60/69 (IT) ประจำวันศุกร์ที่ 30 มกราคม 2569
นักวิจัยจาก Proofpoint ตรวจพบความเคลื่อนไหวของกลุ่มนายหน้าขายสิทธิ์เข้าถึงระบบ (Initial Access Broker) ชื่อ TA584 ที่มีการขยายขอบเขตปฏิบัติการเพิ่มขึ้น 3 เท่าในช่วงปลายปี 2025 โดยขยายเป้าหมายจากอเมริกาเหนือและสหราชอาณาจักร ไปยังเยอรมนี ประเทศในยุโรป และออสเตรเลีย โดยใช้มัลแวร์ Tsundere Bot ร่วมกับ XWorm เพื่อเจาะระบบ ซึ่งคาดว่าการติดเชื้ออาจนำไปสู่การโจมตีต่อเนื่องด้วย มัลแวร์เรียกค่าไถ่ (Ransomware) ในลำดับถัดไป
กระบวนการโจมตีเริ่มจากการส่งอีเมลฟิชชิงผ่านบริการอย่าง SendGrid หรือ Amazon SES เมื่อเหยื่อคลิกลิงก์และผ่านการตรวจสอบ IP หรือ Geofencing จะเข้าสู่หน้า CAPTCHA และตามด้วยหน้าหลอกลวงแบบ “ClickFix” ซึ่งแสดงข้อผิดพลาดปลอม เพื่อหลอกให้เหยื่อคัดลอกและรันคำสั่ง PowerShell ด้วยตนเอง คำสั่งดังกล่าวจะทำการดาวน์โหลดและรันสคริปต์เพื่อติดตั้ง Tsundere Bot หรือ XWorm ลงในหน่วยความจำ (Memory) โดยกลุ่มนี้เคยใช้เพย์โหลดหลายชนิด เช่น Ursnif, Cobalt Strike และ WarmCookie
Tsundere Bot เป็นมัลแวร์รูปแบบบริการ (MaaS) ทำหน้าที่เป็นทั้งแบ็กดอร์และโหลดเดอร์ โดยอาศัย Node.js ในการทำงาน สามารถเก็บข้อมูลระบบเพื่อทำโปรไฟล์เครื่อง และเปลี่ยนเครื่องเหยื่อให้เป็น SOCKS Proxy ได้ นอกจากนี้ยังมีความสามารถในการดึงที่อยู่เซิร์ฟเวอร์ควบคุม (C2) จาก Ethereum Blockchain (เทคนิค EtherHiding) เพื่อหลบเลี่ยงการตรวจจับ และมีระบบตรวจสอบภาษาเพื่อยุติการทำงานหากพบว่าเป็นเครื่องในกลุ่มประเทศ CIS รวมถึงมีระบบลักษณะ “ตลาดซื้อขายบอท” ภายในแพลตฟอร์มด้วย
