สรุปสั้น

บริษัท Kaspersky เปิดเผยกลุ่มภัยคุกคามที่ไม่เคยมีการบันทึกมาก่อนชื่อ Armored Likho ซึ่งอยู่เบื้องหลังการโจมตีหน่วยงานรัฐและภาคพลังงานไฟฟ้าในรัสเซีย บราซิล และคาซัคสถาน ลักษณะเด่นของกลุ่มนี้คือการผสมผสานแคมเปญที่หวังผลทางการเงินโดยพุ่งเป้าไปยังบุคคลทั่วไป เข้ากับการจารกรรมทางไซเบอร์ที่มุ่งโจมตีองค์กร ชุดเครื่องมือของกลุ่มประกอบด้วย RAT และมัลแวร์ขโมยข้อมูลแบบโมดูลาร์ที่ผ่านการทำ obfuscation มาโดยเฉพาะเพื่อหลบการวิเคราะห์เชิงพลวัต (dynamic analysis) จุดเริ่มต้นของการโจมตีคืออีเมลฟิชชิงแบบเจาะจงที่ใช้เนื้อหาล่อลวงเกี่ยวกับประกาศทางราชการหรือโครงการสวัสดิการสังคม เพื่อส่งไฟล์ RAR ที่บรรจุตัวดรอปเปอร์สำหรับดึงเพย์โหลดเพิ่มเติมจากคลัง GitHub

หัวใจสำคัญของแคมเปญนี้คือมัลแวร์ขโมยข้อมูลตัวใหม่ที่ยังไม่เคยมีรายงานมาก่อนชื่อ BusySnake Stealer ซึ่งเขียนด้วยภาษา Python พุ่งเป้าระบบ Windows โดยเวอร์ชันหนึ่งมีโมดูลสำหรับขโมยคุกกี้จากเบราว์เซอร์ Kaspersky ระบุว่า Armored Likho มีความเชื่อมโยงกับกลุ่มที่ BI.ZONE ติดตามในชื่อ Eagle Werewolf ซึ่งเคลื่อนไหวมาตั้งแต่เดือนพฤษภาคม พ.ศ. 2566 และมีประวัติโจมตีหน่วยงานรัฐและกลาโหม โดยเฉพาะที่เกี่ยวข้องกับการพัฒนาอากาศยานไร้คนขับ (UAV) การโจมตีบางสายยังใช้ช่องโหว่การจัดการไฟล์ LNK ของ Windows ที่ตอนนี้ได้รับการแพตช์แล้ว เพื่อรันโค้ดจากระยะไกล สะท้อนถึงความสามารถทางเทคนิคที่กำลังพัฒนาขึ้นเรื่อยๆ ของกลุ่มนี้

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 3 กรกฎาคม พ.ศ. 2569 ว่า บริษัท Kaspersky ได้เผยแพร่บทวิเคราะห์เชิงเทคนิคที่ระบุถึงกลุ่มภัยคุกคามใหม่ชื่อ Armored Likho พร้อมข้อความว่า “Armored Likho ผสมแคมเปญที่หวังผลทางการเงินซึ่งพุ่งเป้าไปยังบุคคลทั่วไป เข้ากับการจารกรรมทางไซเบอร์ที่มุ่งโจมตีองค์กร ชุดเครื่องมือของกลุ่มมี RAT และ infostealer แบบโมดูลาร์ที่ทำ obfuscation มาเพื่อหลบการวิเคราะห์เชิงพลวัตโดยเฉพาะ”

การโจมตียังมีลักษณะเด่นคือการใช้เครื่องมืออย่าง Go2Tunnel สำหรับการเข้าถึงระยะไกลและการทำ network tunneling ความหลากหลายของเครื่องมือทำให้กลุ่มนี้สามารถคงการเข้าถึงเครื่องที่ถูกยึดครองได้อย่างต่อเนื่อง ขโมยข้อมูลรับรองและข้อมูลอ่อนไหว รวมถึงส่งโมดูลที่ปรับให้เหมาะกับโปรไฟล์ของเหยื่อแต่ละรายแบบไดนามิก Kaspersky ระบุว่า Armored Likho มีจุดทับซ้อนที่เป็นไปได้กับคลัสเตอร์ภัยคุกคามที่ BI.ZONE ติดตามในชื่อ Eagle Werewolf ซึ่งเคยถูกพบว่าเจาะช่อง Telegram ที่เกี่ยวกับโดรนเพื่อแพร่กระจาย AquilaRAT ผ่านตัวดรอปเปอร์ที่เขียนด้วย Rust ปลอมตัวเป็นเช็กลิสต์สำหรับเปิดใช้งานอุปกรณ์ Starlink เมื่อเดือนกุมภาพันธ์ พ.ศ. 2569

BI.ZONE ระบุเพิ่มเติมว่า “ผู้โจมตีอาจใช้ช่อง Telegram ที่ถูกยึดครองเพื่อกระจายมัลแวร์ แม้แรงจูงใจหลักของกลุ่มจะเป็นการจารกรรม แต่ก็พบแคมเปญที่มุ่งขโมยเงินจากเหยื่อด้วยเช่นกัน” ทั้งนี้ต้นกำเนิดที่แท้จริงของ Armored Likho ยังไม่เป็นที่ทราบแน่ชัด

จุดเริ่มต้นของห่วงโซ่การโจมตีคืออีเมลฟิชชิงแบบเจาะจง (spear-phishing) ที่ใช้เนื้อหาล่อลวงเกี่ยวกับประกาศราชการหรือโครงการสวัสดิการสังคม เพื่อส่งไฟล์ RAR ที่บรรจุไฟล์ EXE ทำหน้าที่เป็นดรอปเปอร์สำหรับดึงเพย์โหลดเพิ่มเติมจากคลัง GitHub รวมถึงตัวมัลแวร์ขโมยข้อมูล ดรอปเปอร์ยังสร้างไฟล์ VBScript สองไฟล์ที่ทำหน้าที่ลบร่องรอยการทำงานครั้งแรกและเรียกใช้ตัวขโมยข้อมูลผ่าน scheduled task

วิธีการโจมตี

การโจมตีอีกสายหนึ่งใช้ไฟล์ Windows shortcut (LNK) แทนเพย์โหลด EXE โดยอาศัยช่องโหว่ที่ตอนนี้ได้รับการแพตช์แล้วซึ่งเกี่ยวกับวิธีที่ Windows จัดการไฟล์ประเภทนี้ นำไปสู่การรันโค้ดจากระยะไกล ช่องโหว่ดังกล่าวมีรหัส CVE-2025-9491 (หรือ ZDI-CAN-25373) ซึ่ง Microsoft แก้ไขในรอบ Patch Tuesday เดือนพฤศจิกายน พ.ศ. 2568 โดยหลักฐานจาก Trend Micro เมื่อปีก่อนเผยว่ามีกลุ่มแฮ็กเกอร์ราวสิบกว่ากลุ่มใช้ประโยชน์จากช่องโหว่นี้มาตั้งแต่ปี พ.ศ. 2560 ในสายการโจมตีที่ Kaspersky บันทึกไว้ ช่องโหว่ shortcut นี้ถูกใช้เพื่อเรียกคำสั่ง PowerShell ที่ผ่านการ obfuscate ให้ปล่อยโหลดเดอร์ที่แสดงเอกสารลวงตา พร้อมกับเตรียมสภาพแวดล้อมสำหรับรันตัวขโมยข้อมูล Python แล้วสร้างความคงอยู่ผ่าน VBScript ร่วมกับ scheduled task เช่นเดิม

