สรุปสั้น

นักวิจัยด้านความปลอดภัยจากบริษัท LevelBlue เปิดโปงแคมเปญที่ใช้ไฟล์ช็อตคัต (LNK) อันตรายบน Windows เปลี่ยนการดาวน์โหลดที่ดูธรรมดาให้กลายเป็นช่องทางฝังตัวเพื่อรันโค้ดจากระยะไกลได้อย่างสมบูรณ์ แคมเปญนี้เริ่มต้นด้วยอีเมลสแปมธีมการจองที่พักที่ดูน่าเชื่อถือ ล่อให้เหยื่อไปยังไฟล์ ZIP ที่ซ่อนไฟล์ LNK ซึ่งถูกดัดแปลงให้เป็นกับดัก เพียงคลิกครั้งเดียวก็จะเริ่มห่วงโซ่การโจมตีที่ติดตั้งแบ็กดอร์และเปิดทางให้ผู้โจมตีรันคำสั่งเพิ่มเติมได้อย่างเงียบเชียบ

สิ่งที่ทำให้แคมเปญนี้ตรวจจับยากคือ แทนที่จะพึ่งพามัลแวร์ตัวเดียว ผู้โจมตีกลับผสมผสานเครื่องมือที่ติดตั้งมากับ Windows อยู่แล้วเข้ากับ Node.js runtime ของแท้ ทำให้ PowerShell, node.exe และบริการเว็บมาตรฐานดูเป็นเรื่องปกติเมื่อพิจารณาแยกกัน วิธีการนี้ยังเปิดทางให้ฝังตัวถาวร สื่อสารแบบเข้ารหัส และส่งไฟล์เพิ่มเติมหลังการเจาะสำเร็จ นักวิเคราะห์ของ LevelBlue พบพฤติกรรมนี้ระหว่างสอบสวนการแจ้งเตือนในระบบของลูกค้า และพบตัวอย่างใหม่ทุกวัน โดยเชื่อมโยงกว่า 400 ตัวอย่างเข้ากับตัวระบุเครื่อง (machine identifier) เดียวกัน ซึ่งบ่งชี้ว่าเป็นปฏิบัติการที่ต่อเนื่องมากกว่าจะเป็นสแปมครั้งเดียวจบ องค์กรที่รับข้อความจากภายนอกบ่อยครั้งอย่างโรงแรมและธุรกิจท่องเที่ยวที่คาดว่าจะมีอีเมลเรื่องการจองจึงมีความเสี่ยงสูงเป็นพิเศษ

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 10 กรกฎาคม 2569 ว่า นักวิเคราะห์จากบริษัท LevelBlue ตรวจพบแคมเปญนี้ระหว่างสอบสวนการแจ้งเตือนในสภาพแวดล้อมของลูกค้า โดยรายงานที่แบ่งปันกับ Cyber Security News ระบุว่าแคมเปญถูกออกแบบมาให้ซ่อนแต่ละขั้นตอนไว้จนกว่าเหยื่อจะเปิดช็อตคัตไปแล้ว นักวิจัยยังสังเกตว่าตัวอย่างแรก ๆ เคยปรากฏในความคิดเห็นบนเว็บบอร์ดสาธารณะด้วย

ไฟล์ ZIP บรรจุช็อตคัตที่ปลอมตัวเป็นรูปภาพด้วยการยืมไอคอนจาก shell32.dll เมื่อเปิดขึ้นมา มันจะรันคำสั่ง PowerShell แบบซ่อนแทนที่จะแสดงรูปภาพ โดยคำสั่งนี้ใช้ตัวเลขขนาดใหญ่และการคำนวณอย่างง่ายเพื่อประกอบที่อยู่ปลายทางขึ้นมาใหม่ เป็นกลเม็ดที่ทำให้ปลายทางไม่ปรากฏชัดในตัวช็อตคัต สคริปต์แรกจะตรวจสอบว่ามี Node.js อยู่ในเครื่องหรือไม่ หากไม่มี ผู้โจมตีจะดึงแพ็กเกจ Node.js ของแท้มาแตกไฟล์ไว้ใต้โฟลเดอร์ LocalAppData ของผู้ใช้ แล้วถอดรหัสเพย์โหลด JavaScript ที่เข้ารหัสไว้ การใช้ runtime ที่น่าเชื่อถือช่วยลดความน่าสงสัยพร้อมกับให้สภาพแวดล้อมที่จำเป็นในการเปิดแบ็กดอร์

