สรุปสั้น

กลุ่มแฮ็กเกอร์ชื่อดังที่ถูกติดตามในชื่อ APT-C-20 หรือที่รู้จักกันดีในชื่อ APT28 และ Fancy Bear ได้ค้นพบวิธีลักลอบนำโค้ดอันตรายผ่านเครื่องมือรักษาความปลอดภัยด้วยการใช้ไฟล์ภาพธรรมดา โดยซ่อนเชลล์โค้ด (shellcode) ไว้ภายในไฟล์ภาพ PNG เพื่อปล่อยแบ็กดอร์ที่เขียนด้วยภาษา C# แบบไร้ไฟล์ (fileless) ซึ่งวิธีนี้ทำให้ผู้โจมตีไม่ต้องทิ้งไฟล์มัลแวร์ลงบนดิสก์ ทำให้ตรวจจับการบุกรุกได้ยากขึ้นมาก การโจมตีเริ่มต้นจากเอกสาร Word ที่ถูกวางกับดักส่งมาเป็นไฟล์แนบอีเมล ปลอมตัวเป็นเอกสารด้านกลาโหมที่ผูกกับรัฐบาลในยุโรปตะวันออก

เมื่อเหยื่อเปิดใช้งานมาโคร เอกสารจะปล่อยไฟล์ DLL ที่ซ่อนอยู่และไฟล์ภาพ PNG อำพราง จากนั้นจึงยึดส่วนประกอบของ Windows เพื่อโหลดโค้ดโดยไม่ทำให้ระบบตื่นตัว โดย DLL จะดึงเชลล์โค้ดที่ซ่อนอยู่ออกจากภาพและรันในหน่วยความจำ สุดท้ายปล่อยเครื่องมือเข้าถึงระยะไกลที่สื่อสารกับผู้โจมตีผ่านบริการพื้นที่จัดเก็บบนคลาวด์ นักวิเคราะห์จากทีม 360 ระบุว่าพบแคมเปญนี้ระหว่างติดตามความเคลื่อนไหวของ APT-C-20 และชี้ว่าวิธีการทำงานสอดคล้องกับปฏิบัติการในอดีตของกลุ่มอย่างใกล้ชิด เนื่องจากเป้าหมายคือหน่วยงานรัฐบาลและองค์กรทางการทูตที่ถือข้อมูลภูมิรัฐศาสตร์อ่อนไหว ผลกระทบจึงมีนัยสำคัญสูง

รายละเอียดข่าว

เว็บไซต์ Cyber Security News (CSN) รายงานเมื่อวันที่ 8 กรกฎาคม 2569 ว่านักวิเคราะห์จากทีม 360 ได้เปิดเผยแคมเปญจารกรรมทางไซเบอร์ของกลุ่ม APT-C-20 ที่ใช้เทคนิคการซ่อนข้อมูลในภาพ (steganography) เพื่อหลบเลี่ยงการตรวจจับ โดยระบุว่าฝีมือการโจมตีตรงกับประวัติการทำงานของกลุ่มนี้อย่างชัดเจน

รายงานระบุว่าผู้โจมตีผสมผสานชั้นการอำพรางหลายชั้นเข้าด้วยกัน ทั้งการเข้ารหัสมาโคร การเปลี่ยนแปลงค่าใน Registry แบบซ่อนเร้น และการซ่อนโค้ดในภาพ เพื่อให้การติดมัลแวร์ล่องหนอยู่ได้นานที่สุด เนื่องจากเพย์โหลดสุดท้ายไม่เคยปรากฏบนดิสก์ในรูปไฟล์ปฏิบัติการแยกต่างหาก ผู้ป้องกันจึงต้องพึ่งพาการตรวจจับตามพฤติกรรม (behavior-based detection) แทนการสแกนไฟล์ องค์กรที่จัดการข้อมูลภูมิรัฐศาสตร์อ่อนไหวจึงเผชิญความเสี่ยงสูงเป็นพิเศษเมื่อพิจารณาจากประวัติการจารกรรมของกลุ่มนี้