มัลแวร์ BusySnake ใช้เทคนิคหลบเลี่ยงหลายชั้นเพื่อทำให้การวิเคราะห์แบบสถิตยากขึ้น เป้าหมายหลักคือการติดต่อกับเซิร์ฟเวอร์ควบคุมสั่งการ (C2) แล้วรอรับคำสั่ง ความสามารถของมันครอบคลุมการขโมยข้อมูลจากคลิปบอร์ด สำรวจไฟล์ทั้งระบบและบันทึกข้อมูลเมทาดาทาลงฐานข้อมูลภายในเครื่อง อัปโหลดเอกสารของผู้ใช้ไปยัง C2 จับภาพหน้าจอ บีบอัดและลบไฟล์ที่จับไว้ ป้องกันการรันหลายอินสแตนซ์พร้อมกัน และตรวจสอบว่ามี scheduled task อยู่หรือไม่เพื่อคงความอยู่รอด คำสั่งจาก C2 ยังสามารถสั่งให้จับภาพหน้าจอตามช่วงเวลาที่กำหนด บันทึกการกดแป้นพิมพ์ (keylogging) เก็บไฟล์กระเป๋าเงินคริปโตที่มีนามสกุล JSON รวบรวมข้อมูลเซสชันและข้อมูลรับรองของ Telegram สร้าง reverse SSH tunnel ด้วย Go2Tunnel ติดตั้ง RustDesk และดึงคุกกี้กับรหัสผ่านจาก Firefox และเบราว์เซอร์ตระกูล Chromium

หากเครื่องเหยื่อมี RustDesk ติดตั้งอยู่แล้ว มัลแวร์จะเปิดซอฟต์แวร์ remote desktop โอเพนซอร์สนี้ขึ้นมาแล้วหลอกให้เหยื่อกรอกข้อมูลรับรอง จากนั้นจึงจับภาพหน้าจอของข้อมูลดังกล่าวส่งไปยัง C2 Kaspersky ระบุว่ามัลแวร์ถอดรหัส bytecode ของตัวเองเฉพาะช่วงเวลาที่ฟังก์ชันถูกเรียกใช้เท่านั้น แล้วเข้ารหัสกลับทันทีหลังใช้งานเสร็จ อีกทั้งยังรันในเบื้องหลังโดยไม่เปิดหน้าต่างคอนโซล (สังเกตจากนามสกุล PYW) นอกจากนี้ยังพบ BusySnake เวอร์ชันใหม่ที่เพิ่มกรอบการจัดการงานเพื่อรับคำสั่ง C2 และกำหนดสถานะการทำงาน เช่น SCHEDULED, IN_PROGRESS, SUCCEEDED หรือ FAILED เพื่อรายงานกลับเซิร์ฟเวอร์ได้ดีขึ้น ที่น่าสนใจคือ Kaspersky พบร่องรอยว่าเพย์โหลดขั้นแรกอย่างโหลดเดอร์และสเตเจอร์น่าจะถูกสร้างโดยมีความช่วยเหลือจากเครื่องมือ AI เนื่องจากมีคอมเมนต์และบล็อกโค้ดซ้ำซ้อนจำนวนมาก

ผลกระทบต่อไทย

แม้เป้าหมายที่ยืนยันของ Armored Likho จะอยู่ในรัสเซีย บราซิล และคาซัคสถาน แต่เทคนิคที่กลุ่มนี้ใช้ล้วนเป็นรูปแบบที่หน่วยงานไทยเผชิญได้เช่นกัน โดยเฉพาะการใช้อีเมลฟิชชิงอ้างประกาศราชการหรือโครงการสวัสดิการเป็นเหยื่อล่อ ซึ่งเข้ากับบริบทไทยที่มีโครงการรัฐจำนวนมาก หน่วยงานภาครัฐและผู้ให้บริการโครงสร้างพื้นฐานสำคัญอย่างการไฟฟ้า จึงควรตระหนักว่าช่องโหว่ LNK CVE-2025-9491 ยังถูกใช้โจมตีอยู่จริง หากระบบใดยังไม่ได้ติดตั้งแพตช์เดือนพฤศจิกายน พ.ศ. 2568 ก็ตกอยู่ในความเสี่ยง นอกจากนี้การที่กลุ่มใช้ AI ช่วยสร้างมัลแวร์และปรับเครื่องมืออย่างต่อเนื่อง สะท้อนว่าองค์กรไทยต้องยกระดับการตรวจจับพฤติกรรมมากกว่าการพึ่ง signature เพียงอย่างเดียว

