สรุปสั้น
นักวิจัยจากบริษัท Seqrite เปิดเผยแคมเปญฟิชชิงรูปแบบใหม่ที่เปลี่ยนเครื่องมือรีโมต (การเข้าควบคุมเครื่องจากระยะไกล) ยอดนิยมอย่าง AnyDesk ให้กลายเป็นแบ็กดอร์ (ช่องลับ) สำหรับจารกรรมข้อมูลระยะยาว โดยพุ่งเป้าไปที่องค์กรอุตสาหกรรมการบินและอวกาศในรัสเซีย จุดเด่นของการโจมตีคือผู้โจมตีไม่ได้ปล่อยมัลแวร์ที่ชัดเจน แต่อาศัยซอฟต์แวร์ไอทีที่ใช้งานกันทั่วไปเป็นเครื่องมือ ทำให้ตรวจจับได้ยากกว่ามาก ผู้โจมตีซ่อนตัวหลังอีเมลปลอมเป็นใบแจ้งหนี้เพื่อผ่านตัวกรองอีเมล เมื่อเข้าสู่เครือข่ายได้แล้วก็ตั้งค่า AnyDesk ให้เข้าถึงแบบไร้การควบคุม (unattended) อย่างเงียบๆ แล้วลบร่องรอยทิ้ง เป้าหมายคือการยึดครองเครื่องที่ติดมัลแวร์แบบเงียบและยาวนาน
นักวิเคราะห์จาก Seqrite ระบุและบันทึกกิจกรรมนี้ พร้อมติดตามว่าไฟล์แนบเพียงไฟล์เดียวนำไปสู่การตั้งค่าเครื่องมือรีโมตที่สมบูรณ์และระบบที่ถูกล้างร่องรอยได้อย่างไร งานวิจัยแสดงเชนโจมตีที่เริ่มจากไฟล์บีบอัดที่ใส่รหัสผ่าน และจบด้วยการฝังตัวผ่าน scheduled task (งานตั้งเวลา) และการลบไฟล์ที่หลงเหลือ ทั้งนี้นักวิจัยชี้ว่ากลวิธีคล้ายคลึงกับกลุ่มภัยคุกคามที่รู้จักในชื่อ Rare Werewolf หรืออีกชื่อคือ Librarian Ghouls ซึ่งมุ่งโจมตีองค์กรด้านอุตสาหกรรม วิศวกรรม และการบินอวกาศในรัสเซีย เบลารุส และคาซัคสถาน
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 7 กรกฎาคม 2569 อ้างอิงรายงานที่บริษัท Seqrite แบ่งปันให้ว่า อีเมลในแคมเปญนี้ปลอมตัวเป็นสถาบันวิจัยของรัฐบาลกลางรัสเซียที่เกี่ยวข้องกับงานด้านการบินและอวกาศจริง โดยส่งมาจากโดเมนที่เพิ่งจดทะเบียนไม่นานเพื่อเลียนแบบองค์กรของจริง อีเมลถูกส่งถึงผู้รับแบบไม่เปิดเผยชื่อ (undisclosed recipients) แทนที่จะระบุผู้รับเจาะจง บ่งชี้ว่าถูกส่งไปยังเป้าหมายจำนวนมากพร้อมกัน ซึ่งเป็นรูปแบบที่สื่อถึงความพยายามรวบรวมข่าวกรองในวงกว้าง
การโจมตีเริ่มจากอีเมลที่แนบไฟล์บีบอัดใส่รหัสผ่านโดยติดป้ายว่าเป็นใบแจ้งหนี้ พร้อมวางรหัสผ่านไว้ในเนื้อความอีเมลเพื่อให้เหยื่อเปิดได้ แต่ตัวสแกนไม่สามารถตรวจสอบเนื้อหาข้างในได้ ภายในไฟล์คือ installer (ตัวติดตั้ง) ที่สร้างด้วยเครื่องมือแพ็กเกจซอฟต์แวร์ที่ถูกกฎหมาย ซึ่งจะวางไฟล์ลงในโฟลเดอร์ที่ซ่อนไว้ พร้อมแสดงไฟล์ PDF ล่อเป้าเพื่อรักษาภาพลวงว่าเป็นใบแจ้งหนี้ของจริง จากนั้นชุดไฟล์ batch จะทำงานต่อเนื่องกัน โดยไฟล์แรกจะติดต่อไปยังเซิร์ฟเวอร์ระยะไกลเพื่อดาวน์โหลดไฟล์บีบอัดใส่รหัสผ่านชุดที่สองที่บรรจุ payload (โค้ดอันตราย) ตัวจริง


วิธีการโจมตี
ไฟล์บีบอัดชุดที่สองจะคลายออกมาเป็น AnyDesk แบบพกพา (portable), เครื่องมือส่งอีเมลผ่านบรรทัดคำสั่ง, ยูทิลิตีบีบอัดไฟล์ และโปรแกรมเล็กๆ ชื่อ Tray Minimizer ที่ทำหน้าที่ซ่อนหน้าต่างแอปพลิเคชันจากสายตาผู้ใช้ สคริปต์จะหยุดพักราวหนึ่งนาที ซึ่งน่าจะเพื่อให้อยู่นานกว่าการตรวจสอบของ sandbox อัตโนมัติ จากนั้นจึงตั้งค่า AnyDesk ด้วยรหัสผ่านที่กำหนดไว้ล่วงหน้า เพื่อให้ผู้โจมตีเชื่อมต่อเข้ามาได้โดยไม่มีหน้าต่างขออนุญาตปรากฏบนจอ แล้วเปิดเครื่องมือทำงานอยู่เบื้องหลังอย่างเงียบๆ
