ระวัง! กลุ่มแฮกเกอร์ Transparent Tribe บุกหนัก ใช้มัลแวร์ RAT สายพันธุ์ใหม่ เจาะระบบหน่วยงานรัฐและสถานศึกษา

Published:

 

ข่าวเตือนภัยระดับโลกมาฝากกันอีกแล้วครับ! ล่าสุดมีการตรวจพบความเคลื่อนไหวของกลุ่มแฮกเกอร์ตัวแสบชื่อว่า Transparent Tribe (หรือที่รู้จักในชื่อ APT36) ที่กำลังเปิดฉากโจมตีอย่างหนักในอินเดีย โดยเป้าหมายหลักคือหน่วยงานรัฐบาล สถาบันการศึกษา และหน่วยงานยุทธศาสตร์สำคัญ ๆ ครับ

กลโกงสุดเนียน: ปลอมเป็น PDF แต่ข้างในคืออาวุธร้าย!

วิธีการที่พวกนี้ใช้เรียกว่า Spear-phishing หรือการส่งอีเมลหลอกล่อเฉพาะบุคคลครับ โดยแนบไฟล์ ZIP ที่ข้างในดูเหมือนจะเป็นเอกสาร PDF ทั่วไป (ใช้ไฟล์นามสกุล .LNK มาพรางตัว) แต่พอกดเปิดปุ๊บ ระบบจะไปเรียกใช้คำสั่ง mshta.exe เพื่อดึงมัลแวร์ประเภท RAT (Remote Access Trojan) เข้ามาฝังตัวในเครื่องทันที

ที่แสบกว่านั้นคือ ระหว่างที่มัลแวร์กำลังติดตั้ง มันจะแอบเปิดไฟล์ PDF หลอก ๆ ขึ้นมาโชว์หน้าจอด้วย เพื่อให้เหยื่อตายใจว่าไม่มีอะไรผิดปกติครับ!

ความสามารถของมัลแวร์: ปรับตัวตามแอนตี้ไวรัสได้ด้วย!

จากการวิเคราะห์ของทีม CYFIRMA พบว่ามัลแวร์ตัวนี้ "ฉลาด" มากครับ มันสามารถตรวจสอบได้ว่าในเครื่องเหยื่อติดตั้งโปรแกรมสแกนไวรัสยี่ห้อไหนไว้ เพื่อเลือกวิธีหลบซ่อนตัวที่เหมาะสมที่สุด:

  • ถ้าเจอ Kaspersky: มันจะไปสร้างโฟลเดอร์ลับในระบบและฝังตัวผ่าน Startup folder
  • ถ้าเจอ Quick Heal: มันจะสร้างไฟล์ Batch และไฟล์หลอกล่อเพิ่มขึ้นมา
  • ถ้าเจอ Avast, AVG หรือ Avira: มันจะก๊อปปี้ตัวเองลงโฟลเดอร์เริ่มระบบโดยตรง
  • ถ้าไม่มีแอนตี้ไวรัส: มันจะใช้วิธีแก้ค่า Registry เพื่อให้ตัวเองทำงานทุกครั้งที่เปิดเครื่อง

เมื่อเครื่องติดเชื้อแล้ว แฮกเกอร์จะสามารถควบคุมเครื่องเราได้จากระยะไกล ทั้งขโมยไฟล์, แอบดูหน้าจอ (Screenshot), ดึงข้อมูลในคลิปบอร์ด หรือแม้แต่สั่งรันโปรแกรมต่าง ๆ ได้ตามใจชอบเลยครับ

เชื่อมโยงเครือข่ายแฮกเกอร์: Patchwork และ StreamSpy

นอกจากนี้ยังมีรายงานว่ากลุ่ม Patchwork ซึ่งเป็นอีกกลุ่มแฮกเกอร์สายจารกรรม ก็กำลังระบาดด้วยมัลแวร์ตัวใหม่ชื่อ StreamSpy โดยใช้เทคนิคการสื่อสารผ่าน WebSocket เพื่อหลบเลี่ยงการตรวจสอบของระบบความปลอดภัยเครือข่ายแบบเดิม ๆ แสดงให้เห็นว่าเหล่าแฮกเกอร์มีการพัฒนาเครื่องมือและแชร์ทรัพยากรร่วมกันอย่างต่อเนื่องในปี 2025-2026 นี้ครับ

"อย่าคลิกไฟล์แปลกหน้าในอีเมลเด็ดขาด แม้จะดูเหมือนไฟล์ PDF ก็ตาม ตรวจสอบที่มาให้ดีก่อนเสมอ เพราะความประมาทเพียงนิดเดียว อาจทำให้ข้อมูลทั้งองค์กรหลุดไปอยู่ในมือโจรไซเบอร์ได้ครับ!"

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์