ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

6 ข่าว

APT-C-20 (APT28) ซ่อนเชลล์โค้ดในภาพ PNG ปล่อยแบ็กดอร์ C# แบบไร้ไฟล์

apt28 apt malware backdoor fancy bear hackers hide shellcode
กลุ่มแฮ็กเกอร์ APT-C-20 หรือที่รู้จักในชื่อ APT28 (Fancy Bear) ซ่อนเชลล์โค้ดไว้ในไฟล์ภาพ PNG เพื่อปล่อยแบ็กดอร์ที่เขียนด้วยภาษา C# แบบไร้ไฟล์ (fileless) โดยเริ่มจากเอกสาร Word ที่ฝังมาโคร ปลอมเป็นไฟล์ด้านกลาโหมของรัฐบาลยุโรปตะวันออก อาศัยเทคนิค COM hijacking และ steganography ซ่อนโค้ด ทำให้แอนติไวรัสตรวจจับได้ยาก และสื่อสารกับผู้โจมตีผ่านบริการคลาวด์ Filen.io

กลุ่ม SilverFox ปล่อยมัลแวร์ ValleyRAT 8 สเตจ — ผสาน Go RAT, ตัวฆ่า AV และรูตคิตระดับเคอร์เนล

valleyrat rat malware cybersecurity av killer kernel rootkit
บริษัท Gen Threat Labs เปิดโปงแคมเปญมัลแวร์ ValleyRAT ของกลุ่ม SilverFox ที่ทำงานถึง 8 สเตจ ซ่อนเพย์โหลดในภาพ PNG ด้วย steganography ปิด AV และติดตั้งรูตคิตระดับเคอร์เนลที่รับคำสั่งจาก RAT เขียนด้วยภาษา Go มัลแวร์เริ่มด้วย DLL sideloading ผ่านโปรแกรมที่มีลายเซ็นถูกต้อง สลับที่อยู่กระเป๋าคริปโตในคลิปบอร์ด และขโมยข้อมูล Telegram แคมเปญยังทำงานอยู่ พร้อมตัวอย่าง polymorphic 13 ชุด

มัลแวร์ Ousaban กลับมา — ใช้ PDF ฟิชชิงและ VBS หลอกลูกค้าธนาคารสเปน-โปรตุเกส

Ousaban banking malware phishing PDF and VBS downloader campaign
FortiGuard Labs เปิดโปงแคมเปญ Ousaban แบงกิงโทรจันสายบราซิลที่กลับมาโจมตีลูกค้าธนาคารในสเปนและโปรตุเกส เริ่มจาก PDF ฟิชชิงที่อ้างว่าไฟล์เสียหายให้กดปุ่ม Update เปิดหน้าเว็บปลอมพอร์ทัลภาษี ใช้ geofencing กรองเหยื่อ ซ่อนเพย์โหลดในภาพด้วย steganography จับเป้ากว่า 24 ธนาคารรวม Santander, BBVA, CaixaBank ขโมยรหัสผ่านผ่านหน้าจอปลอมและคีย์ล็อกเกอร์

Microsoft ถอดส่วนขยาย Edge 119 ตัว ซ่อนมัลแวร์ในไฟล์ภาพและฟอนต์ — แคมเปญ StegoAd

Microsoft removes 119 Edge extensions that hid malware in images and fonts
Microsoft ถอดส่วนขยายอันตราย 119 ตัวออกจาก Edge Add-ons store ที่ซ่อน payload ไว้ในไฟล์ภาพและฟอนต์ด้วยเทคนิค steganography แล้วตื่นทำงานหลังติดตั้งหลายวันเพื่อขโมย credential และทำ ad fraud Microsoft เรียกแคมเปญนี้ว่า StegoAd เชื่อมโยงกับกลุ่มเดียวที่ใช้งานมาตั้งแต่ปี 2021 ส่วนขยายเป็นประเภทยอดนิยมอย่าง ad blocker, VPN และ translator มียอดติดตั้งรวมสูงสุดถึง 2.6 ล้านราย ขโมยรหัส Google, รหัส 2FA และ cookie เชื่อมโยงปฏิบัติการจีน DarkSpectre

ตัวติดตั้ง Claude Code ปลอมบน Google Sites — ใช้ ClickFix + Steganography รันมัลแวร์ในหน่วยความจำ ขโมย credential

Fake Claude Code installer via Google Sites delivers credential-stealing malware
บริษัท ANY.RUN เปิดเผยแคมเปญ ClickFix ที่ใช้หน้าปลอมเลียนแบบ Claude Code และ OpenAI Codex โฮสต์บน Google Sites ที่น่าเชื่อถือ หลอกให้ผู้ใช้รันคำสั่ง mshta เพื่อ ‘ติดตั้ง’ จากนั้น PowerShell หลายขั้นจะทำงานในหน่วยความจำ ดึง payload ที่ซ่อนในรูปด้วย steganography แล้วรัน shellcode โดยไม่แตะดิสก์ ขโมยรหัสผ่านเบราว์เซอร์ อีเมล และข้อมูล wallet คริปโต เป้าหมายหลักคือนักพัฒนาที่คุ้นเคยกับการติดตั้งผ่าน command line จึงทำตามคำสั่งโดยไม่ลังเล

VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography

VIP Keylogger spread through phishing emails masquerading as business documents using steganography
Splunk Threat Research Team เปิดเผยแคมเปญ VIP Keylogger ที่แพร่ผ่านอีเมลฟิชชิงปลอมเป็นใบแจ้งชำระเงิน ใบสั่งซื้อ และข้อมูลขนส่ง มัลแวร์ใช้ script loader หลายชั้น (.vbs .js .bat) ที่ obfuscate หนัก แล้วซ่อนเพย์โหลดในไฟล์ภาพ .png ด้วย steganography ก่อนฉีดเข้าโพรเซส Windows ที่ถูกต้อง ความสามารถรวมถึงบันทึกคีย์ จับภาพหน้าจอ ขโมยรหัสผ่าน และสลับที่อยู่กระเป๋าคริปโตในคลิปบอร์ด ส่งข้อมูลออกผ่าน Telegram bot