China-Linked Amaranth-Dragon Exploits WinRAR Flaw in Espionage Campaigns

กลุ่มภัยคุกคามทางไซเบอร์ที่เชื่อมโยงกับจีน ได้แก่ Amaranth-Dragon และ Mustang Panda กำลังดำเนินการแคมเปญจารกรรมข้อมูลมุ่งเป้าไปที่หน่วยงานรัฐบาลและบังคับใช้กฎหมายในเอเชียตะวันออกเฉียงใต้ Amaranth-Dragon ใช้ช่องโหว่ WinRAR (CVE-2025-8088) เพื่อรันโค้ดที่เป็นอันตรายและติดตั้งมัลแวร์ เช่น Amaranth Loader และ Havoc นอกจากนี้ยังพบมัลแวร์ TGAmaranth RAT ที่ใช้ Telegram bot สำหรับการควบคุมและสั่งการ แคมเปญเหล่านี้มีความซับซ้อนสูง ซ่อนเร้น และมักจะถูกจัดขึ้นให้สอดคล้องกับสถานการณ์ทางการเมืองในภูมิภาค ส่วน Mustang Panda ใช้การหลอกลวงแบบฟิชชิ่ง โดยปลอมแปลงเป็นเอกสารทางการทูตเพื่อแพร่กระจายมัลแวร์ PlugX ที่กำหนดเองในชื่อ DOPLUGS การโจมตีเน้นการสร้างการคงอยู่ระยะยาวเพื่อเก็บข้อมูลทางภูมิรัฐศาสตร์

Severity: วิกฤต

System Impact:

• ซอฟต์แวร์ RARLAB WinRAR (ช่องโหว่ CVE-2025-8088)
• ระบบปฏิบัติการ Windows (ผ่านการใช้ DLL side-loading, ไฟล์ LNK/BAT, PowerShell และยูทิลิตี้ tar.exe)
• เครื่องเป้าหมายที่ถูกบุกรุก (สำหรับการคงอยู่และขโมยข้อมูล)
• แพลตฟอร์มคลาวด์สาธารณะ เช่น Dropbox (ใช้โฮสต์ไฟล์อันตราย)
• Telegram (ใช้เป็นช่องทาง C2 โดย TGAmaranth RAT)

Technical Attack Steps:

1. Amaranth-Dragon:
2. 1. การเข้าถึงเริ่มต้น: ส่งอีเมลฟิชชิ่งแบบเจาะจงเป้าหมายพร้อมเนื้อหาที่เกี่ยวข้องกับเหตุการณ์ทางการเมืองในท้องถิ่น และแนบไฟล์ RAR ที่เป็นอันตราย (โฮสต์บน Dropbox).
3. 2. การใช้ประโยชน์จากช่องโหว่: เหยื่อเปิดไฟล์ RAR ที่เป็นอันตราย ซึ่งจะใช้ประโยชน์จากช่องโหว่ WinRAR (CVE-2025-8088) เพื่อดำเนินการโค้ดตามอำเภอใจ.
4. 3. การโหลดมัลแวร์: ไฟล์ RAR จะปล่อยและเรียกใช้ Amaranth Loader (DLL อันตราย) ผ่านเทคนิค DLL side-loading.
5. 4. การติดต่อ C2: Amaranth Loader ติดต่อเซิร์ฟเวอร์ภายนอกเพื่อรับคีย์เข้ารหัส จากนั้นเรียกและถอดรหัสเพย์โหลดที่เข้ารหัสจาก URL อื่น.
6. 5. การติดตั้งเฟรมเวิร์ก C2: เพย์โหลดสุดท้ายคือเฟรมเวิร์ก C2 ของ Havoc ซึ่งจะถูกรันโดยตรงในหน่วยความจำ.
7. 6. การใช้ TGAmaranth RAT: ในบางแคมเปญ ใช้ไฟล์ RAR ที่ป้องกันด้วยรหัสผ่านเพื่อส่ง TGAmaranth RAT ซึ่งใช้ Telegram bot สำหรับการควบคุมและสั่งการ.
8. 7. การหลีกเลี่ยงการตรวจจับ: ใช้เทคนิคต่อต้านการดีบักและต่อต้านไวรัส โครงสร้างพื้นฐาน C2 ถูกป้องกันด้วย Cloudflare และจำกัดการเข้าถึงจาก IP ภายในประเทศเป้าหมายเท่านั้น.
9. Mustang Panda (PlugX Diplomacy):
10. 1. การเข้าถึงเริ่มต้น: ส่งอีเมลฟิชชิ่งพร้อมไฟล์ ZIP ที่เป็นอันตราย (ปลอมแปลงเป็นเอกสารทางการทูต).
11. 2. การเรียกใช้ LNK: เหยื่อเปิดไฟล์ ZIP ซึ่งประกอบด้วยไฟล์ LNK ที่เมื่อเปิดใช้งานจะเรียกใช้คำสั่ง PowerShell.
12. 3. การดึงเพย์โหลด: คำสั่ง PowerShell ดึงและปล่อยไฟล์เก็บถาวร TAR (โดยการอ่านไฟล์ ZIP เป็นไบต์ดิบ, ดึงเพย์โหลดจากตำแหน่งที่กำหนด, และเขียนลงดิสก์โดยใช้ `WriteAllBytes` จากนั้นแกะไฟล์ TAR โดยใช้ยูทิลิตี้ `tar.exe`).
13. 4. เนื้อหาของไฟล์ TAR: ไฟล์ TAR ประกอบด้วย:
14. – ไฟล์ปฏิบัติการที่ลงนามถูกต้อง (RemoveBackupper.exe) ซึ่งมีช่องโหว่ต่อ DLL search-order hijacking.
15. – เพย์โหลด PlugX ที่เข้ารหัส (backupper.dat).
16. – DLL ที่เป็นอันตราย (comn.dll) ซึ่งถูกโหลดแบบ side-loading โดยไฟล์ปฏิบัติการที่ถูกต้องเพื่อโหลด PlugX.
17. 5. การติดตั้ง DOPLUGS: ไฟล์ปฏิบัติการที่ถูกต้องจะรัน comn.dll ซึ่งจะโหลดและติดตั้ง DOPLUGS (PlugX variant) โดยมีการแสดงเอกสาร PDF ล่อหลอกผู้ใช้เพื่อปกปิดกิจกรรมที่เป็นอันตราย.
18. 6. การคงอยู่: DOPLUGS ช่วยในการเก็บข้อมูลอย่างลับๆ และสร้างการเข้าถึงที่คงอยู่ในเครื่องที่ถูกบุกรุก.

Recommendations:

Short Term:

• อัปเดต WinRAR ทันที: ตรวจสอบและติดตั้งแพตช์สำหรับช่องโหว่ CVE-2025-8088 ใน WinRAR โดยเร็วที่สุด.
• การฝึกอบรมความตระหนักรู้ด้านฟิชชิ่ง: ให้ความรู้แก่ผู้ใช้เกี่ยวกับการโจมตีแบบ spear-phishing, การแนบไฟล์ที่น่าสงสัย (RAR, ZIP, LNK) และกลยุทธ์การล่อหลอกที่เกี่ยวข้องกับเหตุการณ์ปัจจุบัน.
• การกรองอีเมลและเกตเวย์: ปรับปรุงระบบกรองอีเมลและเกตเวย์ความปลอดภัยเพื่อตรวจจับและบล็อกไฟล์แนบที่เป็นอันตรายและลิงก์ที่น่าสงสัย.
• การตรวจสอบเครือข่าย: ตรวจสอบการสื่อสาร C2 ที่น่าสงสัย โดยเฉพาะไปยังแพลตฟอร์มคลาวด์ที่รู้จัก (เช่น Dropbox) และเครือข่าย Telegram.
• การป้องกัน DLL Side-Loading: ตรวจทานและปรับปรุงการกำหนดค่าความปลอดภัยเพื่อป้องกันเทคนิค DLL side-loading.
• ปรับปรุง EDR: เพิ่มประสิทธิภาพการทำงานของ Endpoint Detection and Response (EDR) เพื่อระบุมัลแวร์ที่รู้จัก เช่น Amaranth Loader, Havoc, TGAmaranth RAT และ PlugX/DOPLUGS.

Long Term:

• การจัดการแพตช์ที่ครอบคลุม: สร้างกระบวนการจัดการแพตช์ที่เข้มงวดเพื่ออัปเดตซอฟต์แวร์และระบบปฏิบัติการทั้งหมดเป็นประจำ.
• นำโมเดล Zero Trust มาใช้: ใช้หลักการ Zero Trust เพื่อจำกัดการเข้าถึงทรัพยากรทั้งหมด และตรวจสอบผู้ใช้และอุปกรณ์ทุกครั้ง.
• แผนรับมือเหตุการณ์: พัฒนาและฝึกซ้อมแผนรับมือเหตุการณ์ทางไซเบอร์อย่างสม่ำเสมอ.
• การใช้ภัยคุกคามอัจฉริยะ: ลงทุนในโซลูชัน Threat Intelligence ขั้นสูงเพื่อรับทราบข้อมูลเกี่ยวกับกิจกรรมและ TTPs ของกลุ่ม APT.
• นโยบาย Whitelisting แอปพลิเคชัน: ใช้การควบคุมแอปพลิเคชันผ่าน whitelisting เพื่ออนุญาตเฉพาะซอฟต์แวร์ที่เชื่อถือได้ให้ทำงาน.
• การตรวจสอบความปลอดภัยและทดสอบการเจาะระบบ: ดำเนินการตรวจสอบความปลอดภัยและการทดสอบการเจาะระบบอย่างสม่ำเสมอเพื่อระบุและแก้ไขช่องโหว่.
• การควบคุมการเข้าถึงที่เข้มงวด: บังคับใช้การควบคุมการเข้าถึงที่เข้มงวดและ Multi-Factor Authentication (MFA) สำหรับบัญชีทั้งหมด.

Source: https://thehackernews.com/2026/02/china-linked-amaranth-dragon-exploits.html