สรุปสั้น
บริษัท Kaspersky เปิดเผยกลุ่มภัยคุกคามที่ไม่เคยมีการบันทึกมาก่อนชื่อ Armored Likho ซึ่งอยู่เบื้องหลังการโจมตีหน่วยงานรัฐและภาคพลังงานไฟฟ้าในรัสเซีย บราซิล และคาซัคสถาน ลักษณะเด่นของกลุ่มนี้คือการผสมผสานแคมเปญที่หวังผลทางการเงินโดยพุ่งเป้าไปยังบุคคลทั่วไป เข้ากับการจารกรรมทางไซเบอร์ที่มุ่งโจมตีองค์กร ชุดเครื่องมือของกลุ่มประกอบด้วย RAT และมัลแวร์ขโมยข้อมูลแบบโมดูลาร์ที่ผ่านการทำ obfuscation มาโดยเฉพาะเพื่อหลบการวิเคราะห์เชิงพลวัต (dynamic analysis) จุดเริ่มต้นของการโจมตีคืออีเมลฟิชชิงแบบเจาะจงที่ใช้เนื้อหาล่อลวงเกี่ยวกับประกาศทางราชการหรือโครงการสวัสดิการสังคม เพื่อส่งไฟล์ RAR ที่บรรจุตัวดรอปเปอร์สำหรับดึงเพย์โหลดเพิ่มเติมจากคลัง GitHub
หัวใจสำคัญของแคมเปญนี้คือมัลแวร์ขโมยข้อมูลตัวใหม่ที่ยังไม่เคยมีรายงานมาก่อนชื่อ BusySnake Stealer ซึ่งเขียนด้วยภาษา Python พุ่งเป้าระบบ Windows โดยเวอร์ชันหนึ่งมีโมดูลสำหรับขโมยคุกกี้จากเบราว์เซอร์ Kaspersky ระบุว่า Armored Likho มีความเชื่อมโยงกับกลุ่มที่ BI.ZONE ติดตามในชื่อ Eagle Werewolf ซึ่งเคลื่อนไหวมาตั้งแต่เดือนพฤษภาคม พ.ศ. 2566 และมีประวัติโจมตีหน่วยงานรัฐและกลาโหม โดยเฉพาะที่เกี่ยวข้องกับการพัฒนาอากาศยานไร้คนขับ (UAV) การโจมตีบางสายยังใช้ช่องโหว่การจัดการไฟล์ LNK ของ Windows ที่ตอนนี้ได้รับการแพตช์แล้ว เพื่อรันโค้ดจากระยะไกล สะท้อนถึงความสามารถทางเทคนิคที่กำลังพัฒนาขึ้นเรื่อยๆ ของกลุ่มนี้
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 3 กรกฎาคม พ.ศ. 2569 ว่า บริษัท Kaspersky ได้เผยแพร่บทวิเคราะห์เชิงเทคนิคที่ระบุถึงกลุ่มภัยคุกคามใหม่ชื่อ Armored Likho พร้อมข้อความว่า “Armored Likho ผสมแคมเปญที่หวังผลทางการเงินซึ่งพุ่งเป้าไปยังบุคคลทั่วไป เข้ากับการจารกรรมทางไซเบอร์ที่มุ่งโจมตีองค์กร ชุดเครื่องมือของกลุ่มมี RAT และ infostealer แบบโมดูลาร์ที่ทำ obfuscation มาเพื่อหลบการวิเคราะห์เชิงพลวัตโดยเฉพาะ”
การโจมตียังมีลักษณะเด่นคือการใช้เครื่องมืออย่าง Go2Tunnel สำหรับการเข้าถึงระยะไกลและการทำ network tunneling ความหลากหลายของเครื่องมือทำให้กลุ่มนี้สามารถคงการเข้าถึงเครื่องที่ถูกยึดครองได้อย่างต่อเนื่อง ขโมยข้อมูลรับรองและข้อมูลอ่อนไหว รวมถึงส่งโมดูลที่ปรับให้เหมาะกับโปรไฟล์ของเหยื่อแต่ละรายแบบไดนามิก Kaspersky ระบุว่า Armored Likho มีจุดทับซ้อนที่เป็นไปได้กับคลัสเตอร์ภัยคุกคามที่ BI.ZONE ติดตามในชื่อ Eagle Werewolf ซึ่งเคยถูกพบว่าเจาะช่อง Telegram ที่เกี่ยวกับโดรนเพื่อแพร่กระจาย AquilaRAT ผ่านตัวดรอปเปอร์ที่เขียนด้วย Rust ปลอมตัวเป็นเช็กลิสต์สำหรับเปิดใช้งานอุปกรณ์ Starlink เมื่อเดือนกุมภาพันธ์ พ.ศ. 2569
