แคมเปญ CRESCENTHARVEST มุ่งเป้าผู้สนับสนุนการประท้วงในอิหร่านด้วยมัลแวร์ RAT

นักวิจัยด้านความปลอดภัยไซเบอร์เปิดเผยรายละเอียดของแคมเปญใหม่ชื่อ CRESCENTHARVEST ที่น่าจะมุ่งเป้าไปที่ผู้สนับสนุนการประท้วงที่กำลังดำเนินอยู่ในอิหร่าน เพื่อขโมยข้อมูลและทำการสอดแนมในระยะยาว การโจมตีใช้ไฟล์ .LNK ที่เป็นอันตรายปลอมตัวเป็นรูปภาพหรือวิดีโอที่เกี่ยวข้องกับการประท้วง เพื่อส่งมัลแวร์ประเภท Remote Access Trojan (RAT) และ Information Stealer มัลแวร์นี้สามารถรันคำสั่ง บันทึกการกดแป้นพิมพ์ และขโมยข้อมูลสำคัญได้ โดยเชื่อว่าเป็นฝีมือของกลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากอิหร่าน

Severity: สูง

System Impact:

• ระบบปฏิบัติการ Windows: การใช้ไฟล์ .LNK และ DLL sideloading
• Google Chrome: ข้อมูลประจำตัวเบราว์เซอร์, คีย์การเข้ารหัสที่ผูกกับแอป, ประวัติการเข้าชม, คุกกี้
• Telegram Desktop: ข้อมูลบัญชี Telegram
• กลุ่มเป้าหมาย: ผู้สนับสนุนการประท้วงในอิหร่าน

Technical Attack Steps:

1. การเข้าถึงเริ่มต้น: เหยื่อได้รับไฟล์เก็บถาวร RAR ที่เป็นอันตราย ซึ่งอ้างว่ามีข้อมูลเกี่ยวกับการประท้วง (รูปภาพ, วิดีโอ, รายงานภาษาฟาร์ซี) ผ่าน spear-phishing หรือ social engineering
2. การล่อลวง: เหยื่อเปิดไฟล์ .LNK ที่เป็นอันตราย (เช่น *.jpg.lnk, *.mp4.lnk) ซึ่งปลอมตัวเป็นไฟล์สื่อ
3. การดำเนินการ: ไฟล์ .LNK จะรันโค้ด PowerShell
4. การดึงเพย์โหลด: PowerShell จะดึงไฟล์เก็บถาวร ZIP อีกไฟล์มา
5. การหลอกลวง: รูปภาพหรือวิดีโอที่ไม่เป็นอันตรายจะถูกเปิดขึ้นพร้อมกัน เพื่อเบี่ยงเบนความสนใจของเหยื่อ
6. การโหลด DLL ข้างเคียง (DLL Sideloading): ไฟล์เก็บถาวร ZIP มีไบนารีที่ลงนามโดย Google ที่ถูกต้องตามกฎหมาย (software_reporter_tool.exe) และ DLL ที่เป็นอันตราย (urtcbased140d_d.dll, version.dll) โดยไบนารีที่ลงนามจะทำการ sideload DLL ที่เป็นอันตราย
7. ฟังก์ชันการทำงานของมัลแวร์: urtcbased140d_d.dll จะดึงคีย์การเข้ารหัสที่ผูกกับแอปของ Chrome ส่วน version.dll (CRESCENTHARVEST RAT) จะทำการตรวจสอบการต่อต้านการวิเคราะห์, แสดงรายการผลิตภัณฑ์ AV/เครื่องมือความปลอดภัย, นับรายการบัญชีผู้ใช้ในอุปกรณ์, ขโมยข้อมูลเมตาของระบบ, ข้อมูลประจำตัวเบราว์เซอร์, ข้อมูล Telegram และการกดแป้นพิมพ์
8. การสื่อสาร C2: RAT สื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) (servicelog-information[.]com) โดยใช้ Windows Win HTTP APIs

Recommendations:

Short Term:

• ระมัดระวังไฟล์แนบและลิงก์ที่น่าสงสัย โดยเฉพาะที่เกี่ยวข้องกับเหตุการณ์ทางภูมิรัฐศาสตร์ที่ละเอียดอ่อน
• ตรวจสอบยืนยันตัวตนของผู้ส่งก่อนเปิดไฟล์ใดๆ
• เปิดใช้งานการแสดงนามสกุลไฟล์เพื่อสังเกตเห็นนามสกุลไฟล์คู่ (เช่น .jpg.lnk)
• อัปเดตระบบปฏิบัติการและซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ (โดยเฉพาะเบราว์เซอร์และเครื่องมือความปลอดภัย)
• ใช้โซลูชันป้องกันไวรัสหรือ EDR ที่เชื่อถือได้
• ใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชีที่สำคัญ

Long Term:

• ให้การฝึกอบรมสร้างความตระหนักด้านความปลอดภัยไซเบอร์ โดยเฉพาะอย่างยิ่งสำหรับบุคคลที่มีความเสี่ยงสูง (นักเคลื่อนไหว, นักข่าว)
• นำแนวคิด Zero Trust มาใช้ในการรักษาความปลอดภัย
• สำรองข้อมูลสำคัญอย่างสม่ำเสมอ
• กำหนดนโยบายรหัสผ่านที่รัดกุมและใช้ตัวจัดการรหัสผ่าน
• ตรวจสอบกิจกรรมเครือข่ายที่ผิดปกติและการรั่วไหลของข้อมูล
• ใช้ช่องทางการสื่อสารที่ปลอดภัย (เช่น แอปพลิเคชันส่งข้อความที่เข้ารหัส) และตรวจสอบให้แน่ใจว่าได้รับการอัปเดต

Source: https://thehackernews.com/2026/02/crescentharvest-campaign-targets-iran.html