552/68 (IT) ประจำวันจันทร์ที่ 29 ธันวาคม 2568
นักวิจัยจาก Kaspersky เปิดเผยการค้นพบแคมเปญจารกรรมไซเบอร์ที่มีความซับซ้อนสูง ดำเนินการโดยกลุ่มแฮกเกอร์ระดับ APT ที่ชื่อว่า “Evasive Panda” (หรือที่รู้จักในชื่อ Bronze Highland และ StormBamboo) ซึ่งมีความเชื่อมโยงกับประเทศจีน โดยปฏิบัติการนี้เกิดขึ้นระหว่างเดือนพฤศจิกายน 2022 ถึง 2024 มุ่งเป้าโจมตีเหยื่อในประเทศตุรกี จีน และอินเดีย กลยุทธ์หลักคือการใช้เทคนิคแทรกแซงระบบชื่อโดเมน (DNS Poisoning) เพื่อบิดเบือนการเชื่อมต่อและหลอกให้ระบบดาวน์โหลดมัลแวร์ระดับ Backdoor เข้าสู่เครื่องเหยื่ออย่างแนบเนียน
จุดเด่นทางเทคนิคของการโจมตีครั้งนี้คือการทำ Adversary-in-the-Middle (AitM) โดยแฮกเกอร์จะดักและแก้ไขการตอบกลับของ DNS ของโดเมนที่ดูน่าเชื่อถือ เช่น โดเมนอัปเดตซอฟต์แวร์ของ Tencent หรือแม้แต่เว็บไซต์ dictionary[.]com ให้ชี้ไปยังเซิร์ฟเวอร์ของผู้โจมตีแทน จากนั้นจะส่งเพย์โหลดที่ถูกเข้ารหัสด้วยเทคนิคซับซ้อน (ผสมผสานระหว่าง DPAPI ของ Windows และอัลกอริทึม RC5) ลงในไฟล์ perf.dat บนเครื่องเหยื่อ ซึ่งวิธีการนี้ทำให้ไฟล์ดังกล่าวจะถูกถอดรหัสได้เฉพาะบนเครื่องเหยื่อรายนั้น ๆ เท่านั้น เพื่อป้องกันการถูกนำไปวิเคราะห์ ก่อนจะใช้เทคนิค DLL Sideloading ผ่านไลบรารี Python เวอร์ชันเก่าเพื่อรันโค้ดอันตราย
เป้าหมายปลายทางของปฏิบัติการนี้คือการฝังมัลแวร์ “MgBot” ซึ่งเป็น Modular Backdoor ที่มีความสามารถรอบด้าน ไม่ว่าจะเป็นการขโมยไฟล์, ดักจับการพิมพ์ (Keylogging), บันทึกเสียงสนทนา, และขโมยข้อมูลรหัสผ่านจากเว็บเบราว์เซอร์ โดยมัลแวร์จะถูกฉีดเข้าสู่กระบวนการ svchost.exe ของระบบเพื่ออำพรางตัว การค้นพบนี้ชี้ให้เห็นว่ากลุ่ม Evasive Panda ยังคงพัฒนาเครื่องมือและเทคนิคการหลบเลี่ยงการตรวจจับอย่างต่อเนื่อง โดยอาจมีการร่วมมือกับ ISP หรือเจาะระบบ Router เพื่อทำ DNS Poisoning ในระดับเครือข่าย เพื่อรักษาสถานะการเข้าถึงระบบของเป้าหมายให้ได้นานที่สุด
แหล่งข่าว https://thehackernews.com/2025/12/china-linked-evasive-panda-ran-dns.html
