เตือนภัย! กลุ่มแฮกเกอร์ Confucius พุ่งเป้าโจมตีปากีสถานด้วยมัลแวร์ตัวใหม่ WooperStealer และ Anondoor
กลุ่มผู้ไม่หวังดีที่รู้จักกันในชื่อ Confucius (ขงจื๊อ) ถูกระบุว่าเป็นผู้อยู่เบื้องหลังแคมเปญฟิชชิ่งครั้งใหม่ที่มุ่งเป้าโจมตีประเทศปากีสถาน ด้วยมัลแวร์ตระกูล WooperStealer และ Anondoor
Cara Lin นักวิจัยจาก Fortinet FortiGuard Labs กล่าวว่า "ในช่วงทศวรรษที่ผ่านมา Confucius ได้กำหนดเป้าหมายโจมตีหน่วยงานรัฐบาล องค์กรทางทหาร ผู้รับเหมาด้านกลาโหม และอุตสาหกรรมที่สำคัญซ้ำแล้วซ้ำเล่า โดยเฉพาะอย่างยิ่งในปากีสถาน โดยใช้สเปียร์ฟิชชิ่ง (spear-phishing) และเอกสารที่เป็นอันตรายเป็นช่องทางในการเข้าถึงระบบในเบื้องต้น"
Confucius เป็นกลุ่มแฮกเกอร์ที่เคลื่อนไหวมาอย่างยาวนาน เชื่อว่าเริ่มปฏิบัติการตั้งแต่ปี 2013 ในภูมิภาคเอเชียใต้ แคมเปญล่าสุดของกลุ่มนี้ได้ใช้แบ็คดอร์ (Backdoor) ที่พัฒนาด้วยภาษา Python ชื่อว่า Anondoor ซึ่งเป็นสัญญาณที่บ่งชี้ถึงการพัฒนากลยุทธ์และความคล่องตัวทางเทคนิคของกลุ่ม
หนึ่งในกระบวนการโจมตีที่ Fortinet ตรวจพบ เกิดขึ้นในช่วงเดือนธันวาคม 2024 โดยพุ่งเป้าไปที่ผู้ใช้ในปากีสถาน หลอกล่อให้เหยื่อเปิดไฟล์ .PPSX ซึ่งจะไปกระตุ้นให้มัลแวร์ WooperStealer ถูกติดตั้งผ่านเทคนิค DLL side-loading
ต่อมาในเดือนมีนาคม 2025 พบการโจมตีระลอกใหม่ที่ใช้ไฟล์ทางลัดของวินโดวส์ (.LNK) เพื่อปล่อยไฟล์ DLL ที่เป็นอันตรายของ WooperStealer ซึ่งถูกเรียกใช้งานด้วยเทคนิค DLL side-loading เช่นกัน เพื่อขโมยข้อมูลสำคัญจากเครื่องที่ติดเชื้อ
และในเดือนสิงหาคม 2025 ก็พบไฟล์ .LNK อีกตัวที่ใช้กลยุทธ์คล้ายกันในการไซด์โหลด DLL ที่เป็นอันตราย แต่ครั้งนี้ DLL ดังกล่าวได้ปูทางไปสู่การติดตั้ง Anondoor ซึ่งเป็นมัลแวร์ที่ฝังตัวและพัฒนาด้วยภาษา Python ถูกออกแบบมาเพื่อขโมยข้อมูลของอุปกรณ์ส่งไปยังเซิร์ฟเวอร์ภายนอก และรอรับคำสั่งเพิ่มเติมเพื่อทำงานต่างๆ เช่น สั่งรันคำสั่ง, จับภาพหน้าจอ, แจกแจงไฟล์และไดเรกทอรี และดึงรหัสผ่านที่บันทึกไว้ใน Google Chrome
ทั้งนี้ การใช้ Anondoor ของกลุ่มแฮกเกอร์นี้เคยถูกเปิดเผยมาก่อนแล้วในเดือนกรกฎาคม 2025 โดยทีม KnownSec 404 ของ Seebug การเปลี่ยนจากการใช้มัลแวร์ขโมยข้อมูล (Information Stealer) มาเป็นแบ็คดอร์ (Backdoor) เป็นสัญญาณว่ากลุ่มผู้ไม่หวังดีกำลังมุ่งเป้าไปที่การสอดแนมและคงสถานะการเข้าถึงระบบของเหยื่อในระยะยาว
Fortinet กล่าวเสริมว่า "กลุ่มนี้ได้แสดงให้เห็นถึงความสามารถในการปรับตัวที่แข็งแกร่ง มีการใช้เทคนิคการซ่อนตัวซับซ้อนเพื่อหลบเลี่ยงการตรวจจับ และปรับแต่งชุดเครื่องมือให้สอดคล้องกับเป้าหมายการรวบรวมข่าวกรองที่เปลี่ยนไป แคมเปญล่าสุดไม่เพียงแต่แสดงให้เห็นถึงความพากเพียรของ Confucius เท่านั้น แต่ยังแสดงให้เห็นถึงความสามารถในการปรับเปลี่ยนเทคนิค โครงสร้างพื้นฐาน และตระกูลมัลแวร์ได้อย่างรวดเร็วเพื่อรักษาประสิทธิภาพในการปฏิบัติการ"
การเปิดเผยนี้เกิดขึ้นพร้อมกับที่ K7 Security Labs ได้ให้รายละเอียดเกี่ยวกับกระบวนการแพร่เชื้อของกลุ่ม Patchwork ซึ่งเริ่มต้นด้วยมาโครที่เป็นอันตรายในเอกสาร ถูกออกแบบมาเพื่อดาวน์โหลดไฟล์ .LNK ที่มีโค้ด PowerShell ซ่อนอยู่ จากนั้นโค้ดดังกล่าวจะทำหน้าที่ดาวน์โหลดเพย์โหลดเพิ่มเติม และใช้เทคนิค DLL side-loading เพื่อรันมัลแวร์หลัก พร้อมกับแสดงเอกสาร PDF ปลอมเพื่อหลอกตาผู้ใช้ไปพร้อมกัน
สำหรับเพย์โหลดสุดท้าย จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) ของผู้โจมตี, รวบรวมข้อมูลระบบ, และรับคำสั่งที่เข้ารหัสไว้มาถอดรหัสเพื่อรันผ่าน cmd.exe นอกจากนี้ยังสามารถจับภาพหน้าจอ, อัปโหลดไฟล์จากเครื่องเหยื่อ, และดาวน์โหลดไฟล์จาก URL ระยะไกลมาเก็บไว้ในไดเรกทอรีชั่วคราวได้อีกด้วย
K7 Security Labs ระบุว่า "มัลแวร์จะรอตามเวลาที่กำหนดไว้ และพยายามส่งข้อมูลซ้ำได้ถึง 20 ครั้ง พร้อมติดตามความล้มเหลว เพื่อให้แน่ใจว่าสามารถขโมยข้อมูลได้อย่างต่อเนื่องและเงียบเชียบ โดยไม่แจ้งเตือนผู้ใช้หรือระบบรักษาความปลอดภัย"
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก