393/68 (IT) ประจำวันพฤหัสบดีที่ 9 ตุลาคม 2568
กลุ่มแฮกเกอร์ BatShadow จากเวียดนาม ถูกระบุว่าเป็นผู้อยู่เบื้องหลังปฏิบัติการโจมตีทางไซเบอร์ครั้งใหม่ ที่ใช้กลยุทธ์ Social Engineering หลอกลวงผู้ที่กำลังหางาน และผู้เชี่ยวชาญด้านการตลาดดิจิทัล โดยมีเป้าหมายหลักคือการแพร่มัลแวร์ตัวใหม่ชื่อ ‘Vampire Bot’ การโจมตีเริ่มต้นจากการที่ผู้ไม่หวังดีปลอมตัวเป็นผู้สรรหาบุคลากร (Recruiters) แล้วส่งไฟล์อันตรายที่ถูกปลอมแปลงให้ดูเหมือนเป็นเอกสารรายละเอียดงานหรือเอกสารองค์กร เมื่อเหยื่อเปิดไฟล์เหล่านั้น ก็จะกระตุ้นห่วงโซ่การติดมัลแวร์ที่พัฒนาด้วยภาษา Go โดยทันที
กลไกการโจมตีมีความซับซ้อน โดยผู้โจมตีมักใช้ไฟล์ ZIP ที่บรรจุเอกสารล่อหลอก เช่น ไฟล์ PDF รายละเอียดงานของบริษัทดัง พร้อมกับไฟล์ทางลัด (LNK) หรือไฟล์ปฏิบัติการ (Executable) ที่มีการปลอมชื่อให้ดูเหมือนเป็น PDF เพื่อหลอกให้เหยื่อเปิด เมื่อเปิดไฟล์ LNK จะมีการรันสคริปต์ PowerShell ที่เชื่อมต่อไปยังเซิร์ฟเวอร์ภายนอกเพื่อดาวน์โหลดทั้งเอกสารล่อหลอกและไฟล์ ZIP ที่เกี่ยวข้องกับซอฟต์แวร์เชื่อมต่อเดสก์ท็อประยะไกล XtraViewer ซึ่งเป็นกลไกที่น่าจะมุ่งหวังเพื่อสร้างการเข้าถึงระบบที่ติดเชื้ออย่างต่อเนื่อง โดย Vampire Bot ที่ถูกส่งมาในรูปแบบของไฟล์ปฏิบัติการ(Marriott_Marketing_Job_Description.pdf[.]exe) ที่ปลอมเป็น PDF นั้น มีความสามารถในการเก็บข้อมูลโปรไฟล์เครื่องเหยื่อ, ขโมยข้อมูลหลากหลายประเภท, จับภาพหน้าจอ, และติดต่อกับเซิร์ฟเวอร์ควบคุมเพื่อรับคำสั่งหรือดาวน์โหลดเพย์โหลดเพิ่มเติม
การเชื่อมโยงของกลุ่ม BatShadow กับเวียดนามยืนยันจากหลักฐานการใช้ที่อยู่ IP (103.124.95[.]161) ที่เคยถูกระบุว่าเกี่ยวข้องกับแฮกเกอร์ในประเทศดังกล่าว นอกจากนี้กลุ่มเป้าหมายหลักคือผู้เชี่ยวชาญด้านการตลาดดิจิทัลยังสอดคล้องกับรูปแบบการโจมตีของกลุ่มที่แสวงหาผลประโยชน์ทางการเงินจากเวียดนามที่มีประวัติในการใช้มัลแวร์ประเภทขโมยข้อมูล (stealer malware) เพื่อยึดบัญชีธุรกิจบน Facebook แม้จะมีการเปลี่ยนแปลงเทคนิคและเครื่องมือมาใช้ Vampire Bot แต่กลยุทธ์การล่อลวงผู้หางาน และผู้เชี่ยวชาญด้านการตลาดดิจิทัลยังคงเป็นเป้าหมายบ่อยครั้งในแคมเปญของ BatShadow ซึ่งถูกประเมินว่าดำเนินการมาแล้วอย่างน้อยหนึ่งปี โดยก่อนหน้านี้เคยใช้โดเมนและตัวมัลแวร์อื่น ๆ เช่น Agent Tesla, Lumma Stealer และ Venom RAT ดังนั้นผู้ใช้งานควรเพิ่มความระมัดระวังเป็นพิเศษในการเปิดไฟล์ที่ได้รับจากแหล่งที่ไม่คุ้นเคย โดยเฉพาะเอกสารที่เกี่ยวข้องกับการสมัครงาน เพื่อป้องกันการตกเป็นเหยื่อของอาชญากรรมไซเบอร์เหล่านี้
แหล่งข่าว https://thehackernews.com/2025/10/batshadow-group-uses-new-go-based.html
