สรุปสั้น

นักวิจัยจากบริษัท Seqrite เปิดเผยแคมเปญฟิชชิงรูปแบบใหม่ที่เปลี่ยนเครื่องมือรีโมต (การเข้าควบคุมเครื่องจากระยะไกล) ยอดนิยมอย่าง AnyDesk ให้กลายเป็นแบ็กดอร์ (ช่องลับ) สำหรับจารกรรมข้อมูลระยะยาว โดยพุ่งเป้าไปที่องค์กรอุตสาหกรรมการบินและอวกาศในรัสเซีย จุดเด่นของการโจมตีคือผู้โจมตีไม่ได้ปล่อยมัลแวร์ที่ชัดเจน แต่อาศัยซอฟต์แวร์ไอทีที่ใช้งานกันทั่วไปเป็นเครื่องมือ ทำให้ตรวจจับได้ยากกว่ามาก ผู้โจมตีซ่อนตัวหลังอีเมลปลอมเป็นใบแจ้งหนี้เพื่อผ่านตัวกรองอีเมล เมื่อเข้าสู่เครือข่ายได้แล้วก็ตั้งค่า AnyDesk ให้เข้าถึงแบบไร้การควบคุม (unattended) อย่างเงียบๆ แล้วลบร่องรอยทิ้ง เป้าหมายคือการยึดครองเครื่องที่ติดมัลแวร์แบบเงียบและยาวนาน

นักวิเคราะห์จาก Seqrite ระบุและบันทึกกิจกรรมนี้ พร้อมติดตามว่าไฟล์แนบเพียงไฟล์เดียวนำไปสู่การตั้งค่าเครื่องมือรีโมตที่สมบูรณ์และระบบที่ถูกล้างร่องรอยได้อย่างไร งานวิจัยแสดงเชนโจมตีที่เริ่มจากไฟล์บีบอัดที่ใส่รหัสผ่าน และจบด้วยการฝังตัวผ่าน scheduled task (งานตั้งเวลา) และการลบไฟล์ที่หลงเหลือ ทั้งนี้นักวิจัยชี้ว่ากลวิธีคล้ายคลึงกับกลุ่มภัยคุกคามที่รู้จักในชื่อ Rare Werewolf หรืออีกชื่อคือ Librarian Ghouls ซึ่งมุ่งโจมตีองค์กรด้านอุตสาหกรรม วิศวกรรม และการบินอวกาศในรัสเซีย เบลารุส และคาซัคสถาน

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 7 กรกฎาคม 2569 อ้างอิงรายงานที่บริษัท Seqrite แบ่งปันให้ว่า อีเมลในแคมเปญนี้ปลอมตัวเป็นสถาบันวิจัยของรัฐบาลกลางรัสเซียที่เกี่ยวข้องกับงานด้านการบินและอวกาศจริง โดยส่งมาจากโดเมนที่เพิ่งจดทะเบียนไม่นานเพื่อเลียนแบบองค์กรของจริง อีเมลถูกส่งถึงผู้รับแบบไม่เปิดเผยชื่อ (undisclosed recipients) แทนที่จะระบุผู้รับเจาะจง บ่งชี้ว่าถูกส่งไปยังเป้าหมายจำนวนมากพร้อมกัน ซึ่งเป็นรูปแบบที่สื่อถึงความพยายามรวบรวมข่าวกรองในวงกว้าง

การโจมตีเริ่มจากอีเมลที่แนบไฟล์บีบอัดใส่รหัสผ่านโดยติดป้ายว่าเป็นใบแจ้งหนี้ พร้อมวางรหัสผ่านไว้ในเนื้อความอีเมลเพื่อให้เหยื่อเปิดได้ แต่ตัวสแกนไม่สามารถตรวจสอบเนื้อหาข้างในได้ ภายในไฟล์คือ installer (ตัวติดตั้ง) ที่สร้างด้วยเครื่องมือแพ็กเกจซอฟต์แวร์ที่ถูกกฎหมาย ซึ่งจะวางไฟล์ลงในโฟลเดอร์ที่ซ่อนไว้ พร้อมแสดงไฟล์ PDF ล่อเป้าเพื่อรักษาภาพลวงว่าเป็นใบแจ้งหนี้ของจริง จากนั้นชุดไฟล์ batch จะทำงานต่อเนื่องกัน โดยไฟล์แรกจะติดต่อไปยังเซิร์ฟเวอร์ระยะไกลเพื่อดาวน์โหลดไฟล์บีบอัดใส่รหัสผ่านชุดที่สองที่บรรจุ payload (โค้ดอันตราย) ตัวจริง

phishing malware espionage ace anydesk anydesk phishing attack uses scheduled task persistence
phishing malware espionage ace anydesk anydesk phishing attack uses scheduled task persistence

วิธีการโจมตี

ไฟล์บีบอัดชุดที่สองจะคลายออกมาเป็น AnyDesk แบบพกพา (portable), เครื่องมือส่งอีเมลผ่านบรรทัดคำสั่ง, ยูทิลิตีบีบอัดไฟล์ และโปรแกรมเล็กๆ ชื่อ Tray Minimizer ที่ทำหน้าที่ซ่อนหน้าต่างแอปพลิเคชันจากสายตาผู้ใช้ สคริปต์จะหยุดพักราวหนึ่งนาที ซึ่งน่าจะเพื่อให้อยู่นานกว่าการตรวจสอบของ sandbox อัตโนมัติ จากนั้นจึงตั้งค่า AnyDesk ด้วยรหัสผ่านที่กำหนดไว้ล่วงหน้า เพื่อให้ผู้โจมตีเชื่อมต่อเข้ามาได้โดยไม่มีหน้าต่างขออนุญาตปรากฏบนจอ แล้วเปิดเครื่องมือทำงานอยู่เบื้องหลังอย่างเงียบๆ

