30/09/2025
Mustang Panda เผยแพร่มัลแวร์ SnakeDisk ผ่าน USB
กลุ่มแฮกเกอร์ Mustang Panda หรือที่รู้จักกันในชื่อ RedDelta และ TA416 ซึ่งเป็นกลุ่มที่มีรัฐหนุนหลัง ได้ใช้มัลแวร์ SnakeDisk ที่แพร่กระจายผ่าน USB ในการโจมตีที่มุ่งเป้าไปที่หน่วยงานรัฐบาลในเอเชียตะวันออกเฉียงใต้ โดยมีวัตถุประสงค์หลักเพื่อจารกรรมข้อมูล การโจมตีเริ่มต้นจากการใช้ USB Drive ที่ติดมัลแวร์ ซึ่งนำไปสู่การติดตั้ง Backdoor ที่ได้รับการอัปเดตอย่าง ToneShell ToneShell มีความสามารถในการรวบรวมข้อมูลระบบ, ขโมยข้อมูลรับรอง, บันทึกการกดแป้นพิมพ์ และควบคุมระบบจากระยะไกล เพื่อขโมยข้อมูลลับและรักษาการเข้าถึงระบบอย่างต่อเนื่อง
ภาพรวมผู้โจมตีและเป้าหมาย
- ชื่อกลุ่ม/มัลแวร์: Mustang Panda (หรือรู้จักในชื่อ RedDelta, TA416, Earth Lusca, LuminousMoth, APT40 รวมถึง HIVE-0154 จากการวิเคราะห์ของ IBM X-Force), มัลแวร์ SnakeDisk (มัลแวร์ที่แพร่กระจายผ่าน USB), ToneShell (Backdoor ที่ได้รับการอัปเดต)
- ที่มา/ความเกี่ยวข้อง: กลุ่มแฮกเกอร์ที่มีรัฐหนุนหลัง มักมุ่งเน้นการจารกรรมข้อมูลเพื่อผลประโยชน์ทางภูมิรัฐศาสตร์ โดยเฉพาะอย่างยิ่งจากประเทศในเอเชียตะวันออกเฉียงใต้ กลุ่มนี้มีประวัติการโจมตีที่หลากหลายและใช้เครื่องมือที่พัฒนาขึ้นเอง
- วัตถุประสงค์หลัก: การจารกรรมข้อมูลทางการเมืองและเศรษฐกิจ, การเข้าถึงระบบอย่างต่อเนื่อง, การขโมยข้อมูลรับรอง, การควบคุมระบบจากระยะไกล
- เป้าหมายหลัก (Victimology): หน่วยงานรัฐบาลในเอเชียตะวันออกเฉียงใต้ รวมถึงบางหน่วยงานในยุโรปที่ทำงานกับข้อมูลที่ละเอียดอ่อนทางการเมืองและเศรษฐกิจ
ลำดับขั้นและเทคนิคการโจมตี
(อธิบายขั้นตอนการโจมตีโดยละเอียดตามกรอบ MITRE ATT&CK® โดยใช้หัวข้อย่อยเพื่อแบ่งหมวดหมู่)
การเข้าถึงเบื้องต้น (Initial Access)
- T1200 - Hardware Additions: ผู้โจมตีใช้ malicious USB devices เป็นช่องทางหลักในการแพร่กระจายมัลแวร์ SnakeDisk ซึ่งเมื่อเหยื่อเสียบ USB เข้ากับคอมพิวเตอร์ จะมีไฟล์ LNK ที่ปลอมแปลงเป็นโฟลเดอร์ล่อให้คลิก
- T1566.002 - Phishing: Vishing: (ตามรายงานของ IBM X-Force และ Google TAG ซึ่งเป็นเทคนิคทั่วไปของ Mustang Panda) กลุ่มนี้ยังใช้การหลอกลวงทางเสียง (vishing) โดยปลอมตัวเป็นเจ้าหน้าที่ IT เพื่อหลอกให้เหยื่อทำตามคำสั่ง ซึ่งอาจรวมถึงการอนุมัติแอปพลิเคชันอันตราย
การเรียกใช้งาน (Ex*****on)
- T1204.002 - User Ex*****on: Malicious File: เหยื่อถูกหลอกให้คลิกไฟล์ LNK ที่ปลอมแปลงเป็นโฟลเดอร์ ซึ่งจะเรียกใช้สคริปต์ PowerShell ที่ซับซ้อน (obfuscated PowerShell script)
- T1059.001 - Command and Scripting Interpreter: PowerShell: สคริปต์ PowerShell ที่ถูกเรียกใช้งาน จะทำการดึงและรันไฟล์ DLL ที่เป็นอันตราย (.NET DLL) เพื่อดำเนินการติดตั้งมัลแวร์ต่อไป
การสร้างความคงอยู่ (Persistence)
- T1543.003 - Create or Modify System Process: Windows Service: สคริปต์ PowerShell และ DLL จะสร้าง Scheduled Task เพื่อให้มัลแวร์สามารถทำงานได้อย่างต่อเนื่องทุกครั้งที่ระบบเริ่มทำงาน
การหลบหลีกการตรวจจับ (Defense Evasion)
- T1036.005 - Masquerading: Match Legitimate Name or Location: ไฟล์ LNK ถูกปลอมแปลงเป็นโฟลเดอร์เพื่อหลอกผู้ใช้
- T1027 - Obfuscated Files or Information: สคริปต์ PowerShell ถูกทำให้ซับซ้อน (obfuscated) เพื่อหลีกเลี่ยงการตรวจจับจากโปรแกรมป้องกันไวรัส
- T1553.002 - Code Signing: Code Signing: มัลแวร์อาจใช้ใบรับรอง Code Signing ที่ถูกต้องเพื่อเพิ่มความน่าเชื่อถือและหลบเลี่ยงการตรวจจับ
การเข้าถึงข้อมูลประจำตัว (Credential Access)
- ไม่มีระบุไว้ในรายงาน
การรวบรวมข้อมูล (Collection)
- T1005 - Data from Local System: มัลแวร์ SnakeDisk ถูกออกแบบมาเพื่อรวบรวมข้อมูลจากระบบภายในของเหยื่อ ซึ่งอาจรวมถึงเอกสารสำคัญและข้อมูลที่เป็นความลับ
การควบคุมและสั่งการ (Command and Control - C2
)
- T1071.001 - Application Layer Protocol: Web Protocols (HTTP): มัลแวร์ SnakeDisk ใช้โครงสร้างพื้นฐาน C2 แบบ HTTP เพื่อติดต่อกลับไปยังเซิร์ฟเวอร์ของผู้โจมตี
การขโมยข้อมูลออกไป (Exfiltration)
- T1041 - Exfiltration Over C2 Channel: ข้อมูลที่ถูกรวบรวมจะถูกส่งกลับไปยังเซิร์ฟเวอร์ C2 ของผู้โจมตีผ่านช่องทาง HTTP
ข้อแนะนำเชิงป้องกันและรับมือ
- การป้องกันเชิงรุก (Proactive Defense)
ห้ามเสียบอุปกรณ์ USB ที่ไม่รู้จักเข้ากับคอมพิวเตอร์ขององค์กรโดยเด็ดขาด
อบรมพนักงานให้ตระหนักถึงภัยคุกคามจากการหลอกลวงทางเสียง (vishing) และ
อีเมลฟิชชิง และวิธีการระบุไฟล์หรือลิงก์ที่น่าสงสัย
บังคับใช้การควบคุมอุปกรณ์ (device control) เพื่อจำกัดการใช้งานอุปกรณ์ USB ที่ไม่ได้รับอนุญาต
ใช้ Application Whitelisting เพื่ออนุญาตให้เฉพาะแอปพลิเคชันที่เชื่อถือได้เท่านั้นที่สามารถทำงานได้
ใช้ Multi-Factor Authentication (MFA) ที่ป้องกันการหลอกลวง (phishing-resistant MFA) สำหรับบัญชีสำคัญทั้งหมด
- การตรวจจับ (Detection)
เฝ้าระวังกิจกรรมที่ผิดปกติของ PowerShell และการสร้าง Scheduled Task โดยไม่ได้รับอนุญาต
ติดตั้งและอัปเดตระบบ Endpoint Detection and Response (EDR) และโปรแกรมป้องกันไวรัสให้ทันสมัยอยู่เสมอ เพื่อตรวจจับและบล็อกมัลแวร์และพฤติกรรมที่เป็นอันตราย
ตรวจสอบบันทึกการเชื่อมต่อเครือข่ายเพื่อหาการสื่อสารไปยังโดเมนหรือ IP Address ที่ไม่คุ้นเคย
- การรับมือ (Response)
หากสงสัยว่ามีการติดมัลแวร์ ให้แยกเครื่องที่ติดเชื้อออกจากเครือข่ายทันที เพื่อป้องกันการแพร่กระจายของมัลแวร์
ดำเนินการวิเคราะห์ทางนิติวิทยาศาสตร์ (forensic analysis) เพื่อระบุขอบเขตของการบุกรุกและกำจัดมัลแวร์ทั้งหมด
เปลี่ยนข้อมูลรับรอง (passwords) ของบัญชีที่อาจได้รับผลกระทบ
อ้างอิง: https://thehackernews.com/2025/09/mustang-panda-deploys-snakedisk-usb.html
