สรุปสั้น

นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ค้นพบมัลแวร์ที่ไม่เคยถูกบันทึกมาก่อนชื่อ GoSerpent ซึ่งถูกนำมาใช้ในการโจมตีทางไซเบอร์ที่พุ่งเป้าไปยังหน่วยงานในภูมิภาคเอเชียตะวันออกเฉียงใต้ตั้งแต่ปลายปี 2568 โดยเน้นการเข้าถึงระยะยาวและการเก็บรวบรวมข่าวกรอง บริษัท Kaspersky บริษัทด้านความมั่นคงปลอดภัยไซเบอร์สัญชาติรัสเซียที่ตรวจพบกิจกรรมนี้เมื่อเดือนกุมภาพันธ์ 2569 ระบุว่าการโจมตีมุ่งเป้าไปที่หน่วยงานรัฐและหน่วยงานทางการทูตในภูมิภาค GoSerpent ถูกออกแบบให้ติดต่อกับเซิร์ฟเวอร์ภายนอกและติดตั้งเพย์โหลดขั้นที่สองเพื่อเก็บข้อมูลอ่อนไหวและดักข้อมูลรับรอง (Credential Dumping) บนระบบ

นางสาว Noushin Shabab นักวิจัยด้านความปลอดภัยเปิดเผยว่าเมื่อเดือนพฤษภาคม 2569 กลุ่มผู้โจมตีได้กลับมาพร้อมชุดเครื่องมือที่พัฒนาขึ้น รวมถึง Stowaway RAT และเครื่องมือ proxy ตัวใหม่ที่คล้ายกับมัลแวร์เดิม พร้อมเครื่องมือลอบเก็บข้อมูลอ่อนไหวที่สะสมไว้หลายเดือนแล้วส่งออกผ่านไดรฟ์ที่แชร์บนเครือข่าย เป้าหมายสุดท้ายคือการเก็บเกี่ยวไฟล์สำคัญและจัดเตรียมเพื่อการส่งออกในภายหลังด้วยเครื่องมือชื่อ ThumbcacheService แม้การระบุตัวผู้อยู่เบื้องหลังยังไม่ชัดเจน แต่แคมเปญนี้มีเป้าหมาย ความสามารถทางเทคนิค และการทำงานที่ทับซ้อนกับกลุ่ม TetrisPhantom ซึ่งเป็นกลุ่มผู้โจมตีที่มีทักษะสูงและทรัพยากรพร้อม

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 17 กรกฎาคม พ.ศ. 2569 ว่าบริษัท Kaspersky ได้เปิดโปงมัลแวร์จารกรรมตัวใหม่ชื่อ GoSerpent ซึ่งเป็นโทรจันเข้าถึงระยะไกล (RAT) ที่เขียนด้วยภาษา Go โดยรุ่นก่อนหน้าของฝังตัว (Implant) นี้ถูกนำมาใช้กับเหยื่อในเอเชียตะวันออกเฉียงใต้ตั้งแต่ปี 2564 และมีการนำรุ่นใหม่มาใช้ล่าสุดในปีนี้ มัลแวร์ทำงานโดยรับอาร์กิวเมนต์บรรทัดคำสั่งที่ถูกเข้ารหัสและเข้ารหัสแบบ Base64 ซึ่งบรรจุที่อยู่เซิร์ฟเวอร์ควบคุม (C2) และรหัสผ่านสำหรับสื่อสาร เมื่อถอดรหัสแล้ว แบ็กดอร์จะเชื่อมต่อไปยังเซิร์ฟเวอร์ C2 ผ่านการเชื่อมต่อที่เข้ารหัส โดยใช้ค่าแฮช SHA256 ของรหัสผ่านสื่อสารเป็นกุญแจเข้ารหัส

GoSerpent รองรับคำสั่งหลากหลาย เช่น การแจ้งเซิร์ฟเวอร์ว่ามีการติดมัลแวร์ที่ยังทำงานอยู่ การเปิดฟังพอร์ตที่ระบุ การเชื่อมต่อไปยังเซิร์ฟเวอร์ปลายทาง การเปิด shell บนเครื่องที่ติดมัลแวร์ การอัปโหลดและดาวน์โหลดไฟล์ ตลอดจนการตั้ง SOCKS5 proxy บนเครื่องเหยื่อ บริษัท Kaspersky อธิบายว่า GoSerpent สามารถตั้งเซิร์ฟเวอร์ SOCKS5 proxy เพื่อส่งต่อทราฟฟิกผ่านเครื่องที่ถูกเจาะ ทำให้ผู้โจมตีเข้าถึงเครือข่ายอื่น ๆ ได้พร้อมกับซ่อนที่อยู่ IP จริงของตน นอกจากนี้แบ็กดอร์ยังสามารถติดตั้งเครื่องมือเสริม รวมถึง ThumbcacheService สำหรับเก็บไฟล์ Mimikatz สำหรับดักข้อมูลรับรอง และ QuarksDumpLocalHash สำหรับดึงค่าแฮชรหัสผ่านบัญชีในเครื่องออกจาก SAM registry hive

วิธีการโจมตี

ในระหว่างการโจมตี กลุ่มผู้โจมตีได้ปล่อยเครื่องมือหลายตัว เริ่มจาก McMx RAT ซึ่งเป็น proxy และเครื่องมือเข้าถึงระยะไกลพื้นฐานที่เขียนด้วย Go เป็นเวอร์ชันน้ำหนักเบาของ GoSerpent มีความสามารถอย่าง SOCKS5 proxy, port forwarding, การถ่ายโอนไฟล์ และ remote shell ตามด้วย ThumbcacheService ซึ่งเป็นไฟล์ DLL ที่เสริมกลไกเก็บไฟล์อันซับซ้อนให้ GoSerpent จากนั้นใช้ Mimikatz ดึงหน่วยความจำจากกระบวนการ LSASS เพื่อดักข้อมูลรับรอง และใช้ QuarksDumpLocalHash ดึงค่าแฮชรหัสผ่านบัญชีในเครื่อง

