กองทัพยูเครนตกเป็นเป้าหมายในแคมเปญมัลแวร์รูปแบบการกุศลใหม่

เจ้าหน้าที่กองกำลังป้องกันของยูเครนตกเป็นเป้าหมายในแคมเปญที่ใช้ธีมการกุศลระหว่างเดือนตุลาคมถึงธันวาคม 2025 ซึ่งได้ส่งมัลแวร์แบ็คดอร์ที่ชื่อว่า PluggyApe

Severity: สูง

System Impact:

• เจ้าหน้าที่กองกำลังป้องกันของยูเครน
• อุปกรณ์มือถือ (เป้าหมายหลักในการโจมตี)
• Windows Registry (ใช้สำหรับการคงอยู่ของมัลแวร์)
• แพลตฟอร์มการส่งข้อความทันที (Signal, WhatsApp)
• บริการจัดเก็บข้อความออนไลน์ (rentry.co, pastebin.com) สำหรับที่อยู่ C2

Technical Attack Steps:

1. 1. การติดต่อเริ่มต้น: ผู้โจมตีส่งข้อความผ่าน Signal หรือ WhatsApp โดยชักชวนให้เหยื่อเข้าชมเว็บไซต์ปลอมแปลงของมูลนิธิการกุศล หรือส่งไฟล์เก็บถาวรที่ป้องกันด้วยรหัสผ่านโดยตรง
2. 2. การดาวน์โหลดมัลแวร์: เหยื่อถูกหลอกให้ดาวน์โหลดไฟล์เก็บถาวรที่ป้องกันด้วยรหัสผ่านซึ่งมีไฟล์ปฏิบัติการประเภท PIF (เช่น .docx.pif) หรือได้รับไฟล์ PIF โดยตรงผ่านแอปพลิเคชันส่งข้อความ
3. 3. การรันมัลแวร์: ไฟล์ PIF ซึ่งสร้างด้วย PyInstaller จะทำการติดตั้งมัลแวร์ PluggyApe
4. 4. การรวบรวมข้อมูลและการสื่อสาร C2: PluggyApe จะรวบรวมข้อมูลเกี่ยวกับเครื่องเป้าหมาย ส่งข้อมูลไปยังผู้โจมตี และดึงที่อยู่ Command and Control (C2) จากแหล่งภายนอก เช่น rentry.co และ pastebin.com
5. 5. การคงอยู่ของมัลแวร์: PluggyApe สร้างกลไกการคงอยู่บนระบบผ่านการแก้ไข Windows Registry
6. 6. การรอรับคำสั่ง: มัลแวร์จะรอรับคำสั่งเพิ่มเติมจากเซิร์ฟเวอร์ C2 เพื่อทำการดำเนินการต่างๆ

Recommendations:

Short Term:

• ระมัดระวังข้อความที่ไม่พึงประสงค์บนแอปส่งข้อความ (Signal, WhatsApp) โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับการกุศลหรือเอกสารเร่งด่วน
• ห้ามดาวน์โหลดหรือเปิดไฟล์เก็บถาวรที่ป้องกันด้วยรหัสผ่าน หรือไฟล์ที่สามารถเรียกใช้งานได้ (เช่น .pif หรือ .exe ที่ปลอมเป็นเอกสาร) จากแหล่งที่ไม่รู้จักหรือไม่น่าเชื่อถือ
• ตรวจสอบความถูกต้องของเว็บไซต์ โดยเฉพาะเว็บไซต์ที่อ้างว่าเป็นมูลนิธิการกุศล ก่อนที่จะโต้ตอบหรือดาวน์โหลดสิ่งใดๆ
• รายงานข้อความและไฟล์แนบที่น่าสงสัยไปยัง CERT-UA หรือทีมรักษาความปลอดภัยที่เกี่ยวข้อง

Long Term:

• นำโซลูชัน Endpoint Detection and Response (EDR) ที่แข็งแกร่งมาใช้เพื่อตรวจจับและบล็อกมัลแวร์แบ็คดอร์ เช่น PluggyApe
• ให้ความรู้แก่ผู้ใช้งาน โดยเฉพาะอย่างยิ่งในภาคส่วนที่สำคัญ เช่น การป้องกันประเทศ เกี่ยวกับเทคนิคการฟิชชิ่งขั้นสูง, วิศวกรรมสังคม และการปลอมแปลงประเภทไฟล์
• ปรับใช้เกตเวย์ความปลอดภัยสำหรับอีเมลและข้อความที่แข็งแกร่งเพื่อกรองไฟล์แนบและลิงก์ที่เป็นอันตราย
• รักษาการอัปเดตระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์ความปลอดภัยให้เป็นปัจจุบันอยู่เสมอ
• ใช้ Application Whitelisting เพื่อป้องกันการรันโปรแกรมที่ไม่ได้รับอนุญาต
• ตรวจสอบการรับส่งข้อมูลเครือข่ายสำหรับการสื่อสาร C2 ที่ผิดปกติ โดยเฉพาะไปยังโดเมนที่น่าสงสัยเช่น rentry.co และ pastebin.com
• เสริมสร้างมาตรการรักษาความปลอดภัยสำหรับอุปกรณ์มือถือ เนื่องจากถูกระบุว่าเป็นเป้าหมายหลัก

Source: https://www.bleepingcomputer.com/news/security/ukraines-army-targeted-in-new-charity-themed-malware-campaign/