คำแนะนำ

ผู้ดูแลระบบควรเร่งตรวจสอบและติดตั้งแพตช์ช่องโหว่ CVE-2025-9491 บนทุกเครื่อง Windows ที่ยังไม่ได้อัปเดต ตั้งค่าให้ระบบเฝ้าระวังการเปิดไฟล์ LNK และไฟล์ RAR ที่มากับอีเมล รวมถึงเฝ้าระวังการสร้าง scheduled task และไฟล์ VBScript ที่ผิดปกติ ควรบล็อกหรือจำกัดการใช้เครื่องมือ remote desktop อย่าง RustDesk ที่ไม่ได้รับอนุญาต และตรวจสอบการเชื่อมต่อ SSH tunnel ที่ผิดปกติซึ่งอาจเป็นสัญญาณของ Go2Tunnel ในเชิงองค์กร ควรอบรมพนักงานให้ระวังอีเมลที่อ้างเป็นประกาศราชการหรือโครงการสวัสดิการ และเปิดใช้การยืนยันตัวตนหลายปัจจัย (MFA) กับบัญชีสำคัญเพื่อจำกัดความเสียหายหากข้อมูลรับรองถูกขโมย

Indicators of Compromise (IoCs)

ตัวบ่งชี้การถูกโจมตีจากรายงานของ Kaspersky (Securelist) ค่าแฮชเป็น MD5 และโดเมน C2 ถูก defang ไว้ (ใส่ [.] แทนจุด) เพื่อความปลอดภัย ห้ามคลิกหรือเข้าถึงโดยตรง

ไฟล์อันตรายขั้นแรก (First-stage)

แฮช (MD5)คำอธิบาย
5D5C3E483C5E544260CE98FC29FBF192PS1 stager
7141917CBA2EEE2B4D31107FACCF3A39EXE stager
F5C6434EE5F7578FAA3BC1257E1C9226EXE stager
C019797A00FD56EDB1F468AC0A598510BAT stager
A0EC7A8E61EFF3F445A7455B3AEF9FBBBAT stager
7DB9C688C620E54E8C69B7E52A7579FBBAT stager
90378881856ABFA47D7745C0A3EF9DC8ไฟล์ RAR บรรจุโมดูลดึงคุกกี้ขั้นสูง
1DBA3E505491A260A44C867902C3296Eไฟล์ RAR บรรจุ DLL loader อันตราย
1096268FA2B3D454C86CF851CB782319EXE dropper
F2AB09D7E7A375A192508A5014AA2EE4EXE dropper
0041FD1B2358CD08DBCBC28EA8FC3D20EXE dropper
894332174F536C2E1EFEDA05CBA79F8BDLL loader
78135F72AB148A0CC074F6B2DD51FFF6DLL loader
07213C419489C02791E8D67B91E404EFDLL loader
393B498F2114CABC0B29D5FCD9DC6723ไฟล์ LNK
CF74AC018D158EA2C2CFA1B1D71D95BCไฟล์ LNK
2DFA1D949872C1B2F04952DD3E5F5D8Fไฟล์ LNK

BusySnake Stealer

แฮช (MD5)คำอธิบาย
C7622A1EFFA27BBFEE6D6E03D6474343BusySnake Stealer (PYW)
80B7700053E115D65365CE7330383320BusySnake Stealer เวอร์ชันใหม่ (PYW)
6B45DDB39A6E86229348DCBBA3857E7Cไฟล์ RAR บรรจุ BusySnake Stealer
006887732CA4A4A46A97989CF4DEEEF6ไฟล์ RAR บรรจุ BusySnake Stealer
732C31ACF971A81C7E51B2A3DAE82020ไฟล์ RAR บรรจุ BusySnake Stealer
DDFF82A115558584BBD7741D4FFB35B4ไฟล์ RAR บรรจุ BusySnake Stealer
8188B2F347B77D65D08CFB23808AC244ไฟล์ RAR บรรจุ BusySnake Stealer
E2550CFAD9DCC880BF04F6048F90868Cไฟล์ RAR บรรจุ BusySnake Stealer
FD2BDD8047ADDEE6FDE2F532DE181BFDไฟล์ RAR บรรจุ BusySnake Stealer

เซิร์ฟเวอร์ควบคุมสั่งการ (C2) — defang แล้ว

โดเมน C2
winupdate[.]live
arvax[.]xyz
varenie[.]live
lvl99[.]store
onetoken[.]ink
winupdate[.]ink

แหล่งอ้างอิง