การโจมตีเริ่มจากเอกสารชื่อ readme.docm ซึ่งเป็นไฟล์ขนาดเล็กเพียง 469 ไบต์ ที่แสดงข้อความยุ่งเหยิงจนกว่าจะเปิดใช้งานมาโคร เมื่อเปิดใช้งานแล้วจะปรากฏหน้าล่อลวงเกี่ยวกับกระทรวงกลาโหมของประเทศในยุโรปตะวันออกเพื่อเบี่ยงเบนความสนใจของผู้ใช้ ขณะที่โค้ดซ่อนเร้นทำงานอยู่เบื้องหลัง มาโครถูกเข้ารหัสไว้ และเมื่อปลดล็อกจะตรวจสอบสภาพแวดล้อม ปล่อยไฟล์ ตั้งค่าการฝังตัว และเก็บข้อมูลระบบก่อนแสดงเนื้อหาปลอม

apt28 apt malware backdoor fancy bear hackers hide shellcode

วิธีการโจมตี

มัลแวร์จะติดต่อ dropbox.com เพื่อตรวจสอบการเชื่อมต่อเครือข่าย จากนั้นคัดลอกตัวเองไปยังโฟลเดอร์ temp และเขียนไฟล์สองไฟล์ลงในตำแหน่ง ProgramData ได้แก่ DLL ชื่อ dnxstore.dll และภาพชื่อ EdgeLogo.png ต่อมาคีย์ Registry ที่ผูกกับคลาส COM ในตัวของ Windows จะถูกเปลี่ยนเส้นทางไปยัง DLL อันตราย เมื่อ Windows Explorer เริ่มต้นออบเจ็กต์ COM นั้น มันจะโหลดโค้ดของผู้โจมตีโดยไม่รู้ตัว ซึ่งเป็นเทคนิคที่เรียกว่า COM hijacking

เมื่อถูกโหลด dnxstore.dll จะตรวจสอบว่ากำลังทำงานอยู่ใน explorer.exe จริงหรือไม่ (ไม่ใช่เครื่องมือดีบัก) และวัดการหน่วงเวลาเพื่อตรวจจับแซนด์บ็อกซ์ หากทุกอย่างดูปกติ มันจะเปิดไฟล์ EdgeLogo.png ที่ดูเหมือนไอคอน Edge ทั่วไป แต่แท้จริงซ่อนข้อมูลที่เข้ารหัสไว้ด้วยเทคนิค least significant bit (LSB) steganography จากนั้นมัลแวร์จะคำนวณกุญแจเข้ารหัส ดึงค่า salt และ initialization vector ที่ซ่อนอยู่ในพิกเซลของภาพ แล้วถอดรหัสส่วนหัวขนาดเล็กที่บอกตำแหน่งของเพย์โหลดจริง

หลังจากดึงข้อมูลเมทาดาทาแล้ว ตัวโหลดจะดึงเชลล์โค้ดที่เข้ารหัสจากพิกเซลของภาพ ถอดรหัส และรันในหน่วยความจำทั้งหมดโดยไม่บันทึกเป็นไฟล์ เชลล์โค้ดนี้จะโหลดเพย์โหลดสุดท้ายแบบ reflective loading ซึ่งเป็นแบ็กดอร์ภาษา C# ชื่อ Publish.exe ที่ถูกทำให้อ่านยากอย่างหนักเพื่อต้านการวิเคราะห์ เมื่อทำงานแล้ว แบ็กดอร์จะสร้างตัวระบุเฉพาะจากชื่อผู้ใช้และชื่อโดเมนของเหยื่อ แล้วรวมรายละเอียดระบบเป็นข้อความ JSON ที่เข้ารหัสส่งออกไป จุดที่น่าสนใจคือแทนที่จะใช้เซิร์ฟเวอร์สั่งการแบบทั่วไป มันกลับสื่อสารผ่าน Filen.io ซึ่งเป็นบริการพื้นที่จัดเก็บบนคลาวด์ โดยใช้เกตเวย์สำรองหลายจุดเพื่อให้ทำงานต่อได้แม้โหนดหนึ่งล้มเหลว จากนั้นรอรับคำสั่ง แลกเปลี่ยนกุญแจเข้ารหัสกับผู้ควบคุม และโหลดโค้ดเพิ่มเติมที่ถูกส่งมา

