144/69 (IT) ประจำวันพฤหัสดีที่ 12 มีนาคม 2569
นักวิจัยจาก Aryaka ตรวจพบแคมเปญโจมตีมุ่งเป้าฝ่ายทรัพยากรณ์ส่วนบุคคล (HR) ขององค์กรต่าง ๆ ต่อเนื่องนานกว่าหนึ่งปี ผ่านอีเมล spear-phishing ที่แนบไฟล์ ISO ปลอมเป็นเรซูเม่จากบริการคลาวด์ เช่น Dropbox เมื่อเปิดไฟล์ มัลแวร์จะทำงานผ่านทางลัด .LNK ที่เรียกใช้ PowerShell เพื่อดึงโค้ดอันตรายที่ซ่อนอยู่ในไฟล์ภาพด้วยเทคนิค steganography เข้าสู่หน่วยความจำ
จากนั้นมัลแวร์จะใช้เทคนิค DLL sideloading ผ่านโปรแกรมที่ดูน่าเชื่อถืออย่าง SumatraPDF พร้อมตรวจสอบสภาพแวดล้อมของระบบอย่างละเอียด และจะหยุดทำงานทันทีหากพบ sandbox, virtual machine หรือเครื่องมือดีบัก พร้อมทั้งแก้ไขการตั้งค่า Windows Defender เพื่อลดระดับการป้องกันและดาวน์โหลดเพย์โหลดเพิ่มเติมจากเซิร์ฟเวอร์ C2 มาทำงานผ่านเทคนิค process hollowing ภายในโปรเซสที่ถูกต้องเพื่อพรางการทำงานของมัลแวร์
องค์ประกอบสำคัญของแคมเปญคือโมดูล BlackSanta EDR killer ที่ออกแบบมาเพื่อปิดการแจ้งเตือนและยุติการทำงานของเครื่องมือป้องกัน เช่น AV, EDR และ SIEM โดยอาศัยเทคนิค Bring Your Own Driver (BYOD) ผ่านไดรเวอร์ truesight.sys และ IObitUnlocker.sys เพื่อยุติการทำงานของโปรเซสรักษาความปลอดภัยในระดับเคอร์เนล ทำให้สามารถดำเนินการได้อย่างแนบเนียนและหลบเลี่ยงการตรวจจับได้เป็นเวลานาน