สรุปสั้น

บริษัท ANY.RUN ผู้ให้บริการวิเคราะห์มัลแวร์แบบโต้ตอบและข่าวกรองภัยคุกคาม เปิดเผยแคมเปญโจมตีที่ยังเคลื่อนไหวอยู่ชื่อ PhantomEnigma ซึ่งได้เจาะและยึดเว็บไซต์ของหน่วยงานรัฐบาลบราซิลกว่า 20 แห่ง แล้วเปลี่ยนมันให้กลายเป็นช่องทางส่งมัลแวร์ โดยอาศัยความน่าเชื่อถือของโดเมน .gov.br และอีเมลที่ผ่านการยืนยันตัวตนจริงเพื่อหลบเลี่ยงการตรวจจับ นักวิจัยเชื่อมโยงเซสชันแซนด์บ็อกซ์หลายร้อยรายการที่ดูเหมือนไม่เกี่ยวกันเข้าด้วยกัน จนเห็นภาพขอบเขตปฏิบัติการที่กว้างกว่าที่คาด พร้อมเปิดเผยพฤติกรรมแบ็กดอร์ที่ไม่เคยมีการบันทึกมาก่อน โครงสร้างพื้นฐานที่ซ่อนอยู่ และหลายแขนของการโจมตีที่ทำให้ทั้งธนาคารและหน่วยงานภาครัฐตกอยู่ในความเสี่ยง จุดเด่นของแคมเปญนี้คือการเปลี่ยนโครงสร้างพื้นฐานที่ผู้คนไว้วางใจให้กลายเป็นข้อได้เปรียบในการหลบการตรวจจับ เพราะโดเมนรัฐที่ถูกต้อง อีเมลที่ยืนยันตัวตนได้จริง และไฟล์ที่ถูกตัดสินว่าปลอดภัย ล้วนช่วยลดความระแวงของเหยื่อแม้กระบวนการติดมัลแวร์จะเริ่มทำงานไปแล้ว

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 16 กรกฎาคม พ.ศ. 2569 ว่า บริษัท ANY.RUN ได้ตรวจพบว่าเว็บไซต์รัฐบาลบราซิลมากกว่า 20 แห่งถูกยึดและถูกใช้เป็นช่องทางส่งมัลแวร์ในแคมเปญ PhantomEnigma ที่ยังเคลื่อนไหวอยู่ การโจมตีเริ่มต้นจากเอกสารปลอมที่อ้างธีมเกี่ยวกับตำรวจ นำเสนอในรูปหนังสือราชการอย่าง “Ofício Polícia Civil” หรือ “Procuração Digital” บางฉบับแนบ QR code ขณะที่บางฉบับนำผู้รับไปยังลิงก์ที่ออกแบบให้ดูเหมือนแหล่งข้อมูลของรัฐที่ถูกต้อง

สิ่งที่ทำให้แคมเปญนี้อันตรายเป็นพิเศษคือ ในหลายกรณีอีเมลถูกส่งผ่านกล่องจดหมายที่ถูกเจาะแล้ว จึงผ่านการตรวจสอบ SPF, DKIM และ DMARC ทำให้ข้อความดูน่าเชื่อถือกว่าอีเมลฟิชชิงที่ปลอมแปลงต้นทางแบบธรรมดา จากนั้นเหยื่อจะถูกเปลี่ยนเส้นทางผ่านโฮสต์ .gov.br ที่ถูกเจาะ หรือโดเมนเลียนแบบธีมตำรวจ ก่อนจะไปถึงตัวติดตั้งที่เป็นอันตราย ระบบของรัฐจึงถูกใช้เป็นโครงสร้างพื้นฐานในการส่งมอบที่น่าเชื่อถือ ไม่จำเป็นต้องเป็นเป้าหมายสุดท้ายของการโจมตี

ในบรรดาระบบที่ถูกเจาะและพบระหว่างการสอบสวน ได้แก่ timon.ma.gov[.]br, loginam.sesp.es.gov[.]br (หน่วยความมั่นคงสาธารณะระดับรัฐ), aplicacao.cbm.mt.gov[.]br (หน่วยดับเพลิง), prodoc.ap.gov[.]br และอื่น ๆ พอร์ทัลของเทศบาล หน่วยความมั่นคง และหน่วยงานตุลาการที่ถูกต้องเหล่านี้ถูกใช้ในขั้นตอนต่าง ๆ ของห่วงโซ่การส่งมอบ และหลายแห่งยังปรากฏในมากกว่าหนึ่งแขนของการโจมตี PhantomEnigma ช่วยให้นักวิจัยเชื่อมโยงกิจกรรมที่แรกเริ่มดูเหมือนไม่เกี่ยวข้องกันได้ ANY.RUN ระบุว่า PhantomEnigma มีวิวัฒนาการไปตามสองเส้นทางหลัก ด้านการส่งมอบ มัลแวร์ได้เปลี่ยนจากกิจกรรมที่เน้นเจาะธนาคารในปี 2568 มาสู่การใช้เว็บไซต์ .gov.br และบัญชีอีเมลที่ถูกเจาะในปี 2569 ส่วนด้านคลังอาวุธ มัลแวร์พัฒนาจากโทรจันธนาคารในรูปส่วนขยายเบราว์เซอร์ ไปเป็นแบ็กดอร์แบบโมดูลที่สร้างด้วย Inno Setup และ Node.js ซึ่งสามารถรัน JavaScript และส่งเพย์โหลดเพิ่มเติมได้

วิธีการโจมตี

เมื่อเหยื่อกดเปิดเหยื่อล่อ แคมเปญจะดำเนินไปตามห่วงโซ่การติดมัลแวร์แบบหลายขั้น เริ่มจากอีเมลฟิชชิงที่ปลอมเป็นเอกสารตำรวจหรือหนังสือราชการ ตามด้วยการเปลี่ยนเส้นทางผ่านโฮสต์ของรัฐที่ถูกเจาะหรือโดเมนเลียนแบบธีมตำรวจ จากนั้นตัวติดตั้งที่เป็น Inno Setup, MSI หรือรูปแบบอื่นจะเริ่มการติดมัลแวร์ โดยแอปพลิเคชัน Electron ที่ถูกต้องแต่ถูกแก้ไข (patched) จะโหลดแบ็กดอร์ index.js ที่เป็นอันตรายเข้ามา เมื่อแบ็กดอร์ทำงาน มันจะเก็บข้อมูลระบบ สร้างการฝังตัวถาวร และเชื่อมต่อไปยังโครงสร้างพื้นฐาน C2 ที่หมุนเวียนเปลี่ยนไปเรื่อย ๆ ก่อนจะส่งมอบเพย์โหลดขั้นที่สอง ทั้งการรัน JavaScript หรือส่งมัลแวร์ประเภทขโมยข้อมูล ตัวโหลด ซอฟต์แวร์ RMM และมัลแวร์อื่น ๆ ซึ่งท้ายที่สุดอาจนำไปสู่การขโมยข้อมูลรับรอง การเข้าถึงระบบโดยไม่ได้รับอนุญาต การฉ้อโกง ข้อมูลรั่วไหล และการหยุดชะงักของการปฏิบัติงาน

เซสชันแซนด์บ็อกซ์เผยให้เห็นว่านี่เป็นมากกว่าตัวดาวน์โหลดธรรมดา ภายในแอป Boostnote ที่ถูกแก้ไขและแอปอื่น ๆ ซ่อนแบ็กดอร์ index.js แบบโมดูลที่ถูกสร้างขึ้นเพื่อระบุเครื่องที่ติดมัลแวร์ รักษาการเข้าถึง และส่งเพย์โหลดต่างกันตามคำสั่ง เมื่อทำงานแล้วแบ็กดอร์สามารถเก็บชื่อคอมพิวเตอร์ ชื่อผู้ใช้ และรายละเอียดระบบของเหยื่อ สร้าง machine ID ถาวรและอ่านแท็กแคมเปญที่เก็บไว้ข้างตัวติดตั้ง สร้างการฝังตัวผ่านการตั้งค่า login ตรวจหาคำสั่งใหม่ทุก 180 วินาที รัน JavaScript โดยตรงผ่าน eval() ดาวน์โหลดและเปิดเพย์โหลด executable รวมถึงสื่อสารผ่านรูปแบบ beacon หลายแบบบนโครงสร้างพื้นฐานที่หมุนเวียนเปลี่ยน การออกแบบแบบโมดูลนี้ทำให้ผู้โจมตีเปลี่ยนเพย์โหลดสุดท้ายได้โดยไม่ต้องสร้างห่วงโซ่การติดมัลแวร์ใหม่ทั้งหมด ระบบที่ในตอนแรกได้รับตัวติดตั้งเดียวกัน อาจได้รับมัลแวร์ขโมยข้อมูล ตัวโหลด เครื่องมือจัดการระยะไกล หรือ executable อื่นในภายหลัง ทำให้ทั้งการตรวจจับและการควบคุมยากยิ่งขึ้น

ผลกระทบต่อไทย

แม้ PhantomEnigma จะพุ่งเป้าไปที่บราซิลเป็นหลัก แต่เทคนิคของแคมเปญนี้เป็นบทเรียนตรงสำหรับองค์กรและหน่วยงานรัฐของไทย จุดที่อันตรายที่สุดคือการเปลี่ยนโครงสร้างพื้นฐานที่คนไว้ใจให้กลายเป็นเครื่องมือโจมตี เมื่อเว็บไซต์ราชการที่ลงท้ายด้วยโดเมนของรัฐถูกเจาะ ลิงก์ที่ส่งถึงประชาชนก็จะดูน่าเชื่อถือทันที ไทยเองมีเว็บไซต์ภาครัฐจำนวนมากที่ประชาชนคุ้นเคยและวางใจ หากถูกยึดในลักษณะเดียวกัน ก็อาจถูกใช้ส่งมัลแวร์ให้เหยื่อโดยที่เหยื่อไม่ทันระแวง ยิ่งไปกว่านั้น การที่อีเมลถูกส่งจากกล่องจดหมายจริงที่ถูกเจาะจนผ่านการตรวจสอบ SPF/DKIM/DMARC หมายความว่าระบบกรองอีเมลแบบเดิมที่พึ่งพาการตรวจต้นทางเพียงอย่างเดียวจะไม่สามารถหยุดการโจมตีแบบนี้ได้ ธนาคารและหน่วยงานที่ให้บริการประชาชนของไทยจึงควรถือว่าภัยลักษณะนี้เป็นความเสี่ยงที่จับต้องได้

คำแนะนำ

องค์กรควรเปิดช่องทางที่ปลอดภัยให้พนักงานแจ้งข้อความที่อ้างเป็นเอกสารราชการที่น่าสงสัย และตรวจสอบข้อความเหล่านั้นให้ลึกกว่าผลตัดสินเบื้องต้นว่า “ปลอดภัย” เพราะการจับเหยื่อล่อที่ดูน่าเชื่อถือได้ตั้งแต่ต้นสามารถป้องกันการขโมยข้อมูลรับรอง การส่งเพย์โหลดเพิ่มเติม และเหตุการณ์ที่ลุกลามในวงกว้างได้ นอกจากนี้ควรใช้การวิเคราะห์เชิงพฤติกรรมและการล่าภัยคุกคามอย่างต่อเนื่อง แทนการพึ่งพา blocklist แบบสถิตเพียงอย่างเดียว เพราะโดเมน C2 ที่หมุนเวียนเปลี่ยนอย่างรวดเร็วทำให้รายการบล็อกล้าสมัยเร็ว หน่วยงานที่ดูแลเว็บไซต์ .go.th ควรตรวจสอบความปลอดภัยของเซิร์ฟเวอร์และบัญชีอีเมลของตนอย่างสม่ำเสมอ เพื่อไม่ให้ตกเป็นโครงสร้างพื้นฐานที่ผู้โจมตีนำไปใช้ต่อ และควรเฝ้าระวังพฤติกรรมผิดปกติ เช่น แอป Electron ที่โหลดไฟล์ index.js แปลกปลอม หรือกระบวนการที่เชื่อมต่อออกไปยังโดเมน C2 เป็นระยะทุก 180 วินาที

แหล่งอ้างอิง