเครื่องมือ post-exploitation แบบโอเพนซอร์สหลายตัวเพื่อเคลื่อนย้ายด้านข้าง (lateral movement) ระหว่างระบบ นักวิจัยระบุด้วยความมั่นใจระดับต่ำถึงปานกลางว่าเครื่องมือบางส่วนในแคมเปญนี้ดูเหมือนถูกสร้างโดยนักพัฒนาที่พูดภาษาจีน แต่ยังไม่มีหลักฐานชัดที่ผูก StrikeShark กับกลุ่มที่รู้จักมาก่อน จึงควรถือว่าเป็นภัยคุกคามแยกต่างหาก

ผลกระทบต่อไทย

แม้รายชื่อเหยื่อที่ยืนยันจะไม่ปรากฏชื่อไทยโดยตรง แต่การกระจุกตัวของเหยื่อในเอเชียตะวันออกและเอเชียตะวันออกเฉียงใต้ ทั้งอินโดนีเซีย ไต้หวัน ฮ่องกง และเนปาล สะท้อนว่าภูมิภาคนี้อยู่ในขอบเขตการโจมตี หน่วยงานรัฐ คณะทูต และบริษัทซอฟต์แวร์ในไทยที่ยังเปิดช่องโหว่บน Microsoft Exchange, SharePoint, อุปกรณ์ Fortinet หรือ Cisco IOS XE จึงมีความเสี่ยงที่จะถูกใช้เป็นทางเข้า ยิ่งไปกว่านั้น การปลอมตัวติดตั้งเป็น Cisco AnyConnect และ Google Update เป็นกลลวงที่ได้ผลสูงในองค์กรที่ผู้ใช้คุ้นเคยกับหน้าต่างอัปเดตเหล่านี้ ขณะที่การรันในหน่วยความจำและ DLL side loading ผ่านไฟล์ Windows ของแท้ทำให้แอนติไวรัสที่ดูแค่ลายเซ็นไฟล์ตรวจจับได้ยาก

คำแนะนำ

บริษัท PolySwarm แนะนำให้องค์กรจัดลำดับความสำคัญของการแพตช์แอปพลิเคชันและอุปกรณ์เครือข่ายที่เปิดสู่อินเทอร์เน็ตให้เร็วที่สุด เพราะการเจาะช่องโหว่ที่รู้จักยังเป็นช่องทางเข้าหลักของแคมเปญนี้ ทีมความปลอดภัยควรเฝ้าระวังพฤติกรรม DLL side loading ที่ผิดปกติ โดยเฉพาะกรณี SystemSettings.exe โหลด DLL จากตำแหน่งที่ไม่ควร และไล่ล่าสัญญาณการรันในหน่วยความจำแทนการพึ่งพาลายเซ็นแบบสถิตเพียงอย่างเดียว ควรดาวน์โหลดซอฟต์แวร์อย่าง Cisco AnyConnect หรือ Google Update จากช่องทางทางการเท่านั้น ตรวจสอบ scheduled task ที่รันถี่ (เช่นทุกห้านาที) และ registry run key ที่น่าสงสัย พร้อมเฝ้าระวังการเข้าถึง LSASS และ NTDS ซึ่งเป็นสัญญาณของการขโมยข้อมูลรับรอง การเฝ้าระวังตัวชี้วัดเชิงพฤติกรรมอย่างต่อเนื่องเป็นสิ่งจำเป็น เพราะมัลแวร์ถูกออกแบบมาให้เล็ดลอดการตรวจจับแบบเดิม ๆ

แหล่งอ้างอิง