485/68 (IT) ประจำวันจันทร์ที่ 24 พฤศจิกายน 2568
นักวิจัยด้านความปลอดภัยเตือนแคมเปญจารกรรมไซเบอร์ที่ดำเนินมายาวนานเกือบ 3 ปี โดยใช้การโจมตีซัพพลายเชนและเทคนิคหลายรูปแบบในการแพร่กระจายมัลแวร์ “BadAudio” ไปยังเป้าหมายจำนวนมาก ผ่านการเจาะเว็บไซต์ การฝังโค้ดในไฟล์ของบริษัทคู่ค้า และการส่งอีเมลแบบ spear-phishing โดยมีวัตถุประสงค์เพื่อแทรกซึมระบบและเก็บข้อมูลอย่างต่อเนื่อง ข้อมูลที่ตรวจพบถูกเพิ่มเข้าสู่ระบบ Safe Browsing พร้อมแจ้งเหยื่อที่ได้รับผลกระทบแล้ว
BadAudio ทำงานเป็นตัวดาวน์โหลดขั้นแรก (first-stage downloader) ที่พัฒนาด้วยภาษา C++ ทำหน้าที่รวบรวมข้อมูลพื้นฐานของอุปกรณ์ เข้ารหัสด้วย AES และซ่อนข้อมูลดังกล่าวในค่า Cookie ระหว่างร้องขอเพย์โหลดขั้นถัดไปจากเซิร์ฟเวอร์ C2 หลายกรณีพบว่าเพย์โหลดที่ถูกดึงมาคือ Cobalt Strike Beacon ซึ่งถอดรหัสด้วยคีย์ AES เดียวกัน นอกจากนี้ BadAudio ยังใช้เทคนิค Control-Flow Flattening และการโจมตีแบบ DLL hijacking เพื่อให้วิเคราะห์การทำงานได้ยากขึ้น
ตลอดช่วงปฏิบัติการ ผู้โจมตีได้พัฒนากลยุทธ์ในการแพร่กระจายอย่างต่อเนื่อง เช่น การฝัง JavaScript อันตรายในเว็บไซต์จำนวนมากเพื่อคัดกรองเหยื่อก่อนแสดงอัปเดตปลอมให้ดาวน์โหลด และการเจาะระบบของบริษัทที่ให้บริการด้านสื่อดิจิทัลเพื่อแทรกโค้ดอันตรายในไฟล์ JS/JSON ของลูกค้าหลายร้อยโดเมน รายงานสรุปว่าแคมเปญนี้สะท้อนถึงความสามารถของผู้โจมตีในการดำเนินปฏิบัติการระยะยาว พรางตัวจากการตรวจจับและปรับเปลี่ยนเทคนิคให้เหมาะสมกับสภาพแวดล้อม
