กลุ่มแฮกเกอร์ Confucius โจมตีปากีสถานด้วยมัลแวร์สายพันธุ์ใหม่ WooperStealer และ Anondoor

กลุ่มแฮกเกอร์ที่รู้จักกันในชื่อ $C o n f u c i u s$ กลับมาเคลื่อนไหวอีกครั้ง โดยพุ่งเป้าโจมตีไปยังประเทศปากีสถานด้วยแคมเปญฟิชชิ่งที่ใช้มัลแวร์ตระกูลใหม่ 2 ชนิด คือ $W oo p er St e a l er$ และ $A n o n d oor$ ซึ่งมีเป้าหมายเพื่อขโมยข้อมูลและควบคุมเครื่องของเหยื่อจากระยะไกล

Fortinet FortiGuard Labs ได้เปิดเผยรายงานว่า กลุ่มแฮกเกอร์ $C o n f u c i u s$ ซึ่งมีประวัติเคลื่อนไหวมาอย่างยาวนานตั้งแต่ปี 2013 และมักจะโจมตีเป้าหมายในภูมิภาคเอเชียใต้ ได้พุ่งเป้าโจมตีหน่วยงานรัฐบาล, องค์กรทางทหาร, และอุตสาหกรรมสำคัญของปากีสถานมาตลอดทศวรรษที่ผ่านมา โดยใช้วิธีการส่งอีเมลฟิชชิ่งแบบเจาะจง (spear-phishing) และแนบเอกสารอันตรายเพื่อเป็นช่องทางแรกในการเข้าสู่ระบบ

ยกระดับการโจมตีด้วยเครื่องมือใหม่

จากการวิเคราะห์ของ Fortinet พบว่า $C o n f u c i u s$ ได้พัฒนาเครื่องมือและเทคนิคการโจมตีให้ซับซ้อนยิ่งขึ้น โดยได้นำมัลแวร์ $A n o n d oor$ ซึ่งเป็น Backdoor ที่เขียนด้วยภาษา $P y t h o n$ มาใช้งาน เพื่อสะท้อนถึงความสามารถในการปรับตัวทางเทคนิคของกลุ่ม

รูปแบบการโจมตีที่พบในช่วงเดือนธันวาคม 2024 คือการหลอกให้เหยื่อในปากีสถานเปิดไฟล์นำเสนอผลงานนามสกุล $. PPSX$ ซึ่งจะไปกระตุ้นให้มัลแวร์ขโมยข้อมูลอย่าง $W oo p er St e a l er$ ถูกติดตั้งผ่านเทคนิค $D LL s i d e - l o a d in g$ (การหลอกให้โปรแกรมที่น่าเชื่อถือไปเรียกใช้งานไฟล์ $D LL$ ที่เป็นอันตรายแทน)

ต่อมาในเดือนมีนาคม 2025 พบการโจมตีระลอกใหม่ที่เปลี่ยนมาใช้ไฟล์ทางลัดของ Windows ( $. L N K$ ) เพื่อปล่อยมัลแวร์ $W oo p er St e a l er$ ด้วยเทคนิค $D LL s i d e - l o a d in g$ เช่นเดิม เพื่อขโมยข้อมูลสำคัญจากเครื่องของเหยื่อ

และล่าสุดในเดือนสิงหาคม 2025 พบการโจมตีที่ใช้ไฟล์ $. L N K$ ในลักษณะคล้ายกัน แต่ครั้งนี้เป็นการปูทางเพื่อติดตั้ง $A n o n d oor$ ซึ่งเป็นมัลแวร์ที่ถูกออกแบบมาเพื่อ:

ขโมยข้อมูลจำเพาะของอุปกรณ์ส่งกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์
รอรับคำสั่งเพิ่มเติมเพื่อควบคุมเครื่องจากระยะไกล
จับภาพหน้าจอ (screenshots)
เข้าถึงไฟล์และไดเรกทอรีต่างๆ
ขโมยรหัสผ่านที่บันทึกไว้ในเบราว์เซอร์ $G oo g l e C h ro m e$

Fortinet สรุปว่า "กลุ่ม $C o n f u c i u s$ ได้แสดงให้เห็นถึงความสามารถในการปรับตัวที่แข็งแกร่ง มีการใช้เทคนิคการซ่อนเร้นที่ซับซ้อนเพื่อหลบเลี่ยงการตรวจจับ และปรับเปลี่ยนชุดเครื่องมือให้สอดคล้องกับเป้าหมายในการรวบรวมข่าวกรองอยู่เสมอ"

กลุ่มอื่นก็ใช้เทคนิคคล้ายกัน

ในขณะเดียวกัน K7 Security Labs ได้เปิดเผยถึงการโจมตีจากอีกกลุ่มหนึ่งที่ชื่อว่า $P a t c h w or k$ ซึ่งใช้ลำดับการโจมตีที่น่าสนใจ โดยเริ่มต้นจากไฟล์ที่มีมาโครอันตราย ซึ่งจะดาวน์โหลดไฟล์ $. L N K$ ที่มีโค้ด $P o w er S h e ll$ ซ่อนอยู่ เพื่อใช้ดาวน์โหลดเพย์โหลดเพิ่มเติม และใช้เทคนิค $D LL s i d e - l o a d in g$ เพื่อเรียกใช้งานมัลแวร์หลัก ในขณะเดียวกันก็จะเปิดไฟล์เอกสาร $P D F$ ปลอมขึ้นมาเพื่อหลอกตาผู้ใช้งาน

มัลแวร์ตัวสุดท้ายนี้จะทำการติดต่อกลับไปยังเซิร์ฟเวอร์ควบคุมและสั่งการ ( $C 2$ ) ของแฮกเกอร์ เพื่อรวบรวมข้อมูลของระบบ, รับคำสั่งที่เข้ารหัสมาถอดรหัสเพื่อรันผ่าน $c m d . e x e$ , จับภาพหน้าจอ, และอัปโหลดหรือดาวน์โหลดไฟล์จากเครื่องของเหยื่อได้

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

กลุ่มแฮกเกอร์ Confucius โจมตีปากีสถานด้วยมัลแวร์สายพันธุ์ใหม่ WooperStealer และ Anondoor

ระบอบฮุนเซน แทรกแซงครอบงำการเมืองไทยหรือไม่ ระวังจะถูกแทรกแซงครอบงำกลับ

มัดรวมไว้ที่เดียว สรุปเหตุการณ์ไทยปะทะกัมพูชา พฤ 24 ก.ค.68 ทุกคลิปข่าว 116 คลิปตลอด 24 ชั่วโมง

ป๋าแหง็ม ร่วมไว้อาลัย ไพโรจน์ สังวริบุตร เสียชีวิตในวัย 72 ปี ปิดตำนานตั้ม วัยอลวน

แอร์ฯแฉเอง กัปตันกินตับลูกเรือทั้งที่กำลังบินอยู่

Categories

กลุ่มแฮกเกอร์ Confucius โจมตีปากีสถานด้วยมัลแวร์สายพันธุ์ใหม่ WooperStealer และ Anondoor

คุณอาจจะชอบ