สรุปสั้น
นักวิจัยด้านความปลอดภัยค้นพบเฟรมเวิร์กมัลแวร์แบบโมดูลาร์ที่ไม่เคยมีการบันทึกมาก่อน โค้ดเนม Avalon ซึ่งแพร่กระจายผ่านห่วงโซ่ฟิชชิงหลายขั้นที่สามารถหลบเลี่ยงมาตรการควบคุมความปลอดภัยแบบดั้งเดิมได้ Avalon รวมความสามารถหลากหลายไว้ภายใต้ร่มเดียวกัน ทั้งการเก็บข้อมูลรับรอง การเคลื่อนที่ในเครือข่าย (lateral movement) การเข้าถึงระยะไกล การขัดขวางการกู้คืนระบบ และการรันแรนซัมแวร์ โดยคอมโพเนนต์แรนซัมแวร์ถูกตั้งชื่อภายในว่า CrownX ทีมนักวิจัยจากบริษัท Blackpoint Cyber ระบุว่าการโจมตีเริ่มต้นด้วยอีเมลที่ปลอมเป็นเอกสารทางกฎหมาย นำผู้รับไปยังไฟล์บีบอัดที่ป้องกันด้วยรหัสผ่านบน Proton Drive โดยเนื้อหาอันตรายถูกฝังอยู่ในไฟล์อิมเมจ ISO แทนการแนบโดยตรง เพื่อลดโอกาสถูกตรวจจับที่ชั้นอีเมล
จุดที่น่ากังวลคือ Avalon มีระบบย่อยสำหรับหลบเลี่ยงการตรวจจับที่ครอบคลุม โดยมีวิธีการเฉพาะเพื่อซ่อนการทำงานจากเครื่องมือความปลอดภัยชั้นนำหลายตัว เช่น Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee และ Bitdefender เมื่อถึงเวลาที่ข้อความเรียกค่าไถ่ปรากฏขึ้น เฟรมเวิร์กได้เก็บข้อมูลรับรอง สร้างการสื่อสารกับ C2 เตรียมเส้นทางสำหรับการเคลื่อนที่ในเครือข่าย และทำให้ตัวเลือกการกู้คืนในเครื่องอ่อนแอลงไปแล้ว ที่สำคัญ Avalon แสดงร่องรอยว่าถูกพัฒนาโดยมีความช่วยเหลือจาก AI สะท้อนแนวโน้มที่ AI กำลังลดกำแพงการสร้างมัลแวร์ที่ซับซ้อนให้เข้าถึงได้ง่ายขึ้น
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 4 กรกฎาคม พ.ศ. 2569 ว่า นักวิจัยจากบริษัท Blackpoint Cyber คือ นาย Nevan Beal และ นาย Sam Decker เปิดเผยเฟรมเวิร์กมัลแวร์ Avalon พร้อมระบุว่า “การโจมตีเริ่มต้นด้วยอีเมลปลอมเป็นเอกสารทางกฎหมายที่นำผู้รับไปยังไฟล์บีบอัดที่ป้องกันด้วยรหัสผ่านบน Proton Drive เนื้อหาอันตรายถูกฝังไว้ในไฟล์อิมเมจ ISO แทนที่จะแนบมาโดยตรง เพื่อลดโอกาสถูกตรวจจับที่ชั้นอีเมล”
เมื่อผู้รับอีเมลโต้ตอบกับไฟล์ Windows Shortcut ที่ปลอมเป็นเอกสาร (ชื่อ “Secure Document CA-283505.pdf.lnk”) ภายในอิมเมจที่ถูก mount ไว้ มันจะกระตุ้นลำดับมัลแวร์แบบเป็นขั้นที่จบลงด้วยการติดตั้ง Avalon โดยเฉพาะ shortcut จะรันคำสั่งเพื่อเรียกโปรเจกต์ MSBuild ที่อยู่ในอิมเมจ ISO จากนั้นโปรเจกต์ MSBuild จะโหลด .NET assembly ที่ฝังไว้ ซึ่งจะเข้าไปแทรกแซงการทำงานปกติของ Event Tracing for Windows (ETW) เพื่อลดการมองเห็นเชิงนิติวิทยาศาสตร์ แล้วดาวน์โหลดเพย์โหลดขั้นถัดไปผ่าน HTTPS เพื่อเรียกใช้ Avalon
