กลุ่มภัยคุกคาม HoneyMyte หรือที่รู้จักกันในชื่อ Mustang Panda และ Bronze President ยังคงเป็นภัยคุกคามร้ายแรงต่อองค์กรภาครัฐทั่วเอเชียและยุโรป โดยเน้นที่เอเชียตะวันออกเฉียงใต้เป็นหลัก งานวิจัยด้านความปลอดภัยล่าสุดในปี 2025 เปิดเผยว่ากลุ่มนี้ได้อัปเกรดมัลแวร์ CoolClient backdoor ด้วยความสามารถใหม่ๆ ซึ่งรวมถึงมัลแวร์ขโมยข้อมูลล็อกอินของเบราว์เซอร์โดยเฉพาะ และสคริปต์สำหรับรวบรวมเอกสารลับและรายละเอียดระบบ การโจมตีของพวกเขามีการส่งมัลแวร์แบบหลายขั้นตอนที่อาศัยเทคนิค DLL sideloading ผ่านแอปพลิเคชันที่ถูกต้องตามกฎหมาย
Severity: วิกฤต
System Impact:
- องค์กรภาครัฐในเอเชียและยุโรป (โดยเฉพาะเอเชียตะวันออกเฉียงใต้)
- ข้อมูลล็อกอินของเบราว์เซอร์
- เครือข่ายที่ถูกบุกรุก
Technical Attack Steps:
- กลุ่ม HoneyMyte อัปเกรดมัลแวร์ CoolClient backdoor ด้วยความสามารถใหม่ๆ เพื่อโจมตี
- ปรับใช้มัลแวร์ขโมยข้อมูลล็อกอินของเบราว์เซอร์หลายรูปแบบและสคริปต์สำหรับรวบรวมเอกสารลับและรายละเอียดระบบ
- ใช้ระบบส่งมัลแวร์แบบหลายขั้นตอนที่อาศัยเทคนิค DLL sideloading
- มีการพบการใช้ประโยชน์จากแอปพลิเคชันที่ถูกกฎหมาย เช่น BitDefender, VLC Media Player และ Sangfor เพื่อรันโค้ดมัลแวร์
- มัลแวร์ Stealer จะคัดลอกฐานข้อมูลล็อกอินและไฟล์การตั้งค่าของเบราว์เซอร์ไปยังโฟลเดอร์ชั่วคราว
- ใช้ฟังก์ชัน Windows Data Protection Application Programming Interface (DPAPI) เพื่อถอดรหัสรหัสผ่านที่จัดเก็บไว้
- รวบรวมบันทึกการล็อกอินที่สมบูรณ์ ซึ่งประกอบด้วยชื่อผู้ใช้และรหัสผ่าน
- บันทึกข้อมูลประจำตัวที่ถูกขโมยไปยังโฟลเดอร์ระบบที่ซ่อนไว้เพื่อส่งออกไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมในภายหลัง
- กิจกรรมอื่นๆ ที่สังเกตได้รวมถึงการดักจับข้อมูลแป้นพิมพ์ (keylogging) และการตรวจสอบคลิปบอร์ด
Recommendations:
Short Term:
- ใช้มาตรการตรวจจับที่แข็งแกร่ง
- เฝ้าระวังอย่างใกล้ชิดเพื่อหาสัญญาณของการติดมัลแวร์ CoolClient backdoor
- ตรวจสอบกิจกรรมของมัลแวร์ขโมยข้อมูลเบราว์เซอร์และตระกูลมัลแวร์ที่เกี่ยวข้องซึ่งใช้โดยผู้โจมตีนี้
Long Term:
- เสริมสร้างความเข้มแข็งของมาตรการรักษาความปลอดภัยทางไซเบอร์โดยรวมขององค์กร
- ให้ความรู้แก่ผู้ใช้เกี่ยวกับการโจมตีแบบฟิชชิ่งและวิศวกรรมสังคม เพื่อลดความเสี่ยงของการติดเชื้อเริ่มต้น
- ดำเนินการตรวจสอบความปลอดภัยและประเมินช่องโหว่เป็นประจำ
- บริหารจัดการการอัปเดตและแพตช์ระบบและแอปพลิเคชันอย่างสม่ำเสมอ
- นำหลักการสิทธิ์ขั้นต่ำ (Principle of Least Privilege) มาใช้กับผู้ใช้และระบบเพื่อจำกัดความเสียหายที่อาจเกิดขึ้น
Source: https://cybersecuritynews.com/honeymyte-hacker-group-updates-coolclient-malware/
Share this content: