แคมเปญมัลแวร์ใหม่ส่ง Remcos RAT ผ่านการโจมตี Windows แบบหลายขั้นตอน

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของแคมเปญใหม่ชื่อ SHADOW#REACTOR ซึ่งใช้กลยุทธ์การโจมตีแบบหลายขั้นตอนที่หลีกเลี่ยงการตรวจจับเพื่อติดตั้ง Remcos RAT ซึ่งเป็นเครื่องมือควบคุมจากระยะไกลที่มีจำหน่ายทั่วไป และสร้างการเข้าถึงจากระยะไกลอย่างต่อเนื่องและลับๆ การโจมตีเริ่มต้นด้วยสคริปต์ VBS ที่ถูกเข้ารหัสลับซึ่งเปิดใช้งาน PowerShell เพื่อดาวน์โหลดเพย์โหลดที่เป็นข้อความแบบแยกส่วน จากนั้นเพย์โหลดเหล่านี้จะถูกนำมาสร้างใหม่ในหน่วยความจำโดยใช้ตัวโหลดที่ป้องกันด้วย .NET Reactor ซึ่งจะดึงและใช้การกำหนดค่า Remcos จากระยะไกล ขั้นตอนสุดท้ายใช้ MSBuild.exe เป็นไบนารี Living-off-the-Land (LOLBin) เพื่อเสร็จสิ้นการโจมตี ซึ่งหลังจากนั้น Remcos RAT ก็จะถูกติดตั้งอย่างสมบูรณ์และเข้าควบคุมระบบที่ถูกบุกรุก แคมเปญนี้มีเป้าหมายกว้างขวางและฉวยโอกาส โดยมุ่งเป้าไปที่องค์กรขนาดใหญ่และธุรกิจขนาดกลางและขนาดย่อม.

Severity: สูง

System Impact:

• ระบบปฏิบัติการ Windows (เป้าหมายหลัก)
• สภาพแวดล้อมขององค์กร (Enterprise environments)
• สภาพแวดล้อมของธุรกิจขนาดกลางและขนาดย่อม (Small-to-medium business environments)

Technical Attack Steps:

1. การเข้าถึงเริ่มต้น: ผู้ใช้งานมีปฏิสัมพันธ์ (เช่น คลิกที่ลิงก์จากการโจมตีทางสังคม) เพื่อเรียกใช้สคริปต์ Visual Basic Script (VBS) ที่ถูกเข้ารหัสลับชื่อ “win64.vbs”
2. VBS Launcher: ไฟล์ “win64.vbs” (ทำงานผ่าน wscript.exe) ทำหน้าที่เป็นตัวเปิดใช้ (launcher) สำหรับเพย์โหลด PowerShell ที่ถูกเข้ารหัส Base64
3. PowerShell Downloader: สคริปต์ PowerShell ใช้ System.Net.WebClient เพื่อสื่อสารกับเซิร์ฟเวอร์ระยะไกลและดาวน์โหลดเพย์โหลดที่เป็นข้อความแบบแยกส่วน (เช่น “qpwoe64.txt” หรือ “qpwoe32.txt”) ไปยังไดเรกทอรี %TEMP% สคริปต์นี้มีกลไกการซ่อมแซมตัวเองเพื่อดาวน์โหลดเนื้อหาใหม่หากไม่สมบูรณ์
4. .NET Reactor Loader: สคริปต์ PowerShell สำรองชื่อ “jdywa.ps1” จะถูกสร้างขึ้นใน %TEMP% ซึ่งจะเรียกใช้ .NET Reactor Loader ตัวโหลดนี้ทำหน้าที่สร้างความคงอยู่ (persistence) ดึงมัลแวร์ขั้นตอนถัดไป และรวมการตรวจสอบป้องกันการดีบักและป้องกัน VM เพื่อหลีกเลี่ยงการตรวจจับ
5. การติดตั้ง Remcos RAT: ตัวโหลดจะเรียกใช้มัลแวร์ Remcos RAT บนโฮสต์ที่ถูกบุกรุกโดยใช้กระบวนการ Microsoft Windows ที่ถูกต้องตามกฎหมายคือ “MSBuild.exe” ซึ่งเป็นไบนารี Living-off-the-Land (LOLBin)
6. การคงอยู่: มีการวางสคริปต์ wrapper เพื่อเรียกใช้ “win64.vbs” อีกครั้งโดยใช้ wscript.exe เพื่อให้แน่ใจว่าการเข้าถึงยังคงอยู่

Recommendations:

Short Term:

• เฝ้าระวังการเรียกใช้ VBS และ PowerShell ที่น่าสงสัย (เช่น wscript.exe, powershell.exe) โดยเฉพาะในบริบทที่ผิดปกติ
• ตรวจสอบการใช้งาน MSBuild.exe ในลักษณะที่ผิดปกติ เนื่องจากถูกใช้เป็น Living-off-the-Land Binary (LOLBin)
• ใช้โซลูชัน Endpoint Detection and Response (EDR) เพื่อตรวจจับการโจมตีแบบหลายขั้นตอนและแบบ In-memory
• ให้ความรู้แก่ผู้ใช้เกี่ยวกับการโจมตีทางสังคม (Social Engineering) และการคลิกลิงก์ที่น่าสงสัย

Long Term:

• เสริมสร้างความปลอดภัยของ Endpoint ด้วยโปรแกรมป้องกันไวรัส/มัลแวร์ขั้นสูง
• ใช้ Application Whitelisting หรือการควบคุมแอปพลิเคชันที่เข้มงวด เพื่อจำกัดการทำงานของโปรแกรมที่ไม่ได้รับอนุญาต โดยเฉพาะ LOLBins
• ติดตั้งและอัปเดตระบบปฏิบัติการและซอฟต์แวร์อย่างสม่ำเสมอเพื่ออุดช่องโหว่
• ปรับใช้โซลูชันการกรองอีเมลและเว็บที่มีประสิทธิภาพ
• ดำเนินการฝึกอบรมด้านความตระหนักรู้ด้านความปลอดภัย (Security Awareness Training) ให้กับพนักงานอย่างต่อเนื่อง
• ใช้หลักการแบ่งส่วนเครือข่าย (Network Segmentation) และสิทธิ์ขั้นต่ำสุด (Least Privilege)

Source: https://thehackernews.com/2026/01/new-malware-campaign-delivers-remcos.html