ชุดความสามารถทั้งหมดที่ Avalon มีนั้นครอบคลุมกว้างขวาง ตั้งแต่การเก็บข้อมูลรับรอง คุกกี้ ประวัติ และบุ๊กมาร์กจากเบราว์เซอร์ตระกูล Chromium และ Mozilla Firefox การรวบรวมข้อมูลจากแอปกระเป๋าเงินคริปโตอย่าง MetaMask, Phantom, Coinbase Wallet, Exodus, Electrum, Atomic Wallet, Ledger Live และ Bitcoin Core รวมถึงจาก Discord, Slack, Teams, OpenVPN, WireGuard และ Windows Credential Manager ตลอดจนเก็บข้อมูล SSH known hosts การเชื่อมต่อ RDP ที่บันทึกไว้ โปรไฟล์ Wi-Fi และ Group Policy Preferences cpassword
รายละเอียดช่องโหว่
หลังเก็บข้อมูล Avalon จะส่งข้อมูลออกไปยังเซิร์ฟเวอร์ระยะไกล (helloxcherry[.]com) และ poll เซิร์ฟเวอร์เพื่อรับคำสั่ง จากนั้นทำการลาดตระเวนและจัดลำดับความสำคัญของระบบที่สามารถขยายขอบเขตการเจาะได้ ก่อนเข้ารหัสไฟล์ที่เกี่ยวกับการดำเนินธุรกิจ การพัฒนาซอฟต์แวร์ วิศวกรรม การจัดเก็บข้อมูล และโครงสร้างพื้นฐานเสมือน โดยใช้ Windows Cryptography API พร้อมส่งข้อความเรียกค่าไถ่ที่มีคำแนะนำการชำระเงินและตัวจับเวลานับถอยหลังที่แสดงว่าเหลือเวลาอีกเท่าไรก่อนที่จำนวนค่าไถ่จะเพิ่มขึ้น ที่ร้ายแรงกว่านั้น Avalon ยังขัดขวางการกู้คืนระบบด้วยการหยุดบริการ Volume Shadow Copy Service และลบ shadow copies รวมถึงเข้าไปโต้ตอบกับโครงสร้างดิสก์โดยตรงเพื่อทำลายข้อมูลพาร์ทิชัน boot record หรือพื้นที่สำคัญอื่นๆ ของไดรฟ์ ทำให้ระบบใช้งานไม่ได้อย่างสิ้นเชิง
Blackpoint Cyber ระบุว่า “CrownX เป็นขั้นตอนสุดท้ายของการขู่กรรโชก แต่ความเสียหายขยายไปไกลกว่าการเข้ารหัส เพราะเมื่อข้อความเรียกค่าไถ่ปรากฏ เฟรมเวิร์กได้เก็บข้อมูลรับรอง สร้างการสื่อสาร C2 เตรียมเส้นทางเคลื่อนที่ในเครือข่าย และทำให้การกู้คืนในเครื่องอ่อนแอไปแล้ว” นอกจากนี้ Avalon ยังแสดงร่องรอยว่าถูกพัฒนาโดยมี AI ช่วย ซึ่งประกอบหลายคอมโพเนนต์เข้าด้วยกันโดยไม่ค่อยใส่ใจ tradecraft ที่ซับซ้อนหรือความปลอดภัยเชิงปฏิบัติการ สะท้อนว่า AI กำลังลดกำแพงการเข้าสู่วงการ ทำให้แม้ผู้ที่มีทักษะและทรัพยากรน้อยก็สามารถสร้างเครื่องมือที่ปกติต้องใช้ความเชี่ยวชาญสูงได้