เมื่อ AnyDesk ทำงานแล้ว สคริปต์จะรวบรวมไฟล์ตั้งค่า, การตั้งค่าการเชื่อมต่อ และใบรับรอง (certificate) ของมันบีบอัดใส่ไฟล์ที่ใส่รหัสผ่านชุดใหม่ แล้วส่งออกไปยังที่อยู่อีเมลที่ผู้โจมตีควบคุมผ่านยูทิลิตี SMTP ที่ถูกกฎหมาย ทำให้ผู้โจมตีได้ข้อมูลที่จำเป็นสำหรับจัดการเซสชันในภายหลัง จากนั้นจึงสร้าง scheduled task ที่ปลอมตัวเป็นกระบวนการอัปเดตทั่วไป เพื่อให้ Tray Minimizer และ AnyDesk ที่ซ่อนอยู่รีสตาร์ตทุกครั้งที่เหยื่อล็อกอินเข้าเครื่อง

หลังฝังตัวสำเร็จ สคริปต์อันตรายจะลบไฟล์คำสั่ง, ล็อกข้อความ, ไฟล์บีบอัด, ไฟล์ปฏิบัติการ และไฟล์ PDF ล่อเป้าที่ใช้ระหว่างการติดตั้งทั้งหมด การล้างร่องรอยนี้ลบหลักฐานทาง forensic ส่วนใหญ่ที่ผู้สืบสวนจะใช้ ทำให้การประกอบภาพเหตุการณ์ย้อนหลังทำได้ยาก การใช้ Tray Minimizer ซ่อน AnyDesk เป็นเทคนิคหลบเลี่ยงที่ได้ผล เพราะตัวเครื่องมือรีโมตเองเป็นซอฟต์แวร์ที่ถูกกฎหมายที่ผลิตภัณฑ์ความปลอดภัยหลายตัวไม่แจ้งเตือน ทั้งนี้นักวิจัยยังไม่พบการขุดคริปโตในตัวอย่างนี้ แม้แคมเปญที่เกี่ยวข้องจากกลุ่มเดียวกันเคยติดตั้งเครื่องมือขุดหลังฝังตัวสำเร็จ ผลประโยชน์ทางการเงินจึงอาจยังเป็นเป้าหมายรองเมื่อยึดการควบคุมได้แล้ว

ผลกระทบต่อไทย

แม้แคมเปญนี้พุ่งเป้าที่องค์กรการบินอวกาศในรัสเซียและประเทศเพื่อนบ้าน แต่เทคนิคที่ใช้เป็นบทเรียนโดยตรงสำหรับองค์กรไทย เพราะเป็นการโจมตีแบบ “living-off-the-land” ที่ใช้เครื่องมือไอทีถูกกฎหมายล้วนๆ ทั้ง AnyDesk, ยูทิลิตี SMTP และ scheduled task ซึ่งระบบตรวจจับแบบใช้ signature มักไม่แจ้งเตือน หน่วยงานไทยจำนวนมากใช้ AnyDesk และเครื่องมือรีโมตทำนองเดียวกันในการดูแลระบบและซัพพอร์ตทางไกล หากผู้ใช้หลงเปิดไฟล์แนบปลอมเป็นใบแจ้งหนี้ ผู้โจมตีก็สามารถยึดเครื่องแบบเงียบและถาวรได้เช่นกัน โดยเฉพาะองค์กรในภาคอุตสาหกรรม วิศวกรรม และหน่วยงานที่ถือครองข้อมูลอ่อนไหว ควรตระหนักว่ารูปแบบนี้ออกแบบมาเพื่อการจารกรรมระยะยาวมากกว่าการเรียกค่าไถ่ทันที

คำแนะนำ

องค์กรในภาคการบิน อวกาศ และอุตสาหกรรมที่เกี่ยวข้องควรระมัดระวังอีเมลใบแจ้งหนี้ที่ไม่คาดคิด โดยเฉพาะที่มาจากโดเมนที่เพิ่งจดทะเบียนใหม่ ควรเฝ้าระวัง scheduled task ที่ไม่ได้รับอนุญาตและการติดตั้งเครื่องมือรีโมตที่ผิดปกติเพื่อจับกิจกรรมนี้ตั้งแต่เนิ่นๆ การจำกัดการรับส่งอีเมลขาออกให้ไปยังเซิร์ฟเวอร์ที่อนุมัติเท่านั้นจะช่วยลดการขโมยข้อมูลออกไปได้ เนื่องจากเครื่องมือทั้งหมดในการโจมตีนี้เป็นยูทิลิตีที่ถูกกฎหมายและใช้กันแพร่หลาย การตรวจจับแบบ signature จึงอาจไม่ได้ผล การเฝ้าระวังเชิงพฤติกรรมที่เน้นการสร้าง scheduled task และการส่งไฟล์บีบอัดออกนอกเครือข่ายจึงเป็นแนวทางที่เชื่อถือได้มากกว่าในการจับการโจมตีนี้

แหล่งอ้างอิง