ผลกระทบต่อไทย

แม้แคมเปญนี้จะพุ่งเป้าหน่วยงานรัฐบาลและการทูตในยุโรปตะวันออกเป็นหลัก แต่ APT28 เป็นกลุ่มจารกรรมที่ได้รับการสนับสนุนจากรัฐและมีเป้าหมายทั่วโลกตามสถานการณ์ภูมิรัฐศาสตร์ เทคนิคที่ใช้ในแคมเปญนี้ ทั้งการซ่อนเชลล์โค้ดในภาพ การใช้ COM hijacking และการทำงานแบบไร้ไฟล์ที่สื่อสารผ่านบริการคลาวด์ที่ถูกกฎหมายอย่าง Filen.io และ Dropbox ล้วนเป็นวิธีที่หลบเลี่ยงการตรวจจับด้วยการสแกนไฟล์แบบเดิมได้ดี หน่วยงานราชการ หน่วยงานความมั่นคง และองค์กรที่ถือข้อมูลอ่อนไหวในไทยจึงควรตระหนักว่าเทคนิคเหล่านี้สามารถถูกนำไปปรับใช้กับเป้าหมายในภูมิภาคได้ โดยเฉพาะการโจมตีที่เริ่มจากเอกสารแนบอีเมลปลอมซึ่งยังคงเป็นช่องทางเข้าที่ได้ผล

คำแนะนำ

ทีมความปลอดภัยควรใช้ความระมัดระวังกับเอกสารที่เปิดใช้งานมาโครที่ไม่คาดคิด และหลีกเลี่ยงการเปิดไฟล์แนบหรือลิงก์จากผู้ส่งที่ไม่คุ้นเคย ควรพิจารณาปิดการใช้งานมาโครจากอินเทอร์เน็ตผ่านนโยบายกลุ่ม (Group Policy) เป็นค่าเริ่มต้น การเฝ้าระวังพฤติกรรมผิดปกติของ explorer.exe และการเชื่อมต่อไปยัง API ของบริการคลาวด์ เช่น Dropbox หรือ Filen.io ที่ไม่สอดคล้องกับการใช้งานปกติ จะช่วยตรวจจับการบุกรุกลักษณะนี้ได้ตั้งแต่เนิ่น ๆ นอกจากนี้ควรพึ่งพาการตรวจจับตามพฤติกรรม (behavior-based detection) และการเฝ้าระวังการเปลี่ยนแปลงคีย์ Registry ที่เกี่ยวกับคลาส COM ควบคู่กับการสแกนไฟล์แบบเดิม เนื่องจากเพย์โหลดสุดท้ายทำงานในหน่วยความจำโดยไม่แตะดิสก์

Indicators of Compromise (IoCs)

หมายเหตุ: โดเมนถูก defang (ใส่ [.]) เพื่อป้องกันการเชื่อมโยงโดยไม่ตั้งใจ ให้ re-fang เฉพาะในแพลตฟอร์มข่าวกรองภัยคุกคามที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM เท่านั้น

ประเภทตัวบ่งชี้คำอธิบาย
Filereadme.docmเอกสาร Word ฝังมาโครที่ใช้เป็นเหยื่อล่อขั้นแรก ขนาด 469 ไบต์
Filednxstore.dllDLL ตัวโหลดเชลล์โค้ด ปล่อยผ่าน COM hijacking
FileEdgeLogo.pngภาพ PNG ที่ซ่อนเชลล์โค้ดด้วย LSB steganography
FilePublish.exeเพย์โหลดสุดท้าย แบ็กดอร์ C# ที่สื่อสารผ่าน Filen.io
Domaindropbox[.]comติดต่อระหว่างตรวจสอบการเชื่อมต่อเครือข่ายขั้นแรก
Domaingateway.filen[.]ioโหนดเกตเวย์ C2 สำหรับการสื่อสารผ่าน Filen.io
Domaingateway.filen[.]netโหนดเกตเวย์ C2 สำรองสำหรับการสื่อสารผ่าน Filen.io
MD577014b3e77529079f041b5b9e73a013bแฮชของเอกสารเหยื่อล่อ readme.docm
MD5b077401fe3d9642345d4c3deafa60aa5แฮชของตัวโหลด dnxstore.dll
MD51cbffddcb8e1e839737bbf6e50a80aafแฮชของส่วนประกอบการโจมตี
MD5f10d1676b570aa4d97edb844fbb5128แฮชของส่วนประกอบการโจมตี
MD57c517d1f4385e0d6e8fa5932d17873ebแฮชของส่วนประกอบการโจมตี
MD58d416eca59188474efa3408827578588bแฮชของเพย์โหลดแบ็กดอร์ C# Publish.exe

แหล่งอ้างอิง