กลุ่มแฮกเกอร์ TGR-STA-1030 ที่ได้รับการสนับสนุนจากรัฐบาลเอเชีย เจาะระบบหน่วยงานรัฐและโครงสร้างพื้นฐานกว่า 70 แห่ง

กลุ่มโจมตีทางไซเบอร์ TGR-STA-1030 ซึ่งได้รับการสนับสนุนจากรัฐในเอเชีย ได้เข้าถึงเครือข่ายของหน่วยงานภาครัฐและองค์กรโครงสร้างพื้นฐานสำคัญอย่างน้อย 70 แห่ง ใน 37 ประเทศตลอดปีที่ผ่านมา นอกจากนี้ ยังมีการดำเนินการสำรวจโครงสร้างพื้นฐานของรัฐบาลใน 155 ประเทศ ระหว่างเดือนพฤศจิกายนถึงธันวาคม 2025 กลวิธีของกลุ่มประกอบด้วยการส่งอีเมลฟิชชิ่ง การใช้ช่องโหว่ N-day ในซอฟต์แวร์หลากหลายชนิด และการติดตั้งมัลแวร์แบบกำหนดเอง เช่น Diaoyu Loader และรูทคิทเคอร์เนล Linux ชื่อ ShadowGuard พร้อมกับการใช้ C2 frameworks และเว็บเชลล์ที่นิยม การโจมตีเหล่านี้มีเป้าหมายเพื่อการจารกรรมทางไซเบอร์ทั่วโลกและการเก็บรวบรวมข้อมูลข่าวกรองในระยะยาว ซึ่งเป็นภัยคุกคามร้ายแรงต่อความมั่นคงของชาติและบริการสำคัญ

Severity: วิกฤต

System Impact:

• องค์กรภาครัฐและโครงสร้างพื้นฐานสำคัญ (Government and critical infrastructure organizations)
• หน่วยงานบังคับใช้กฎหมายระดับประเทศ/ควบคุมชายแดน (National-level law enforcement/border control entities)
• กระทรวงการคลัง (Ministries of finance)
• กระทรวงและหน่วยงานรัฐอื่น ๆ ที่เกี่ยวข้องกับเศรษฐกิจ การค้า ทรัพยากรธรรมชาติ และการทูต (Other government ministries and departments aligned with economic, trade, natural resources, and diplomatic functions)
• ผลิตภัณฑ์ซอฟต์แวร์จาก Microsoft, SAP, Atlassian, Ruijieyi Networks, Commvault, และ Eyou Email System (ผ่านช่องโหว่ N-day)
• ระบบ Linux (ผ่าน Linux kernel rootkit – ShadowGuard)

Technical Attack Steps:

1. **การเข้าถึงเบื้องต้น (Initial Access)**: ส่งอีเมลฟิชชิ่งเพื่อหลอกให้ผู้รับคลิกลิงก์ที่โฮสต์ไฟล์ ZIP ในบริการโฮสต์ไฟล์ MEGA ไฟล์ ZIP มีไฟล์ปฏิบัติการชื่อ “Diaoyu Loader” และไฟล์ขนาดศูนย์ไบต์ชื่อ “pic1.png”
2. **การหลีกเลี่ยงการตรวจจับ (Evasion)**: Diaoyu Loader ใช้กลไกป้องกันการวิเคราะห์แบบสองขั้นตอน โดยตรวจสอบความละเอียดหน้าจอ (≥ 1440), การมีอยู่ของไฟล์ “pic1.png” และโปรแกรมรักษาความปลอดภัยเฉพาะ (เช่น Avira, Bitdefender, Kaspersky, SentinelOne, Symantec)
3. **การส่งเพย์โหลด (Payload Delivery)**: หากเงื่อนไขการตรวจสอบผ่าน Diaoyu Loader จะดาวน์โหลดรูปภาพสามภาพจาก GitHub repository ชื่อ “WordPress” ซึ่งทำหน้าที่เป็นช่องทางในการติดตั้งเพย์โหลด Cobalt Strike
4. **การใช้ประโยชน์จากช่องโหว่ (Exploitation)**: กลุ่ม TGR-STA-1030 พยายามใช้ประโยชน์จากช่องโหว่ N-day ในผลิตภัณฑ์ซอฟต์แวร์หลายชนิด (เช่น Microsoft, SAP, Atlassian, Ruijieyi Networks, Commvault, Eyou Email System) เพื่อเข้าถึงเครือข่ายเป้าหมาย
5. **การควบคุมและสั่งการ (Command and Control – C2)**: ใช้เฟรมเวิร์ก C2 เช่น Cobalt Strike, VShell, Havoc, Sliver และ SparkRAT
6. **การคงอยู่และการซ่อนตัว (Persistence and Stealth)**: ใช้เว็บเชลล์ (Behinder, neo-reGeorg, Godzilla) และยูทิลิตีการสร้างอุโมงค์ (GOST, FRPS, IOX) เพื่อรักษาการเข้าถึงและซ่อนการเชื่อมต่อ นอกจากนี้ยังใช้รูทคิทเคอร์เนล Linux ชื่อ ShadowGuard ซึ่งใช้เทคโนโลยี eBPF เพื่อซ่อนรายละเอียดข้อมูลกระบวนการและไฟล์ที่ระบุ
7. **โครงสร้างพื้นฐาน (Infrastructure)**: เช่าและกำหนดค่าเซิร์ฟเวอร์ C2 บนโครงสร้างพื้นฐานของผู้ให้บริการ VPS ที่ถูกต้องหลายแห่ง โดยใช้โครงสร้างพื้นฐาน VPS เพิ่มเติมเป็นตัวถ่ายทอดการรับส่งข้อมูล (traffic relay)