BI.ZONE ระบุเพิ่มเติมว่า “ผู้โจมตีอาจใช้ช่อง Telegram ที่ถูกยึดครองเพื่อกระจายมัลแวร์ แม้แรงจูงใจหลักของกลุ่มจะเป็นการจารกรรม แต่ก็พบแคมเปญที่มุ่งขโมยเงินจากเหยื่อด้วยเช่นกัน” ทั้งนี้ต้นกำเนิดที่แท้จริงของ Armored Likho ยังไม่เป็นที่ทราบแน่ชัด
จุดเริ่มต้นของห่วงโซ่การโจมตีคืออีเมลฟิชชิงแบบเจาะจง (spear-phishing) ที่ใช้เนื้อหาล่อลวงเกี่ยวกับประกาศราชการหรือโครงการสวัสดิการสังคม เพื่อส่งไฟล์ RAR ที่บรรจุไฟล์ EXE ทำหน้าที่เป็นดรอปเปอร์สำหรับดึงเพย์โหลดเพิ่มเติมจากคลัง GitHub รวมถึงตัวมัลแวร์ขโมยข้อมูล ดรอปเปอร์ยังสร้างไฟล์ VBScript สองไฟล์ที่ทำหน้าที่ลบร่องรอยการทำงานครั้งแรกและเรียกใช้ตัวขโมยข้อมูลผ่าน scheduled task
วิธีการโจมตี
การโจมตีอีกสายหนึ่งใช้ไฟล์ Windows shortcut (LNK) แทนเพย์โหลด EXE โดยอาศัยช่องโหว่ที่ตอนนี้ได้รับการแพตช์แล้วซึ่งเกี่ยวกับวิธีที่ Windows จัดการไฟล์ประเภทนี้ นำไปสู่การรันโค้ดจากระยะไกล ช่องโหว่ดังกล่าวมีรหัส CVE-2025-9491 (หรือ ZDI-CAN-25373) ซึ่ง Microsoft แก้ไขในรอบ Patch Tuesday เดือนพฤศจิกายน พ.ศ. 2568 โดยหลักฐานจาก Trend Micro เมื่อปีก่อนเผยว่ามีกลุ่มแฮ็กเกอร์ราวสิบกว่ากลุ่มใช้ประโยชน์จากช่องโหว่นี้มาตั้งแต่ปี พ.ศ. 2560 ในสายการโจมตีที่ Kaspersky บันทึกไว้ ช่องโหว่ shortcut นี้ถูกใช้เพื่อเรียกคำสั่ง PowerShell ที่ผ่านการ obfuscate ให้ปล่อยโหลดเดอร์ที่แสดงเอกสารลวงตา พร้อมกับเตรียมสภาพแวดล้อมสำหรับรันตัวขโมยข้อมูล Python แล้วสร้างความคงอยู่ผ่าน VBScript ร่วมกับ scheduled task เช่นเดิม
มัลแวร์ BusySnake ใช้เทคนิคหลบเลี่ยงหลายชั้นเพื่อทำให้การวิเคราะห์แบบสถิตยากขึ้น เป้าหมายหลักคือการติดต่อกับเซิร์ฟเวอร์ควบคุมสั่งการ (C2) แล้วรอรับคำสั่ง ความสามารถของมันครอบคลุมการขโมยข้อมูลจากคลิปบอร์ด สำรวจไฟล์ทั้งระบบและบันทึกข้อมูลเมทาดาทาลงฐานข้อมูลภายในเครื่อง อัปโหลดเอกสารของผู้ใช้ไปยัง C2 จับภาพหน้าจอ บีบอัดและลบไฟล์ที่จับไว้ ป้องกันการรันหลายอินสแตนซ์พร้อมกัน และตรวจสอบว่ามี scheduled task อยู่หรือไม่เพื่อคงความอยู่รอด คำสั่งจาก C2 ยังสามารถสั่งให้จับภาพหน้าจอตามช่วงเวลาที่กำหนด บันทึกการกดแป้นพิมพ์ (keylogging) เก็บไฟล์กระเป๋าเงินคริปโตที่มีนามสกุล JSON รวบรวมข้อมูลเซสชันและข้อมูลรับรองของ Telegram สร้าง reverse SSH tunnel ด้วย Go2Tunnel ติดตั้ง RustDesk และดึงคุกกี้กับรหัสผ่านจาก Firefox และเบราว์เซอร์ตระกูล Chromium
หากเครื่องเหยื่อมี RustDesk ติดตั้งอยู่แล้ว มัลแวร์จะเปิดซอฟต์แวร์ remote desktop โอเพนซอร์สนี้ขึ้นมาแล้วหลอกให้เหยื่อกรอกข้อมูลรับรอง จากนั้นจึงจับภาพหน้าจอของข้อมูลดังกล่าวส่งไปยัง C2 Kaspersky ระบุว่ามัลแวร์ถอดรหัส bytecode ของตัวเองเฉพาะช่วงเวลาที่ฟังก์ชันถูกเรียกใช้เท่านั้น แล้วเข้ารหัสกลับทันทีหลังใช้งานเสร็จ อีกทั้งยังรันในเบื้องหลังโดยไม่เปิดหน้าต่างคอนโซล (สังเกตจากนามสกุล PYW) นอกจากนี้ยังพบ BusySnake เวอร์ชันใหม่ที่เพิ่มกรอบการจัดการงานเพื่อรับคำสั่ง C2 และกำหนดสถานะการทำงาน เช่น SCHEDULED, IN_PROGRESS, SUCCEEDED หรือ FAILED เพื่อรายงานกลับเซิร์ฟเวอร์ได้ดีขึ้น ที่น่าสนใจคือ Kaspersky พบร่องรอยว่าเพย์โหลดขั้นแรกอย่างโหลดเดอร์และสเตเจอร์น่าจะถูกสร้างโดยมีความช่วยเหลือจากเครื่องมือ AI เนื่องจากมีคอมเมนต์และบล็อกโค้ดซ้ำซ้อนจำนวนมาก
ผลกระทบต่อไทย
แม้เป้าหมายที่ยืนยันของ Armored Likho จะอยู่ในรัสเซีย บราซิล และคาซัคสถาน แต่เทคนิคที่กลุ่มนี้ใช้ล้วนเป็นรูปแบบที่หน่วยงานไทยเผชิญได้เช่นกัน โดยเฉพาะการใช้อีเมลฟิชชิงอ้างประกาศราชการหรือโครงการสวัสดิการเป็นเหยื่อล่อ ซึ่งเข้ากับบริบทไทยที่มีโครงการรัฐจำนวนมาก หน่วยงานภาครัฐและผู้ให้บริการโครงสร้างพื้นฐานสำคัญอย่างการไฟฟ้า จึงควรตระหนักว่าช่องโหว่ LNK CVE-2025-9491 ยังถูกใช้โจมตีอยู่จริง หากระบบใดยังไม่ได้ติดตั้งแพตช์เดือนพฤศจิกายน พ.ศ. 2568 ก็ตกอยู่ในความเสี่ยง นอกจากนี้การที่กลุ่มใช้ AI ช่วยสร้างมัลแวร์และปรับเครื่องมืออย่างต่อเนื่อง สะท้อนว่าองค์กรไทยต้องยกระดับการตรวจจับพฤติกรรมมากกว่าการพึ่ง signature เพียงอย่างเดียว
คำแนะนำ
ผู้ดูแลระบบควรเร่งตรวจสอบและติดตั้งแพตช์ช่องโหว่ CVE-2025-9491 บนทุกเครื่อง Windows ที่ยังไม่ได้อัปเดต ตั้งค่าให้ระบบเฝ้าระวังการเปิดไฟล์ LNK และไฟล์ RAR ที่มากับอีเมล รวมถึงเฝ้าระวังการสร้าง scheduled task และไฟล์ VBScript ที่ผิดปกติ ควรบล็อกหรือจำกัดการใช้เครื่องมือ remote desktop อย่าง RustDesk ที่ไม่ได้รับอนุญาต และตรวจสอบการเชื่อมต่อ SSH tunnel ที่ผิดปกติซึ่งอาจเป็นสัญญาณของ Go2Tunnel ในเชิงองค์กร ควรอบรมพนักงานให้ระวังอีเมลที่อ้างเป็นประกาศราชการหรือโครงการสวัสดิการ และเปิดใช้การยืนยันตัวตนหลายปัจจัย (MFA) กับบัญชีสำคัญเพื่อจำกัดความเสียหายหากข้อมูลรับรองถูกขโมย
