Chollima APT Hackers Weaponize LNK File to Deploy Sophisticated Malware

กลุ่มภัยคุกคามขั้นสูง (APT) Ricochet Chollima ได้เริ่มแคมเปญโจมตีชื่อ “Operation: ToyBox Story” ตั้งแต่เดือนมีนาคม 2025 โดยพุ่งเป้าไปที่นักเคลื่อนไหวและองค์กรที่เกี่ยวข้องกับเกาหลีเหนือ แฮกเกอร์ใช้วิธี Spear-phishing โดยปลอมตัวเป็นผู้เชี่ยวชาญด้านความปลอดภัย และส่งอีเมลที่มีลิงก์ Dropbox ซึ่งนำไปสู่ไฟล์บีบอัดที่มีไฟล์ Shortcut (.LNK) อันตรายสำหรับ Windows เมื่อเหยื่อเปิดไฟล์ LNK จะมีการรันคำสั่ง PowerShell ที่ซ่อนอยู่ ซึ่งนำไปสู่การโหลดและฉีดเชลล์โค้ดเข้าสู่หน่วยความจำโดยตรง ทำให้เกิดการทำงานของมัลแวร์แบบไร้ไฟล์ (Fileless Execution) มัลแวร์จะใช้ช่องทาง Dropbox API ในการสื่อสาร Command and Control (C2) ซึ่งทำให้การตรวจจับยากขึ้นเนื่องจากกิจกรรมถูกซ่อนอยู่ในการรับส่งข้อมูลบริการคลาวด์ที่ถูกต้อง

Severity: วิกฤต

System Impact:

• ระบบปฏิบัติการ Windows ที่ตกเป็นเป้าหมาย
• บัญชีอีเมลและระบบอีเมล (สำหรับการโจมตีแบบ Spear-phishing)
• บริการคลาวด์จัดเก็บไฟล์ (Dropbox ใช้สำหรับการแพร่กระจายมัลแวร์และการควบคุม C2)
• องค์กรและนักเคลื่อนไหวที่เกี่ยวข้องกับประเด็นเกาหลีเหนือ

Technical Attack Steps:

1. 1. **การเข้าถึงเบื้องต้น**: กลุ่ม Ricochet Chollima ส่งอีเมล Spear-phishing ไปยังนักเคลื่อนไหวและองค์กรที่เกี่ยวข้องกับเกาหลีเหนือ โดยปลอมตัวเป็นผู้เชี่ยวชาญด้านความปลอดภัย
2. 2. **การนำส่ง**: อีเมลมีลิงก์ Dropbox ที่นำไปสู่ไฟล์บีบอัด (.ZIP) ที่เป็นอันตราย
3. 3. **การกระตุ้นการทำงาน**: ภายในไฟล์บีบอัดมีไฟล์ Shortcut (.LNK) ของ Windows ที่ถูกปลอมแปลงให้ดูเหมือนเอกสาร Hangul ที่ถูกต้อง
4. 4. **การรันขั้นแรก**: เมื่อเหยื่อเปิดไฟล์ LNK คำสั่ง PowerShell ที่ซ่อนอยู่จะถูกรันโดยอัตโนมัติ
5. 5. **การรันขั้นที่สอง**: คำสั่ง PowerShell จะเรียกใช้ไฟล์ Batch ชื่อ “toy03.bat”
6. 6. **การโหลดมัลแวร์**: “toy03.bat” จะโหลดไฟล์ชื่อ “toy02.dat” จากโฟลเดอร์ชั่วคราว
7. 7. **การฉีดโค้ด**: ตัวโหลด (“toy02.dat”) จะถอดรหัสข้อมูลที่ถูกแปลงด้วย XOR และฉีด Shellcode เข้าสู่หน่วยความจำของระบบโดยตรง
8. 8. **การทำงานของมัลแวร์**: ระบบจะสร้างเธรดการทำงานใหม่เพื่อรันโค้ดที่ถูกฉีด ทำให้มัลแวร์ทำงานแบบ Fileless Execution
9. 9. **การควบคุมและสั่งการ (C2)**: มัลแวร์สร้างการสื่อสารกับผู้โจมตีโดยใช้ช่องทาง Dropbox API ซึ่งช่วยซ่อนการรับส่งข้อมูล C2 ภายใต้กิจกรรมบริการคลาวด์ที่ถูกต้องตามกฎหมาย

Recommendations:

Short Term:

• แจ้งเตือนผู้ใช้งานถึงภัยการโจมตีแบบ Spear-phishing โดยเฉพาะอีเมลที่แอบอ้างเป็นผู้เชี่ยวชาญด้านความปลอดภัยหรือองค์กรที่น่าเชื่อถือ
• เพิ่มความระมัดระวังเป็นพิเศษในการเปิดไฟล์แนบหรือคลิกลิงก์ที่นำไปสู่บริการคลาวด์ภายนอก เช่น Dropbox
• ตรวจสอบยืนยันความถูกต้องของผู้ส่งก่อนเปิดไฟล์แนบหรือคลิกลิงก์ทุกครั้ง
• ใช้โซลูชันความปลอดภัยทางอีเมลที่มีประสิทธิภาพเพื่อตรวจจับและบล็อกไฟล์แนบและลิงก์ที่เป็นอันตราย
• สแกนไฟล์ที่ดาวน์โหลดมาด้วยโปรแกรม Antivirus/EDR ที่อัปเดตล่าสุด

Long Term:

• ติดตั้งและใช้โซลูชัน Endpoint Detection and Response (EDR) ขั้นสูงที่สามารถตรวจจับการโจมตีแบบ Fileless และ Memory Injection ได้
• เฝ้าระวังและวิเคราะห์รูปแบบการรับส่งข้อมูลเครือข่ายที่ผิดปกติ รวมถึงการใช้ API ของบริการคลาวด์ (เช่น Dropbox) ที่น่าสงสัย
• อัปเดตระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์ความปลอดภัยอย่างสม่ำเสมอ
• จัดการฝึกอบรมสร้างความตระหนักด้านความปลอดภัยแก่พนักงาน โดยเน้นการโจมตีแบบ Social Engineering และการใช้ประโยชน์จากไฟล์ LNK
• พิจารณาการใช้ Application Whitelisting เพื่อป้องกันการรันไฟล์ที่ไม่ได้รับอนุญาต
• พิจารณาการนำสถาปัตยกรรม Zero Trust มาใช้เพื่อเพิ่มความปลอดภัยโดยรวม

Source: https://cybersecuritynews.com/chollima-apt-hackers-weaponize-lnk-file/