412/68 (IT) ประจำวันจันทร์ที่ 20 ตุลาคม 2568
ทีมวิจัยจาก Fortinet ได้เปิดเผยว่ากลุ่มแฮกเกอร์ Winos 4.0 (หรือ ValleyRAT) กำลังขยายการโจมตีจากจีนและไต้หวันเข้าสู่ญี่ปุ่นและมาเลเซีย โดยใช้แคมเปญ Phishing ผ่านไฟล์ PDF ที่ปลอมเป็นเอกสารของกระทรวงการคลัง เพื่อแพร่กระจายมัลแวร์ HoldingHands RAT (หรือ Gh0stBins) ซึ่งเป็น Remote Access Trojan ที่ใช้ควบคุมเครื่องเป้าหมายจากระยะไกล
รายงานระบุว่า PDF เหล่านี้ฝังลิงก์อันตรายที่ชี้ไปยัง Tencent Cloud และโดเมนที่ออกแบบมาสำหรับเป้าหมายในไต้หวันและญี่ปุ่น บางไฟล์ปลอมเป็นร่างข้อบังคับด้านภาษี ก่อนจะพาผู้ใช้ไปยังเว็บไซต์ภาษาญี่ปุ่นเพื่อติดตั้ง HoldingHands RAT นอกจากนี้ยังพบการใช้เทคนิคหลบเลี่ยงการตรวจจับหลายประการ เช่น การเซ็นดิจิทัลไฟล์ EXE, การซ่อนลิงก์อันตรายในข้อมูล JSON บนหน้าไดนามิก และการพัฒนาโครงสร้างแคมเปญตั้งแต่ปี 2024 ซึ่งเชื่อมโยงกับ Phishing ในจีนและไต้หวัน
จากการวิเคราะห์เผยว่า มัลแวร์นี้ดำเนินการแบบหลายขั้นตอน (multi-stage) และมีความสามารถสูง เช่น ใช้ Task Scheduler เพื่อโหลด DLL อันตราย (TimeBrokerClient.dll) และ Inject payload ลงใน process ที่น่าเชื่อถืออย่าง taskhostw.exe เพื่อลดการตรวจจับ และหลีกเลี่ยงซอฟต์แวร์ป้องกันไวรัสชื่อดัง (Norton, Avast, Kaspersky) และปรับเปลี่ยนคำสั่ง C2 ล่าสุด เช่น การอัปเดต IP Server ผ่าน Registry Key ของ Windows นักวิจัยสรุปว่าแคมเปญนี้แสดงให้เห็นถึงการยกระดับเทคนิค Phishing + Multi-Stage Malware Delivery ที่มีการเชื่อมโยงโครงสร้างพื้นฐานระหว่างหลายประเทศในเอเชีย