การเปิดเผยครั้งนี้ยังเกิดขึ้นพร้อมกับที่บริษัท Sysdig ระบุถึงสิ่งที่อ้างว่าเป็นการติดแรนซัมแวร์แบบ agentic ที่ขับเคลื่อนด้วย LLM ตั้งแต่ต้นจนจบเป็นครั้งแรกที่มีการบันทึกต่อสาธารณะ โดยผู้โจมตี (โค้ดเนม JADEPUFFER) เข้าถึงระบบ Langflow ที่เปิดสู่อินเทอร์เน็ตผ่านช่องโหว่ CVE-2025-3248 และรันแคมเปญอัตโนมัติเต็มรูปแบบ อีกทั้งบริษัท Palo Alto Networks Unit 42 ยังพบมัลแวร์ AI ที่ผูก Telegram bot กับ LLM API สาธารณะ (api.groq[.]com) เพื่อแปลคำสั่งภาษาธรรมชาติเป็นคำสั่งเชลล์แบบไม่ต้องเขียนโค้ด ซึ่งถูกอัปโหลดขึ้น VirusTotal เมื่อวันที่ 11 มีนาคม พ.ศ. 2569 และยังไม่มีเอนจินใดตรวจจับได้เลย
ผลกระทบต่อไทย
Avalon เป็นภัยคุกคามที่องค์กรไทยต้องจับตาเป็นพิเศษ เพราะรวมทั้งการขโมยข้อมูล การเรียกค่าไถ่ และการทำลายระบบกู้คืนไว้ในตัวเดียว การโจมตีเริ่มจากอีเมลปลอมเป็นเอกสารทางกฎหมายซึ่งเป็นกลลวงที่ใช้ได้ผลกับพนักงานออฟฟิศไทยจำนวนมาก โดยเฉพาะการฝังเนื้อหาในไฟล์ ISO และใช้ไฟล์ LNK ปลอมเป็น PDF ที่หลบการตรวจจับชั้นอีเมลได้ดี ที่น่ากังวลยิ่งขึ้นคือความสามารถหลบเลี่ยงเครื่องมือ EDR ชั้นนำที่องค์กรไทยใช้กันแพร่หลาย และการทำลาย shadow copies กับโครงสร้างดิสก์ที่ทำให้การกู้คืนข้อมูลแทบเป็นไปไม่ได้ องค์กรไทยจึงควรมีการสำรองข้อมูลแบบออฟไลน์ที่มัลแวร์เข้าไม่ถึง และยกระดับการฝึกอบรมพนักงานให้ระวังอีเมลแนบไฟล์ ISO และ shortcut
คำแนะนำ
ผู้ดูแลระบบควรตั้งค่าให้บล็อกหรือเฝ้าระวังการ mount ไฟล์ ISO และการเปิดไฟล์ LNK ที่มากับอีเมล รวมถึงเฝ้าระวังการเรียกใช้ MSBuild ที่ผิดปกติซึ่งอาจเป็นสัญญาณของการโจมตีลักษณะนี้ ควรจัดทำการสำรองข้อมูลแบบออฟไลน์หรือ immutable ที่มัลแวร์ไม่สามารถลบหรือเข้ารหัสได้ เพื่อรับมือกับการทำลาย shadow copies และโครงสร้างดิสก์ ควรตรวจสอบว่าโซลูชัน EDR มีการตั้งค่าป้องกันการปิดการทำงานของตัวเอง (tamper protection) เปิดใช้งานอยู่ ในเชิงองค์กร ควรอบรมพนักงานให้ระวังอีเมลที่อ้างเป็นเอกสารทางกฎหมายพร้อมลิงก์ไปยังไฟล์บีบอัดที่ป้องกันด้วยรหัสผ่าน และเปิดใช้ MFA กับบัญชีสำคัญเพื่อจำกัดการเคลื่อนที่ในเครือข่ายหากข้อมูลรับรองถูกขโมย