ตัว JavaScript ถูกทำให้อ่านยากอย่างหนักและใช้ตัวแปลคำสั่งแบบ virtual-machine เพื่อประมวลผลคำสั่งที่ซ่อนไว้ขณะรัน มันจะตรวจว่ามีกระบวนการ Node.js ที่ถูกวางไว้อยู่แล้วหรือไม่เพื่อเลี่ยงการทำสำเนาซ้ำ และสร้างรายการใน Run registry เพื่อให้เริ่มทำงานใหม่ทุกครั้งที่ผู้ใช้ล็อกอิน โดยกระบวนการถูกเปิดแบบแยกตัว ซ่อนหน้าต่าง และปิดการแสดงผลลัพธ์ แบ็กดอร์สามารถดึงและรันเนื้อหาเพิ่มเติมได้ ทั้งไฟล์ปฏิบัติการของ Windows, PowerShell หรือ JavaScript และก่อนเปิดไฟล์ปฏิบัติการที่ดาวน์โหลดมา มันจะตรวจว่าไฟล์นั้นมีลักษณะเป็นโปรแกรม Windows ที่ถูกต้องหรือไม่ พร้อมพยายามเพิ่มข้อยกเว้นให้เส้นทางของไฟล์ใน Microsoft Defender ซึ่งการกระทำเหล่านี้เปลี่ยนการคลิกช็อตคัตครั้งเดียวให้กลายเป็นการควบคุมอุปกรณ์ได้อย่างกว้างขวาง

วิธีการโจมตี

จุดที่ทำให้แคมเปญนี้ทนต่อการปิดกั้นคือ แทนที่จะเก็บที่อยู่เซิร์ฟเวอร์ควบคุม (C2) ไว้ในมัลแวร์โดยตรง ผู้โจมตีกลับสอบถามข้อมูลจาก smart contract บนบล็อกเชน TON ด้วยเทคนิคที่เรียกว่า EtherHiding วิธีนี้ทำให้พวกเขาเปลี่ยนปลายทางได้โดยไม่ต้องสร้างไฟล์ใหม่ ทำให้การบล็อกและการถอนบริการทำได้ยากขึ้นมาก จากนั้นแบ็กดอร์จะเปิดการเชื่อมต่อ WebSocket และใช้การแลกเปลี่ยนกุญแจกับการเข้ารหัส บันทึกใน contract เผยให้เห็นโดเมนควบคุมที่เคยใช้มาก่อนหลายรายการ ขณะที่เซิร์ฟเวอร์ส่งเพย์โหลดและเซิร์ฟเวอร์ควบคุมซ่อนตัวอยู่หลัง Cloudflare

นักวิจัยยังพบชื่อไฟล์ LNK ที่ปรากฏซ้ำ ๆ รวมถึงไฟล์ที่ใช้ธีมรูปภาพและ IMG และค่า MachineID ที่ใช้ร่วมกัน โดยเชื่อมโยงตัวอย่างกว่า 400 รายการเข้ากับตัวระบุเครื่องเดียวกัน ทีมป้องกันควรถือว่าไฟล์ ZIP ที่มีช็อตคัตซึ่งไม่คาดคิดและลิงก์เรื่องการจองเป็นสิ่งน่าสงสัย โดยเฉพาะเมื่อไฟล์เหล่านั้นขอให้ผู้ใช้ข้ามคำเตือนการดาวน์โหลด แคมเปญนี้แสดงให้เห็นว่าเครื่องมือที่คุ้นเคยสามารถถูกร้อยเรียงเข้าด้วยกันเพื่อซ่อนการบุกรุกที่ร้ายแรงได้อย่างไร โดยช็อตคัตรูปภาพที่ดูไม่มีพิษภัย runtime ของแท้ และการสอบถามบล็อกเชน ต่างช่วยบดบังคนละส่วนของปฏิบัติการ

ผลกระทบต่อไทย

ธุรกิจโรงแรม ที่พัก และบริษัทท่องเที่ยวในไทยที่รับอีเมลเรื่องการจองจากภายนอกเป็นประจำถือเป็นกลุ่มเสี่ยงโดยตรง เพราะแคมเปญนี้ออกแบบมาให้แฝงตัวในบริบทของการจองที่พักโดยเฉพาะ ทำให้พนักงานที่คุ้นเคยกับอีเมลลักษณะนี้อาจเผลอเปิดไฟล์แนบอันตรายได้ง่าย นอกจากนี้เทคนิค EtherHiding ที่ดึง C2 ผ่านบล็อกเชน TON ยังทำให้การบล็อกด้วยวิธีดั้งเดิม เช่น การบล็อกโดเมน ทำได้ยาก เพราะผู้โจมตีเปลี่ยนปลายทางได้โดยไม่ต้องแก้ไฟล์ องค์กรไทยที่พึ่งพาการกรองอีเมลและการบล็อกโดเมนเพียงอย่างเดียวจึงควรเสริมการตรวจจับพฤติกรรมที่เครื่องปลายทาง โดยเฉพาะการรัน PowerShell แบบซ่อน การปรากฏของ Node.js ในโฟลเดอร์ผู้ใช้ และการเชื่อมต่อไปยังบริการ API ของบล็อกเชน