Recommendations:

Short Term:

• ตรวจสอบและอัปเดตระบบและแอปพลิเคชันทั้งหมดให้เป็นเวอร์ชันล่าสุดเพื่อแก้ไขช่องโหว่ N-day ที่รู้จักทันที
• เพิ่มความตระหนักด้านความปลอดภัยให้แก่พนักงานเกี่ยวกับการโจมตีแบบฟิชชิ่ง โดยเฉพาะอีเมลที่มีลิงก์ไปยังบริการโฮสต์ไฟล์ภายนอก
• ตรวจสอบบันทึก (logs) ของระบบเพื่อหาร่องรอยของกิจกรรมที่ผิดปกติที่เกี่ยวข้องกับ Diaoyu Loader หรือ C2 frameworks ที่ระบุ
• เสริมสร้างการตั้งค่าของโซลูชัน Endpoint Detection and Response (EDR) และ Antivirus (AV) เพื่อตรวจจับและป้องกันมัลแวร์และพฤติกรรมของรูทคิทที่รู้จัก
• ปิดกั้นการเข้าถึง GitHub repositories ที่ไม่จำเป็นหรือที่ถูกระบุว่าเป็นอันตราย

Long Term:

• พัฒนากลยุทธ์ Zero Trust ที่ครอบคลุมเพื่อจำกัดการเข้าถึงทรัพยากรของเครือข่ายและระบบ
• ลงทุนในการฝึกอบรมพนักงานอย่างต่อเนื่องเกี่ยวกับภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงไป
• นำเครื่องมือ Threat Intelligence มาใช้เพื่อติดตามกลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากรัฐและเทคนิคใหม่ๆ ของพวกเขา
• ดำเนินการประเมินช่องโหว่และทดสอบการเจาะระบบ (penetration testing) อย่างสม่ำเสมอเพื่อระบุและแก้ไขจุดอ่อน
• ใช้โซลูชัน Extended Detection and Response (XDR) หรือ Security Information and Event Management (SIEM) เพื่อรวบรวมและวิเคราะห์บันทึกจากทั่วทั้งองค์กรเพื่อการตรวจจับภัยคุกคามเชิงรุก
• พัฒนากระบวนการตอบสนองต่อเหตุการณ์ (Incident Response – IR) ที่เข้มแข็งและมีการทดสอบอย่างสม่ำเสมอ
• พิจารณาใช้การกรองเนื้อหาและเกตเวย์ความปลอดภัยอีเมลขั้นสูงเพื่อบล็อกอีเมลฟิชชิ่งก่อนที่จะถึงผู้ใช้

Source: https://thehackernews.com/2026/02/asian-state-backed-group-tgr-sta-1030.html