346/68 (IT) ประจำวันพุธที่ 17 กันยายน 2568
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จาก IBM X-Force เปิดเผยว่า กลุ่มภัยคุกคามไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน ซึ่งเป็นที่รู้จักในชื่อ Mustang Panda กำลังใช้มัลแวร์เวอร์ชันใหม่หลายชนิดในการโจมตี โดยเฉพาะการนำ USB worm ตัวใหม่ชื่อ SnakeDisk มาแพร่กระจายมัลแวร์ และใช้ปล่อย Yokai backdoor ที่สามารถเข้าควบคุมเครื่องเป้าหมายจากระยะไกล ทั้งนี้ SnakeDisk ถูกออกแบบให้ทำงานเฉพาะบนอุปกรณ์ที่มี IP Address ในประเทศไทย เท่านั้น สะท้อนให้เห็นว่าประเทศไทยกำลังเป็นเป้าหมายหลักของการโจมตีครั้งนี้
มัลแวร์ SnakeDisk มีวิธีแพร่กระจายผ่านอุปกรณ์ USB โดยย้ายไฟล์ที่มีอยู่เดิมไปซ่อนไว้ในโฟลเดอร์ย่อย และสร้างไฟล์ปลอมชื่อ “USB.exe” ให้ผู้ใช้งานเข้าใจผิดและเผลอกดคลิกเปิด เมื่อรันมัลแวร์แล้ว ไฟล์เดิมจะถูกย้ายกลับมาเหมือนปกติ ทำให้ยากต่อการตรวจจับ ขณะเดียวกัน Mustang Panda ยังใช้มัลแวร์ TONESHELL และ PUBLOAD ผ่านการโจมตีทางอีเมลแบบ spear-phishing เพื่อดาวน์โหลดเพย์โหลดและสร้างช่องทางสื่อสารกับเซิร์ฟเวอร์สั่งการ (C2) โดยเวอร์ชันใหม่ของ TONESHELL ยังถูกพัฒนาให้สามารถหลบเลี่ยงการตรวจจับด้วยการแฝงโค้ดปลอม รวมถึงรองรับการเชื่อมต่อผ่าน proxy server ขององค์กร
นักวิจัยยังชี้ว่า การใช้ SnakeDisk และ Yokai สะท้อนถึงความเป็นไปได้ที่ Mustang Panda มี “กลุ่มย่อย” ที่มุ่งเป้าโจมตีประเทศไทยโดยเฉพาะ เนื่องจาก Yokai เคยถูกตรวจพบแล้วในเหตุโจมตีเจ้าหน้าที่ระดับสูงของไทยเมื่อปลายปี 2024 ความเคลื่อนไหวครั้งนี้ แสดงให้เห็นถึงการพัฒนาต่อเนื่องของกลุ่ม Hive0154 (ชื่อที่ IBM ใช้ในการติดตาม Mustang Panda) ซึ่งเป็นหนึ่งในกลุ่มผู้สนับสนุนจากรัฐที่มีศักยภาพสูง มีเครื่องมือมัลแวร์จำนวนมาก และมีพฤติกรรมการพัฒนามัลแวร์อย่างต่อเนื่องเพื่อเพิ่มความซับซ้อนในการโจมตี ภัยคุกคามในลักษณะนี้เน้นย้ำถึงความสำคัญของการระมัดระวังในการใช้งานอุปกรณ์พกพาต่างๆ เช่น แฟลชไดรฟ์ เพื่อป้องกันตนเองจากมัลแวร์ที่อาจแฝงมาโดยไม่รู้ตัว ผู้เชี่ยวชาญแนะนำให้หลีกเลี่ยงการเสียบแฟลชไดรฟ์ที่ไม่ทราบที่มาเข้ากับคอมพิวเตอร์ส่วนตัวหรือคอมพิวเตอร์ในองค์กร และควรทำการสแกนแฟลชไดรฟ์ด้วยโปรแกรมป้องกันไวรัสที่อัปเดตอยู่เสมอ
แหล่งข่าว https://thehackernews.com/2025/09/mustang-panda-deploys-snakedisk-usb.html
