471/68 (IT) ประจำวันอังคารที่ 18 พฤศจิกายน 2568
สำนักงานดิจิทัลแห่งชาติของอิสราเอล (Israel National Digital Agency : INDA) ได้เปิดเผยรายงานการค้นพบปฏิบัติการจารกรรมข้อมูล (Espionage) ครั้งใหม่ในชื่อ ‘SpearSpecter’ ซึ่งดำเนินการโดยกลุ่มแฮกเกอร์ APT42 ที่ได้รับการสนับสนุนจากรัฐบาลอิหร่านและมีความเชื่อมโยงกับกองกำลังพิทักษ์การปฏิวัติอิสลาม (IRGC) โดยปฏิบัติการนี้ตรวจพบตั้งแต่ต้นเดือนกันยายน 2025 และยังคงดำเนินอยู่ มีเป้าหมายที่ชัดเจนในการโจมตีเจ้าหน้าที่อาวุโสระดับสูงในหน่วยงานด้านกลาโหมและรัฐบาล โดยใช้กลยุทธ์ Social Engineering ที่แนบเนียน เช่น การปลอมตัวเพื่อเชิญเข้าร่วมการประชุมสัมมนาอันทรงเกียรติ หรือนัดหมายประชุมในเรื่องสำคัญ และที่น่ากังวลคือ การโจมตีได้ขยายผลไปยัง สมาชิกในครอบครัว ของเป้าหมายหลัก เพื่อเพิ่มช่องทางในการโจมตี
กระบวนการโจมตีมีความซับซ้อน โดยเริ่มจากการที่แฮกเกอร์ปลอมตัวเป็นผู้ติดต่อที่เหยื่อไว้วางใจบน WhatsApp แล้วส่งลิงก์อันตรายโดยอ้างว่าเป็นเอกสารสำคัญที่ต้องใช้ในการประชุม เมื่อเหยื่อคลิก ระบบจะใช้เทคนิคการรีไดเรกเพื่อส่งไฟล์ Windows Shortcut (LNK) ที่ถูกอำพรางให้ดูเหมือนไฟล์ PDF โดยอาศัยช่องโหว่ของโปรโตคอล “search-ms:” เมื่อไฟล์ LNK ถูกเปิดใช้งาน มันจะแอบติดต่อกับเซิร์ฟเวอร์ควบคุมบน Cloudflare Workers เพื่อดาวน์โหลดสคริปต์ที่ทำหน้าที่เป็นตัวโหลด (Loader) ก่อนจะติดตั้งมัลแวร์ PowerShell Backdoor ที่รู้จักกันในชื่อ ‘TAMECAT’ ลงในเครื่องของเหยื่อ
มัลแวร์ ‘TAMECAT’ ที่ถูกฝังเข้ามานั้น มีความสามารถสูงในการจารกรรมข้อมูล ไม่ว่าจะเป็นการสอดแนมระบบ การขโมยไฟล์ข้อมูลตามนามสกุลที่กำหนด การดึงข้อมูลสำคัญจากเว็บเบราว์เซอร์ (เช่น Chrome และ Edge) การขโมยกล่องจดหมายจาก Outlook และแม้กระทั่งการจับภาพหน้าจออย่างต่อเนื่อง จุดที่น่าสังเกตคือความพยายามในการหลบเลี่ยงการตรวจจับ โดยมัลแวร์นี้ใช้ช่องทางการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2) ถึงสามช่องทางพร้อมกัน ได้แก่ HTTPS, Discord และ Telegram เพื่อให้แน่ใจว่ายังสามารถรับคำสั่งได้แม้ช่องทางใดช่องทางหนึ่งจะถูกบล็อก นอกจากนี้ มันยังทำงานในหน่วยความจำ (In-memory) และใช้เทคนิคการเข้ารหัสและพรางโค้ด (Obfuscation) เพื่อให้ยากต่อการวิเคราะห์และตรวจจับโดยโปรแกรมความปลอดภัย
แหล่งข่าว https://thehackernews.com/2025/11/iranian-hackers-launch-spearspecter-spy.html