Indicators of Compromise (IoCs)
ตัวบ่งชี้การถูกโจมตีจากรายงานของ Kaspersky (Securelist) ค่าแฮชเป็น MD5 และโดเมน C2 ถูก defang ไว้ (ใส่ [.] แทนจุด) เพื่อความปลอดภัย ห้ามคลิกหรือเข้าถึงโดยตรง
ไฟล์อันตรายขั้นแรก (First-stage)
| แฮช (MD5) | คำอธิบาย |
|---|---|
| 5D5C3E483C5E544260CE98FC29FBF192 | PS1 stager |
| 7141917CBA2EEE2B4D31107FACCF3A39 | EXE stager |
| F5C6434EE5F7578FAA3BC1257E1C9226 | EXE stager |
| C019797A00FD56EDB1F468AC0A598510 | BAT stager |
| A0EC7A8E61EFF3F445A7455B3AEF9FBB | BAT stager |
| 7DB9C688C620E54E8C69B7E52A7579FB | BAT stager |
| 90378881856ABFA47D7745C0A3EF9DC8 | ไฟล์ RAR บรรจุโมดูลดึงคุกกี้ขั้นสูง |
| 1DBA3E505491A260A44C867902C3296E | ไฟล์ RAR บรรจุ DLL loader อันตราย |
| 1096268FA2B3D454C86CF851CB782319 | EXE dropper |
| F2AB09D7E7A375A192508A5014AA2EE4 | EXE dropper |
| 0041FD1B2358CD08DBCBC28EA8FC3D20 | EXE dropper |
| 894332174F536C2E1EFEDA05CBA79F8B | DLL loader |
| 78135F72AB148A0CC074F6B2DD51FFF6 | DLL loader |
| 07213C419489C02791E8D67B91E404EF | DLL loader |
| 393B498F2114CABC0B29D5FCD9DC6723 | ไฟล์ LNK |
| CF74AC018D158EA2C2CFA1B1D71D95BC | ไฟล์ LNK |
| 2DFA1D949872C1B2F04952DD3E5F5D8F | ไฟล์ LNK |
BusySnake Stealer
| แฮช (MD5) | คำอธิบาย |
|---|---|
| C7622A1EFFA27BBFEE6D6E03D6474343 | BusySnake Stealer (PYW) |
| 80B7700053E115D65365CE7330383320 | BusySnake Stealer เวอร์ชันใหม่ (PYW) |
| 6B45DDB39A6E86229348DCBBA3857E7C | ไฟล์ RAR บรรจุ BusySnake Stealer |
| 006887732CA4A4A46A97989CF4DEEEF6 | ไฟล์ RAR บรรจุ BusySnake Stealer |
| 732C31ACF971A81C7E51B2A3DAE82020 | ไฟล์ RAR บรรจุ BusySnake Stealer |
| DDFF82A115558584BBD7741D4FFB35B4 | ไฟล์ RAR บรรจุ BusySnake Stealer |
| 8188B2F347B77D65D08CFB23808AC244 | ไฟล์ RAR บรรจุ BusySnake Stealer |
| E2550CFAD9DCC880BF04F6048F90868C | ไฟล์ RAR บรรจุ BusySnake Stealer |
| FD2BDD8047ADDEE6FDE2F532DE181BFD | ไฟล์ RAR บรรจุ BusySnake Stealer |
เซิร์ฟเวอร์ควบคุมสั่งการ (C2) — defang แล้ว
| โดเมน C2 |
|---|
| winupdate[.]live |
| arvax[.]xyz |
| varenie[.]live |
| lvl99[.]store |
| onetoken[.]ink |
| winupdate[.]ink |