เมื่อ AnyDesk ทำงานแล้ว สคริปต์จะรวบรวมไฟล์ตั้งค่า, การตั้งค่าการเชื่อมต่อ และใบรับรอง (certificate) ของมันบีบอัดใส่ไฟล์ที่ใส่รหัสผ่านชุดใหม่ แล้วส่งออกไปยังที่อยู่อีเมลที่ผู้โจมตีควบคุมผ่านยูทิลิตี SMTP ที่ถูกกฎหมาย ทำให้ผู้โจมตีได้ข้อมูลที่จำเป็นสำหรับจัดการเซสชันในภายหลัง จากนั้นจึงสร้าง scheduled task ที่ปลอมตัวเป็นกระบวนการอัปเดตทั่วไป เพื่อให้ Tray Minimizer และ AnyDesk ที่ซ่อนอยู่รีสตาร์ตทุกครั้งที่เหยื่อล็อกอินเข้าเครื่อง
หลังฝังตัวสำเร็จ สคริปต์อันตรายจะลบไฟล์คำสั่ง, ล็อกข้อความ, ไฟล์บีบอัด, ไฟล์ปฏิบัติการ และไฟล์ PDF ล่อเป้าที่ใช้ระหว่างการติดตั้งทั้งหมด การล้างร่องรอยนี้ลบหลักฐานทาง forensic ส่วนใหญ่ที่ผู้สืบสวนจะใช้ ทำให้การประกอบภาพเหตุการณ์ย้อนหลังทำได้ยาก การใช้ Tray Minimizer ซ่อน AnyDesk เป็นเทคนิคหลบเลี่ยงที่ได้ผล เพราะตัวเครื่องมือรีโมตเองเป็นซอฟต์แวร์ที่ถูกกฎหมายที่ผลิตภัณฑ์ความปลอดภัยหลายตัวไม่แจ้งเตือน ทั้งนี้นักวิจัยยังไม่พบการขุดคริปโตในตัวอย่างนี้ แม้แคมเปญที่เกี่ยวข้องจากกลุ่มเดียวกันเคยติดตั้งเครื่องมือขุดหลังฝังตัวสำเร็จ ผลประโยชน์ทางการเงินจึงอาจยังเป็นเป้าหมายรองเมื่อยึดการควบคุมได้แล้ว
ผลกระทบต่อไทย
แม้แคมเปญนี้พุ่งเป้าที่องค์กรการบินอวกาศในรัสเซียและประเทศเพื่อนบ้าน แต่เทคนิคที่ใช้เป็นบทเรียนโดยตรงสำหรับองค์กรไทย เพราะเป็นการโจมตีแบบ “living-off-the-land” ที่ใช้เครื่องมือไอทีถูกกฎหมายล้วนๆ ทั้ง AnyDesk, ยูทิลิตี SMTP และ scheduled task ซึ่งระบบตรวจจับแบบใช้ signature มักไม่แจ้งเตือน หน่วยงานไทยจำนวนมากใช้ AnyDesk และเครื่องมือรีโมตทำนองเดียวกันในการดูแลระบบและซัพพอร์ตทางไกล หากผู้ใช้หลงเปิดไฟล์แนบปลอมเป็นใบแจ้งหนี้ ผู้โจมตีก็สามารถยึดเครื่องแบบเงียบและถาวรได้เช่นกัน โดยเฉพาะองค์กรในภาคอุตสาหกรรม วิศวกรรม และหน่วยงานที่ถือครองข้อมูลอ่อนไหว ควรตระหนักว่ารูปแบบนี้ออกแบบมาเพื่อการจารกรรมระยะยาวมากกว่าการเรียกค่าไถ่ทันที
คำแนะนำ
องค์กรในภาคการบิน อวกาศ และอุตสาหกรรมที่เกี่ยวข้องควรระมัดระวังอีเมลใบแจ้งหนี้ที่ไม่คาดคิด โดยเฉพาะที่มาจากโดเมนที่เพิ่งจดทะเบียนใหม่ ควรเฝ้าระวัง scheduled task ที่ไม่ได้รับอนุญาตและการติดตั้งเครื่องมือรีโมตที่ผิดปกติเพื่อจับกิจกรรมนี้ตั้งแต่เนิ่นๆ การจำกัดการรับส่งอีเมลขาออกให้ไปยังเซิร์ฟเวอร์ที่อนุมัติเท่านั้นจะช่วยลดการขโมยข้อมูลออกไปได้ เนื่องจากเครื่องมือทั้งหมดในการโจมตีนี้เป็นยูทิลิตีที่ถูกกฎหมายและใช้กันแพร่หลาย การตรวจจับแบบ signature จึงอาจไม่ได้ผล การเฝ้าระวังเชิงพฤติกรรมที่เน้นการสร้าง scheduled task และการส่งไฟล์บีบอัดออกนอกเครือข่ายจึงเป็นแนวทางที่เชื่อถือได้มากกว่าในการจับการโจมตีนี้
