ระวัง! APT28 บุกยุโรป ใช้มัลแวร์สูตรเด็ด "Webhook + Macro" เนียนกริบจนจับยาก

 

นักวิเคราะห์จาก LAB52 (ทีมข่าวกรองด้านภัยคุกคามของ S2 Grupo) ได้เปิดเผยความเคลื่อนไหวล่าสุดของกลุ่มแฮกเกอร์ APT28 (ที่มีความเชื่อมโยงกับหน่วยข่าวกรองรัสเซีย) ในปฏิบัติการที่ชื่อว่า "Operation MacroMaze" ซึ่งเป้าหมายหลักคือหน่วยงานในยุโรปตะวันตกและยุโรปกลาง โดยเริ่มปฏิบัติการมาตั้งแต่เดือนกันยายน 2025 จนถึงมกราคม 2026 นี้เองครับ

กลเม็ดเคล็ดลับ ใช้ของเล่นพื้นฐานแต่ "โคตรเซียน"

สิ่งที่น่าสนใจคือ แฮกเกอร์กลุ่มนี้ไม่ได้ใช้เครื่องมือที่ซับซ้อนอะไรเลยครับ แต่เลือกใช้บริการที่ถูกกฎหมายอย่าง Webhook.site มาเป็นเครื่องมือในการขโมยข้อมูล โดยมีขั้นตอนการโจมตี้ดังนี้

1. เหยื่อหลงเชื่อ: แฮกเกอร์ส่งอีเมลหลอกลวง (Spear-phishing) พร้อมแนบไลฟ์เอกสาร
2. จุดชนวน: ในไฟล์นั้นมีฟังก์ชัน "INCLUDEPICTURE" ซ่อนอยู่ซึ่งจะแอบดึงภาพ JPG จาก URL ของ Webhook ทันทีที่เหยื่อเปิดไฟล์ (เหมือน Pixel ติดตามตัวนั่นเอง) เพื่อเช็กว่าเหยื่อหลงกลเปิดดูหรือยัง
3. รัน Macro ขั้นเทพ: หากเหยื่อกดยอมรับ Macro มันจะรันสคริปต์ (VBScript/Batch file) เพื่อฝังตัวในเครื่องแบบเนียนๆ
4. ใชเบราว์เซอร์บังหน้า: มัลแวร์จะสั่งปิด Microsoft Edge แบบ "Headless" (โหมดไม่มีหน้าต่างโผล่มาให้เห็น) หรือบางเวอร์ชันก็ใช้วิธีเลื่อนหน้าต่างเบราว์เซอร์ไปไว้นอกจอ เพื่อส่งข้อมูลที่ขโมยมาออกไปยัง Server ของแฮกเกอร์ผ่านทาง Webhook

ปฏิการครั้งนี้พิสูจน์ให้เห็นว่า "ความธรรมดาคือความล้ำลึก" ครับ แฮกเกอร์ไม่จำเป็นต้องสร้างไวรัลที่ซับซ้อน แต่ใช้สคริปต์พื้นฐานและการทำงานของเบราว์เซอร์ปกติมาอำพรางตัว ทำให้โปรแกรมแอนตี้ไวรัสตรวจจับได้ยากขึ้น เพราะมันดูเหมือนการใช้งานอินเทอร์เน็ตทั่วไปนั่นเอง

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก