สรุปสั้น
มัลแวร์ประเภทขโมยข้อมูล (Infostealer) ชื่อ Destiny Stealer กำลังมีความเคลื่อนไหวเพิ่มขึ้นทั่วยุโรปและสหรัฐอเมริกา สร้างความเสี่ยงต่อบัญชีองค์กร ระบบเข้าถึงจากระยะไกล ข้อมูลอีเมล และข้อมูลธุรกิจที่สำคัญ โดยจุดที่อันตรายคือเครื่องปลายทางที่ติดมัลแวร์เพียงเครื่องเดียวก็สามารถเปิดเผยรหัสผ่าน คุกกี้เซสชัน รายละเอียด VPN ข้อมูล Outlook กระเป๋าเงินคริปโต โปรไฟล์ Wi-Fi และภาพหน้าจอเดสก์ท็อปได้ทั้งหมด ซึ่งข้อมูลเหล่านี้เปิดช่องให้ผู้โจมตีลุกลามต่อไปได้อีกหลายทาง เช่น คุกกี้ที่ถูกขโมยอาจช่วยให้ผู้โจมตีข้ามการควบคุมการล็อกอิน ข้อมูล VPN อาจเปิดเผยการเข้าถึงภายใน และข้อมูลอีเมลอาจถูกใช้สนับสนุนการฉ้อโกงหรือการโจมตีแบบ Business Email Compromise (BEC)
สำหรับผู้บริหารด้านความปลอดภัย ความกังวลที่ใหญ่ที่สุดคือการมองเห็นภัยที่ล่าช้า เพราะตัวอย่างมัลแวร์บางตัวไม่มีการตรวจจับบน VirusTotal เลยหรือไม่มีการระบุที่มาชัดเจนในเวลาที่วิเคราะห์ ยิ่งเพิ่มความเสี่ยงที่การขโมยข้อมูลรับรองจะพัฒนาไปสู่การยึดบัญชี (Account Takeover) การฉ้อโกง หรือเหตุการณ์ความปลอดภัยในวงกว้างก่อนที่ศูนย์ปฏิบัติการความปลอดภัย (SOC) จะตอบสนองได้ทัน ทีมนักวิจัยจากบริษัท ANY.RUN ได้เปิดเผยห่วงโซ่การโจมตีทั้งหมดพร้อมตัวชี้วัดการบุกรุก (IoC) เพื่อช่วยให้ทีมรักษาความปลอดภัยตั้งรับได้เร็วขึ้น
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 15 กรกฎาคม 2569 ว่า Destiny Stealer ถูกออกแบบมาเพื่อเก็บรวบรวมข้อมูลอ่อนไหวหลายประเภทจากอุปกรณ์ที่ติดมัลแวร์เพียงเครื่องเดียว ซึ่งอาจเปิดเผยข้อมูลได้มากกว่าแค่บัญชีของพนักงานคนเดียว โดยมัลแวร์สามารถขโมยรหัสผ่านและคุกกี้ยืนยันตัวตนจากเบราว์เซอร์ ข้อมูลจาก Outlook, VPN และ FileZilla พื้นที่จัดเก็บของส่วนขยายกระเป๋าเงินคริปโต โปรไฟล์ Wi-Fi และข้อมูลระบบ ไปจนถึงการถ่ายภาพหน้าจอเดสก์ท็อป สำหรับองค์กร ข้อมูลเหล่านี้เปิดทางไปสู่การถูกเจาะเพิ่มเติมได้หลายเส้นทาง ทั้งการยึดบัญชี การเปิดเผยข้อมูล การหยุดชะงักของการดำเนินงาน ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ และกระบวนการตอบสนองต่อเหตุการณ์ที่มีค่าใช้จ่ายสูงขึ้น

เมื่อไฟล์ต้องสงสัยไม่ถูกเครื่องมือรักษาความปลอดภัยมาตรฐานตรวจจับ ทีม SOC อาจเสียเวลาอันมีค่าในการตัดสินใจว่ามันเป็นภัยจริงหรือไม่ การวิเคราะห์เชิงพฤติกรรม (Behavioral Analysis) ภายในแซนด์บ็อกซ์แบบโต้ตอบจึงช่วยให้ทีมยืนยันกิจกรรมที่เป็นอันตรายได้ โดยแสดงให้เห็นว่าไฟล์ทำอะไรบ้างหลังจากถูกรัน ทำให้คัดกรองได้เร็วขึ้น มีหลักฐานชัดเจนขึ้นสำหรับการกักกัน และเสียเวลาน้อยลงกับการสืบสวนที่ไม่ได้ข้อสรุป นักวิเคราะห์สามารถเห็นได้ว่ามีการเก็บข้อมูลอะไร เก็บไว้ที่ไหน และข้อมูลออกจากอุปกรณ์อย่างไร ก่อนที่เหตุการณ์จะขยายไปสู่การยึดบัญชีหรือการเข้าถึงเครือข่ายในวงกว้าง
วิธีการโจมตี
จากการวิเคราะห์ของ ANY.RUN ห่วงโซ่การโจมตีของ Destiny Stealer ดำเนินไปตามลำดับที่ชัดเจน เริ่มจากการตรวจสอบ IP สาธารณะ โดย Destiny Stealer จะติดต่อไปยัง ipinfo[.]io ก่อนเพื่อระบุที่อยู่ IP สาธารณะของระบบที่ติดมัลแวร์ จากนั้นสร้างโฟลเดอร์เก็บข้อมูลชั่วคราวที่ %TEMP%<PUBLIC_IP>\ เพื่อใช้เก็บข้อมูลที่รวบรวมมาจากอุปกรณ์ ต่อมามัลแวร์จะเก็บข้อมูลอ่อนไหว ทั้งข้อมูลเบราว์เซอร์ คุกกี้ รหัสผ่าน พื้นที่จัดเก็บของส่วนขยายกระเป๋าเงิน ข้อมูล Outlook ข้อมูล VPN และ FileZilla โปรไฟล์ Wi-Fi และภาพหน้าจอเดสก์ท็อป แล้วบีบอัดข้อมูลที่ขโมยมาไว้ในไฟล์ %TEMP%<PUBLIC_IP>.zip
ขั้นตอนสุดท้ายคือการส่งข้อมูลออก (Exfiltration) ผ่าน 2 ช่องทาง ได้แก่ การส่งไฟล์บีบอัดผ่าน HTTP ไปยัง destinystealer[.]com/fileicin[.]php และการส่งผ่าน raw TCP ไปยัง tipidor-38534[.]portmap[.]host ห่วงโซ่การทำงานทั้งหมดนี้สามารถมองเห็นได้ภายในแซนด์บ็อกซ์แบบโต้ตอบ ทำให้ทีมสามารถเชื่อมโยงพฤติกรรมบนเครื่องปลายทางเข้ากับกิจกรรมบนเครือข่าย และเก็บตัวชี้วัดที่ได้รับการยืนยันจากการสืบสวนครั้งเดียวได้ ซึ่งช่วยให้ SOC มีหลักฐานเพียงพอในการแยกอุปกรณ์ที่ได้รับผลกระทบ ปกป้องบัญชีที่ถูกเปิดเผย บล็อกโครงสร้างพื้นฐานที่เป็นอันตราย และลดเวลาระหว่างการตรวจพบครั้งแรกกับการกักกัน
ผลกระทบต่อไทย
Destiny Stealer เป็นภัยที่กระทบองค์กรไทยได้โดยตรง เพราะมุ่งขโมยข้อมูลที่องค์กรทั่วไปใช้งานประจำวัน ทั้งรหัสผ่านเบราว์เซอร์ คุกกี้เซสชัน ข้อมูล VPN และข้อมูล Outlook ซึ่งล้วนเป็นกุญแจสู่ระบบภายในองค์กร ในยุคที่พนักงานจำนวนมากทำงานทางไกลและพึ่งพา VPN กับอีเมลเป็นหลัก การที่ข้อมูลเหล่านี้รั่วไหลจากเครื่องเดียวอาจนำไปสู่การยึดบัญชี การฉ้อโกงทางอีเมลธุรกิจ (BEC) หรือการเจาะเข้าเครือข่ายในวงกว้างได้ ยิ่งเมื่อบางตัวอย่างไม่ถูกตรวจจับบน VirusTotal เลย องค์กรไทยที่พึ่งพาโปรแกรมป้องกันไวรัสแบบลายเซ็นเพียงอย่างเดียวจึงเสี่ยงที่จะมองไม่เห็นภัยจนสายเกินไป องค์กรควรถือว่า Destiny Stealer เป็นความเสี่ยงด้านตัวตนและการเข้าถึง (Identity and Access Risk) ไม่ใช่แค่มัลแวร์บนเครื่องเดียว เพราะเมื่อรหัสผ่าน คุกกี้ และข้อมูล VPN หลุดออกไปแล้ว การลบไฟล์อันตรายเพียงอย่างเดียวอาจไม่เพียงพอ
คำแนะนำ
ทีมตอบสนองควรใช้หลักฐานจากการสืบสวนเพื่อดำเนินการหลายอย่างพร้อมกัน ได้แก่ แยกเครื่องปลายทางที่ได้รับผลกระทบออกจากเครือข่าย เพิกถอนเซสชันที่ยังใช้งานอยู่และรีเซ็ตข้อมูลรับรองที่ถูกเปิดเผย ตรวจสอบกิจกรรมของ VPN อีเมล และการเข้าถึงจากระยะไกล บล็อกโดเมนและปลายทางเครือข่ายที่ระบุไว้ในตาราง IoC และไล่ล่าหาไฟล์ ไฟล์บีบอัด และรูปแบบการสื่อสารเดียวกันทั่วทั้งสภาพแวดล้อม การเชื่อมโยงผลจากแซนด์บ็อกซ์เข้ากับระบบ SIEM, SOAR, EDR และการควบคุมด้านตัวตน จะช่วยให้ทีมขยับจากการยืนยันภัยไปสู่การกักกันได้โดยไม่ต้องรอให้ผู้ผลิตรายอื่นตรวจจับได้ก่อน นอกจากนี้ควรบังคับใช้ multi-factor authentication (MFA) เพื่อลดผลกระทบจากคุกกี้และรหัสผ่านที่ถูกขโมย และให้ความรู้พนักงานเรื่องการหลีกเลี่ยงการดาวน์โหลดไฟล์ต้องสงสัย
Indicators of Compromise (IoCs)
หมายเหตุ: โดเมนและปลายทางถูกทำ defang (แทน
.ด้วย[.]) เพื่อความปลอดภัย ห้ามคลิกหรือเข้าถึงโดยตรง
| ประเภท | ตัวชี้วัด | คำอธิบาย |
|---|---|---|
| Domain | ipinfo[.]io | ถูกเรียกใช้เพื่อตรวจสอบ IP สาธารณะของเครื่องเหยื่อ |
| URL (C2/Exfil) | destinystealer[.]com/fileicin[.]php | ปลายทางส่งข้อมูลออกผ่าน HTTP |
| Host (Exfil) | tipidor-38534[.]portmap[.]host | ปลายทางส่งข้อมูลออกผ่าน raw TCP |
| ไฟล์/โฟลเดอร์ | %TEMP%<PUBLIC_IP>\ | โฟลเดอร์ชั่วคราวที่ใช้เก็บข้อมูลที่ขโมยมา |
| ไฟล์ | %TEMP%<PUBLIC_IP>.zip | ไฟล์บีบอัดข้อมูลที่ถูกขโมยก่อนส่งออก |
