228/69 (IT) ประจำวันจันทร์ที่ 27 เมษายน 2569
นักวิจัยจาก Mandiant ตรวจพบแคมเปญโจมตีของกลุ่ม UNC6692 ที่ใช้เทคนิค Social Engineering โดยเริ่มจากการทำ Email Bombing เพื่อสร้างความสับสนและสถานการณ์เร่งด่วน จากนั้นผู้โจมตีจะปลอมตัวเป็นเจ้าหน้าที่ IT Helpdesk ติดต่อเหยื่อผ่าน Microsoft Teams เพื่อหลอกให้ติดตั้งซอฟต์แวร์ที่อ้างว่าเป็นแพตช์สำหรับบล็อกอีเมลขยะ แต่แท้จริงแล้วเป็นการติดตั้งมัลแวร์ลงบนอุปกรณ์
ชุดมัลแวร์มีชื่อว่า “Snow” ประกอบด้วยเครื่องมือที่ออกแบบมาเพื่อทำงานประสานกันอย่างเป็นระบบ ได้แก่ SnowBelt ซึ่งเป็นส่วนขยายบนเบราว์เซอร์ที่เน้นการรักษาความคงอยู่ในระบบ (Persistence) SnowGlaze ทำหน้าที่เป็นเครื่องมือสร้างช่องทางสื่อสารแบบ WebSocket tunnel ระหว่างเครื่องของเหยื่อกับเซิร์ฟเวอร์ควบคุม (C2) และรองรับ SOCKS proxy เพื่อส่งต่อทราฟฟิก TCP ผ่านเครื่องที่ติดมัลแวร์ และ SnowBasin ซึ่งเป็นแบคดอร์ภาษา Python ที่รองรับการรันคำสั่งผ่าน CMD หรือ PowerShell รวมถึงการขโมยข้อมูล การจับภาพหน้าจอ และการจัดการไฟล์จากระยะไกล
หลังจากเข้าถึงระบบได้ ผู้โจมตีจะสำรวจเครือข่ายภายใน สแกนบริการ SMB และ RDP เพื่อเคลื่อนย้ายภายในเครือข่าย จากนั้นทำ LSASS memory dump เพื่อขโมยข้อมูล และใช้เทคนิค pass-the-hash เพื่อเข้าถึงระบบสำคัญ เช่น Domain Controller ในขั้นตอนท้าย ผู้โจมตีใช้ FTK Imager เพื่อดึงฐานข้อมูล Active Directory และไฟล์ Registry สำคัญ เช่น SYSTEM, SAM และ SECURITY ก่อนนำข้อมูลออกจากเครือข่ายผ่าน LimeWire เพื่อใช้ในการโจมตีหรือขยายผลภายในโดเมน