HoneyMyte Hacker Group Updates CoolClient Malware to Deploy Browser Login Data Stealer

กลุ่มภัยคุกคาม HoneyMyte หรือที่รู้จักกันในชื่อ Mustang Panda และ Bronze President ยังคงเป็นภัยคุกคามร้ายแรงต่อองค์กรภาครัฐทั่วเอเชียและยุโรป โดยเน้นที่เอเชียตะวันออกเฉียงใต้เป็นหลัก งานวิจัยด้านความปลอดภัยล่าสุดในปี 2025 เปิดเผยว่ากลุ่มนี้ได้อัปเกรดมัลแวร์ CoolClient backdoor ด้วยความสามารถใหม่ๆ ซึ่งรวมถึงมัลแวร์ขโมยข้อมูลล็อกอินของเบราว์เซอร์โดยเฉพาะ และสคริปต์สำหรับรวบรวมเอกสารลับและรายละเอียดระบบ การโจมตีของพวกเขามีการส่งมัลแวร์แบบหลายขั้นตอนที่อาศัยเทคนิค DLL sideloading ผ่านแอปพลิเคชันที่ถูกต้องตามกฎหมาย

Severity: วิกฤต

System Impact:

• องค์กรภาครัฐในเอเชียและยุโรป (โดยเฉพาะเอเชียตะวันออกเฉียงใต้)
• ข้อมูลล็อกอินของเบราว์เซอร์
• เครือข่ายที่ถูกบุกรุก

Technical Attack Steps:

1. กลุ่ม HoneyMyte อัปเกรดมัลแวร์ CoolClient backdoor ด้วยความสามารถใหม่ๆ เพื่อโจมตี
2. ปรับใช้มัลแวร์ขโมยข้อมูลล็อกอินของเบราว์เซอร์หลายรูปแบบและสคริปต์สำหรับรวบรวมเอกสารลับและรายละเอียดระบบ
3. ใช้ระบบส่งมัลแวร์แบบหลายขั้นตอนที่อาศัยเทคนิค DLL sideloading
4. มีการพบการใช้ประโยชน์จากแอปพลิเคชันที่ถูกกฎหมาย เช่น BitDefender, VLC Media Player และ Sangfor เพื่อรันโค้ดมัลแวร์
5. มัลแวร์ Stealer จะคัดลอกฐานข้อมูลล็อกอินและไฟล์การตั้งค่าของเบราว์เซอร์ไปยังโฟลเดอร์ชั่วคราว
6. ใช้ฟังก์ชัน Windows Data Protection Application Programming Interface (DPAPI) เพื่อถอดรหัสรหัสผ่านที่จัดเก็บไว้
7. รวบรวมบันทึกการล็อกอินที่สมบูรณ์ ซึ่งประกอบด้วยชื่อผู้ใช้และรหัสผ่าน
8. บันทึกข้อมูลประจำตัวที่ถูกขโมยไปยังโฟลเดอร์ระบบที่ซ่อนไว้เพื่อส่งออกไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมในภายหลัง
9. กิจกรรมอื่นๆ ที่สังเกตได้รวมถึงการดักจับข้อมูลแป้นพิมพ์ (keylogging) และการตรวจสอบคลิปบอร์ด

Recommendations:

Short Term:

• ใช้มาตรการตรวจจับที่แข็งแกร่ง
• เฝ้าระวังอย่างใกล้ชิดเพื่อหาสัญญาณของการติดมัลแวร์ CoolClient backdoor
• ตรวจสอบกิจกรรมของมัลแวร์ขโมยข้อมูลเบราว์เซอร์และตระกูลมัลแวร์ที่เกี่ยวข้องซึ่งใช้โดยผู้โจมตีนี้

Long Term:

• เสริมสร้างความเข้มแข็งของมาตรการรักษาความปลอดภัยทางไซเบอร์โดยรวมขององค์กร
• ให้ความรู้แก่ผู้ใช้เกี่ยวกับการโจมตีแบบฟิชชิ่งและวิศวกรรมสังคม เพื่อลดความเสี่ยงของการติดเชื้อเริ่มต้น
• ดำเนินการตรวจสอบความปลอดภัยและประเมินช่องโหว่เป็นประจำ
• บริหารจัดการการอัปเดตและแพตช์ระบบและแอปพลิเคชันอย่างสม่ำเสมอ
• นำหลักการสิทธิ์ขั้นต่ำ (Principle of Least Privilege) มาใช้กับผู้ใช้และระบบเพื่อจำกัดความเสียหายที่อาจเกิดขึ้น

Source: https://cybersecuritynews.com/honeymyte-hacker-group-updates-coolclient-malware/