หลังจากลอบเก็บเกี่ยวข้อมูลอย่างเงียบ ๆ นานหลายเดือน กลุ่มผู้โจมตีได้กลับเข้าสู่สภาพแวดล้อมที่ถูกเจาะอีกครั้งในเดือนพฤษภาคม 2569 เพื่อปล่อยเครื่องมืออีกชุด ได้แก่ Stowaway ซึ่งเป็น proxy และเครื่องมือเข้าถึงระยะไกลที่มี SOCKS5 proxy, port forwarding, reverse tunneling, remote shell, การถ่ายโอนไฟล์ และการสร้างอุโมงค์ผ่าน SSH ตามด้วย TmcLoader ซึ่งเป็นโมดูล loader ภาษา C++ ที่บรรจุเพย์โหลดเข้ารหัสชื่อ TmcPayload และ TmcPayload ที่ทำหน้าที่ส่งออกข้อมูลอ่อนไหวที่จัดเก็บไว้จากเครื่องเหยื่อ บริษัท Kaspersky ระบุว่าห่วงโซ่การทำงานจาก ThumbcacheService ไปสู่ TmcLoader และ TmcPayload สะท้อนถึงการวางแผนปฏิบัติการที่ซับซ้อน โดยแคมเปญนี้มีความทับซ้อนกับกลุ่ม TetrisPhantom ที่บริษัทบันทึกครั้งแรกเมื่อเดือนตุลาคม 2566 ว่าเจาะหน่วยงานรัฐในภูมิภาคเอเชียแปซิฟิกโดยใช้ประโยชน์จากไดรฟ์ USB ที่เข้ารหัสด้วยฮาร์ดแวร์เป็นพาหะขนถ่ายข้อมูล

นอกจากนี้ บริษัท Cyderes ยังเปิดเผยปฏิบัติการจารกรรมไซเบอร์ที่จัดฉากโดยกลุ่ม DoNot Team ซึ่งพุ่งเป้าไปที่กองทัพและหน่วยงานกลาโหมของบังกลาเทศ โดยใช้อีเมล spear-phishing ที่แนบเอกสาร RTF ฝังมัลแวร์เพื่อปล่อยฝังตัว DLL ที่ตั้งค่าการฝังตัวผ่าน scheduled task ปลอมตัวเป็น OneDrive telemetry เอกสาร RTF ใช้เทคนิค remote template injection ดึงมาโคร VBA มา และมีการจำกัดการส่งเพย์โหลดตามพิกัดภูมิศาสตร์ (Geofencing) เฉพาะเหยื่อในภูมิภาคเป้าหมายเท่านั้น การระบุว่าเป็นฝีมือ DoNot Team อ้างอิงจากเส้นทาง C2 URI ที่คล้ายกัน กุญแจ AES ที่ตรงกัน และเทคนิคการฉีด shellcode ผ่าน VBA

ผลกระทบต่อไทย

GoSerpent เป็นภัยคุกคามที่ใกล้ตัวประเทศไทยอย่างยิ่ง เนื่องจากพุ่งเป้าโจมตีหน่วยงานรัฐและหน่วยงานทางการทูตในภูมิภาคเอเชียตะวันออกเฉียงใต้โดยตรง ซึ่งไทยเป็นหนึ่งในประเทศศูนย์กลางของภูมิภาคที่มีสถานทูต หน่วยงานราชการ และหน่วยงานความมั่นคงจำนวนมาก ลักษณะการโจมตีที่เน้นการฝังตัวระยะยาวและลอบเก็บข่าวกรองอย่างเงียบ ๆ นานหลายเดือนก่อนส่งข้อมูลออก ทำให้ยากต่อการตรวจจับและอาจสร้างความเสียหายร้ายแรงต่อความมั่นคงของชาติ การใช้ SOCKS5 proxy ผ่านเครื่องที่ถูกเจาะเพื่อกระโดดเข้าเครือข่ายอื่นยังเปิดโอกาสให้ผู้โจมตีขยายวงการเข้าถึงไปยังหน่วยงานที่เชื่อมโยงกันได้ หน่วยงานรัฐและองค์กรด้านความมั่นคงของไทยจึงควรเฝ้าระวังเป็นพิเศษ

คำแนะนำ

หน่วยงานรัฐและองค์กรที่มีข้อมูลอ่อนไหวควรเฝ้าระวังการเชื่อมต่อ SOCKS5 proxy ที่ผิดปกติและการส่งข้อมูลออกผ่านไดรฟ์ที่แชร์บนเครือข่าย ควรตรวจสอบและจำกัดสิทธิ์การเข้าถึงกระบวนการ LSASS เพื่อป้องกันการดักข้อมูลรับรองด้วย Mimikatz พร้อมเปิดใช้งานการป้องกัน Credential Guard และตรวจสอบ scheduled task ที่ปลอมตัวเป็นบริการที่ดูปกติเช่น OneDrive telemetry นอกจากนี้ควรระมัดระวังอีเมล spear-phishing ที่แนบเอกสาร RTF หรือ Office เนื่องจากเป็นช่องทางเริ่มต้นที่กลุ่มจารกรรมนิยมใช้ ควรฝึกอบรมบุคลากรให้ไม่เปิดไฟล์แนบจากผู้ส่งที่ไม่รู้จัก และควรตรวจสอบ Indicators of Compromise ที่บริษัท Kaspersky เผยแพร่เพื่อค้นหาการติดมัลแวร์ในเครือข่าย

แหล่งอ้างอิง