คำแนะนำ

ทีมความปลอดภัยควรลดความเสี่ยงด้วยการกรองหรือตรวจสอบไฟล์แนบ ZIP และลิงก์จากผู้ส่งที่ไม่ได้รับการยืนยันอย่างใกล้ชิด และบล็อกการรันช็อตคัตที่มาจากไฟล์ในอีเมลโดยไม่จำเป็น ควรเฝ้าระวังการรัน PowerShell แบบซ่อน ไฟล์ Node.js ที่ปรากฏใหม่ในโฟลเดอร์ผู้ใช้ รายการ Run registry ที่ผิดปกติ และคำขอที่ส่งไปยังบริการ API ของบล็อกเชน ซึ่งช่วยเปิดโปงห่วงโซ่การโจมตีได้ตั้งแต่เนิ่น ๆ หากพบการติดมัลแวร์ ควรแยกระบบที่ได้รับผลกระทบออกทันทีและตรวจสอบกิจกรรมเครือข่ายที่เกี่ยวข้อง นอกจากนี้การรายงานข้อความที่น่าสงสัยอย่างรวดเร็วและการเก็บไฟล์ ZIP ต้นฉบับไว้จะช่วยให้ผู้ตอบสนองเหตุการณ์มีหลักฐานเพียงพอในการควบคุมการติดมัลแวร์ที่คล้ายกัน

Indicators of Compromise (IoCs)

หมายเหตุ: IP และโดเมนถูก defang (เช่น [.]) ไว้เพื่อป้องกันการเชื่อมโยงหรือ resolve โดยไม่ตั้งใจ ให้ re-fang เฉพาะในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM เท่านั้น บทความต้นฉบับมีตัวอย่าง LNK ที่เกี่ยวข้องกว่า 100 รายการ ตารางด้านล่างคัดเฉพาะตัวบ่งชี้หลัก

ประเภทตัวบ่งชี้คำอธิบาย
Initial URLhxxps://share.google/YLoRYlokrW3iner8rURL เข้าถึงเหยื่อเริ่มต้น
Redirect URLhxxps://recordstrace[.]info/5bC6vVOeP9PI3B08URL ส่งมอบที่ถูก redirect
Download URLhxxps://nodejs[.]org/dist/v24.13.0/node-v24.13.0-win-x64.zipแพ็กเกจ Node.js ของแท้ที่ถูกนำมาใช้ในทางมิชอบ
TON API URLhxxps://tonapi[.]io/v2/blockchain/accounts/0c66119f…1a5d9/methods/getdomainการสอบถาม smart contract เพื่อดึงข้อมูล C2
TON account ID0c66119f0e5635c4380441d7a79baf0c02a0ab7ea6cd78de06507fc5dc2c1a5d9บัญชี smart contract บน TON ที่แบ็กดอร์สอบถาม
C2 domaintonajukbhuakpo2[.]shopC2 ที่บันทึกเมื่อ 2 มิถุนายน
C2 domainzloapobikahy23[.]bondC2 ในอดีต
C2 domainhsaertyuoang34[.]sbsC2 ในอดีต
C2 domainamanohuguta[.]cfdC2 ในอดีต
MachineIDwin-5r0dsv23ed0ตัวระบุเครื่องที่พบร่วมกันในตัวอย่างกว่า 400 รายการ
File patternphoto-*.png.lnkรูปแบบชื่อไฟล์ LNK อันตราย
File patternIMG-*.png.lnkรูปแบบชื่อไฟล์ LNK อันตราย
โดเมน C2 ที่พบซ้ำphotobookadm[.]pro, lastnight[.]info, tracerecord[.]info, bigfrogs[.]info, keysrace[.]info, flamecube[.]info, checkphoto-bookin[.]com, fancystraits[.]info, strayweirds[.]info, hotelphotoadm[.]infoโดเมน C2 ที่สกัดจากตัวอย่าง LNK จำนวนมาก

แหล่งอ้างอิง