กลุ่มแฮกเกอร์ UAC-0184 ที่มีแนวร่วมกับรัสเซียได้ถูกตรวจพบว่ากำลังใช้แพลตฟอร์มการส่งข้อความ Viber เพื่อส่งไฟล์ ZIP ที่เป็นอันตราย ซึ่งบรรจุ Hijack Loader และ Remcos RAT ไปยังหน่วยงานทางทหารและรัฐบาลของยูเครน การโจมตีนี้เป็นส่วนหนึ่งของกิจกรรมการรวบรวมข่าวกรองที่มีความเข้มข้นสูง โดยกลุ่มนี้เคยใช้การล่อลวงในธีมสงครามผ่านอีเมลฟิชชิ่ง และต่อมาได้พัฒนามาใช้แอปพลิเคชันส่งข้อความ เช่น Signal และ Telegram ในการส่งมัลแวร์
Severity: สูง (High)
System Impact:
- หน่วยงานทางทหารของยูเครน
- หน่วยงานภาครัฐของยูเครน
- ระบบปฏิบัติการ Windows (ผ่านไฟล์ LNK, เอกสาร Microsoft Word/Excel ปลอม, สคริปต์ PowerShell, การฉีดเข้ากระบวนการ chime.exe)
- แพลตฟอร์มการส่งข้อความ Viber (ถูกใช้เป็นช่องทางในการโจมตี)
Technical Attack Steps:
- UAC-0184 ส่งข้อความที่เป็นอันตรายผ่านแพลตฟอร์ม Viber ไปยังเป้าหมาย
- ข้อความเหล่านี้จะนำส่งไฟล์ ZIP ที่เป็นอันตราย
- ไฟล์ ZIP มีไฟล์ Shortcut ของ Windows (LNK) ที่ปลอมตัวเป็นเอกสาร Microsoft Word และ Excel อย่างเป็นทางการ เพื่อหลอกให้เหยื่อเปิด
- เมื่อไฟล์ LNK ถูกเปิด มันจะดำเนินการ Hijack Loader โดยเงียบๆ ในเบื้องหลัง
- Hijack Loader จะดึงไฟล์ ZIP ชื่อ “smoothieks.zip” จากเซิร์ฟเวอร์ระยะไกลผ่านสคริปต์ PowerShell
- Hijack Loader สร้างและปรับใช้ตัวเองในหน่วยความจำผ่านกระบวนการหลายขั้นตอน โดยใช้เทคนิคเช่น DLL side-loading และ module stomping เพื่อหลีกเลี่ยงการตรวจจับ
- Loader จะสแกนสภาพแวดล้อมเพื่อหาซอฟต์แวร์รักษาความปลอดภัยที่ติดตั้งอยู่ (เช่น Kaspersky, Avast, BitDefender, AVG, Emsisoft, Webroot, Microsoft) โดยการคำนวณ CRC32 hash ของโปรแกรมที่เกี่ยวข้อง
- Hijack Loader สร้างกลไกคงอยู่ของระบบ (persistence) โดยใช้ Scheduled Tasks
- Remcos RAT จะถูกดำเนินการอย่างลับๆ โดยการฉีดเข้าไปในกระบวนการ “chime.exe”
- Remcos RAT ช่วยให้ผู้โจมตีสามารถจัดการปลายทาง, ดำเนินการเพย์โหลด, ตรวจสอบกิจกรรม และขโมยข้อมูลได้
Recommendations:
Short Term:
- ให้ความรู้แก่ผู้ใช้เกี่ยวกับภัยคุกคามจากการฟิชชิ่ง โดยเฉพาะบนแพลตฟอร์มการส่งข้อความเช่น Viber
- ใช้มาตรการรักษาความปลอดภัยสำหรับอีเมลและข้อความที่เข้มงวด เพื่อตรวจจับและบล็อกไฟล์แนบ/ลิงก์ที่เป็นอันตราย
- ติดตั้งและอัปเดตโซลูชัน Endpoint Detection and Response (EDR) อย่างสม่ำเสมอ
- บล็อกโดเมน/IP ที่เป็นอันตรายที่ทราบแล้ว ซึ่งเกี่ยวข้องกับ Hijack Loader และ Remcos RAT
- ตรวจสอบและปิดใช้งานนโยบายการรันไฟล์ LNK หากทำได้ หรือใช้การควบคุมที่เข้มงวด
Long Term:
- ดำเนินการฝึกอบรมด้านความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์เป็นประจำสำหรับพนักงานทุกคน โดยเน้นที่วิศวกรรมสังคมและการตรวจสอบไฟล์แนบ
- นำสถาปัตยกรรม Zero Trust มาใช้
- ใช้ข้อมูลภัยคุกคามขั้นสูงเพื่อรับทราบข้อมูลเกี่ยวกับกลยุทธ์และ Indicators of Compromise (IoCs) ที่เกี่ยวข้องกับ UAC-0184
- เสริมสร้างการแบ่งส่วนเครือข่าย (network segmentation) เพื่อจำกัดการเคลื่อนที่ด้านข้างในกรณีที่มีการละเมิดข้อมูล
- อัปเดตและแพตช์ระบบปฏิบัติการและแอปพลิเคชันทั้งหมดอย่างสม่ำเสมอ
- ใช้การทำรายการที่อนุญาตของแอปพลิเคชัน (application whitelisting) เพื่อป้องกันการเรียกใช้โปรแกรมที่ไม่ได้รับอนุญาต
- ดำเนินการตรวจสอบความปลอดภัยและการทดสอบการเจาะระบบเป็นประจำ
- ปรับปรุงความสามารถในการบันทึกและตรวจสอบกิจกรรมที่น่าสงสัย โดยเฉพาะการดำเนินการ PowerShell และการฉีดเข้ากระบวนการ
Source: The Hacker News (https://thehackernews.com/2026/01/russia-aligned-hackers-abuse-viber-to.html)
Share this content: