มีการตรวจพบกลุ่มผู้โจมตีที่ยังไม่เคยถูกตรวจพบ ซึ่งแอบอ้างเป็นบริษัทความปลอดภัยทางไซเบอร์ ESET จากสโลวาเกีย ในการโจมตีแบบฟิชชิ่งที่มุ่งเป้าไปที่หน่วยงานของยูเครน
แคมเปญดังกล่าว ถูกตรวจพบในเดือนพฤษภาคม 2025 และถูกติดตามโดยหน่วยงานรักษาความปลอดภัยภายใต้ชื่อ InedibleOchotense โดยระบุว่ากลุ่มนี้มีแนวทางเดียวกับกลุ่มผู้โจมตีจากรัสเซีย
ESET ระบุในรายงานกิจกรรม APT ประจำไตรมาสที่ 2 ปี 2025 – ไตรมาสที่ 3 ปี 2025 ซึ่งได้แชร์ข้อมูลกับ The Hacker News ระบุว่า กลุ่ม InedibleOchotense ได้ส่งอีเมล Spear-phishing และข้อความผ่านแอป Signal ซึ่งมีลิงก์ไปยังไฟล์ติดตั้ง ESET ที่ถูกฝังมัลแวร์ไปยังหน่วยงานยูเครนหลายแห่ง
มีการประเมินว่ากลุ่ม InedibleOchotense มีความเกี่ยวข้องกับการโจมตีที่ถูกรายงานโดย EclecticIQ ซึ่งเกี่ยวข้องกับการติดตั้งมัลแวร์ backdoor ที่ชื่อว่า BACKORDER และที่ถูกรายงานโดย CERT-UA ในชื่อ UAC-0212 ซึ่งทาง CERT-UA อธิบายว่าเป็นกลุ่มย่อยภายในกลุ่มผู้โจมตี Sandworm (หรือที่รู้จักกันในชื่อ APT44)
แม้ว่าข้อความในอีเมลจะเขียนเป็นภาษายูเครน แต่ ESET ระบุว่า บรรทัดแรกมีการใช้ภาษารัสเซีย ซึ่งน่าจะบ่งบอกถึงการพิมพ์ผิด หรือข้อผิดพลาดในการแปล โดยอีเมลดังกล่าวที่อ้างว่าเป็นของ ESET นั้น ทีมตรวจสอบของ ESET ได้ตรวจพบกระบวนการที่น่าสงสัยซึ่งเชื่อมโยงกับ email address และคอมพิวเตอร์ของพวกเขาที่อาจตกอยู่ในความเสี่ยง
กิจกรรมดังกล่าวเป็นความพยายามที่จะใช้ประโยชน์จากการใช้งานซอฟต์แวร์ ESET อย่างแพร่หลายในประเทศยูเครน และชื่อเสียงของแบรนด์ เพื่อหลอกล่อให้ผู้รับติดตั้งไฟล์ ซึ่งโฮสต์อยู่บนโดเมนต่าง ๆ เช่น esetsmart[.]com, esetscanner[.]com และ esetremover[.]com
ไฟล์ติดตั้งนี้ถูกออกแบบมาเพื่อ deliver โปรแกรม ESET AV Remover ที่มีความน่าเชื่อถือพร้อม ๆ กับมัลแวร์ backdoor C# ที่ถูกดัดแปลง ซึ่งมีชื่อว่า Kalambur (หรือ SUMBUR) โดยมัลแวร์นี้ใช้เครือข่าย Tor anonymity เพื่อควบคุม และสั่งการ รวมไปถึงยังสามารถยกเลิกใช้งาน OpenSSH และเปิดใช้งาน Remote Desktop Protocol (RDP) บนพอร์ต 3389 ได้อีกด้วย
เป็นที่น่าสังเกตว่า ในรายงานของ CERT-UA ที่เผยแพร่เมื่อเดือนที่แล้วได้ระบุว่า แคมเปญที่คล้ายกันนี้เป็นฝีมือของกลุ่ม UAC-0125 ซึ่งเป็นกลุ่มย่อยอีกกลุ่มหนึ่งที่อยู่ภายใต้ Sandworm
การโจมตีด้วย Sandworm Wiper ในยูเครน
ตามรายงานของ ESET กลุ่ม Sandworm ยังคงเดินหน้าโจมตีเป้าหมายในยูเครนอย่างต่อเนื่อง โดยได้ปล่อยมัลแวร์ประเภท Wiper สองตัว คือ ZEROLOT และ Sting ซึ่งมุ่งเป้าไปที่มหาวิทยาลัยแห่งหนึ่งที่ไม่ได้ระบุชื่อเมื่อเดือนเมษายน 2025 ตามมาด้วยการติดตั้งมัลแวร์ในลักษณะ data-wiping หลายประเภท ซึ่งมุ่งเป้าไปที่หน่วยงานภาครัฐ, พลังงาน, การขนส่ง และโลจิสติกส์ และภาคการเกษตร
รายงานยืนยันว่ากลุ่ม UAC-0099 ได้ดำเนินการเข้าถึงระบบในขั้นต้น และได้โอนเป้าหมายที่ตรวจสอบแล้วให้กับกลุ่ม Sandworm เพื่อดำเนินการในขั้นตอนต่อไป โดย ESET ระบุว่า การโจมตีในลักษณะ destructive เหล่านี้จากกลุ่ม Sandworm เป็นการเตือนว่ามัลแวร์ Wiper ยังคงเป็นเครื่องมือที่ถูกใช้อยู่บ่อยครั้งโดยกลุ่มผู้โจมตีที่มีแนวทางเดียวกับรัสเซียในยูเครน
RomCom ใช้ช่องโหว่ WinRAR Zero-Day ในการโจมตี
ผู้โจมตีอีกกลุ่มหนึ่งที่มีความเกี่ยวข้องกับรัสเซีย และมีความเคลื่อนไหวในช่วงเวลานี้คือ RomCom (หรือรู้จักกันในชื่อ Storm-0978, Tropical Scorpius, UNC2596, หรือ Void Rabisu) ซึ่งได้เริ่มแคมเปญ Spear-phishing ในกลางเดือนกรกฎาคม 2025 โดยใช้ช่องโหว่ของ WinRAR เป็นเครื่องมือ (CVE-2025-8088, คะแนน CVSS: 8.8) ในการโจมตีที่มุ่งเป้าไปยังบริษัทด้านการเงิน, การผลิต, การป้องกันประเทศ, การขนส่ง และโลจิสติกส์ในยุโรป และแคนาดา
ESET ระบุว่าการพยายามโจมตีผ่านช่องโหว่ที่ประสบความสำเร็จ ได้ปล่อย backdoors หลายประเภทที่กลุ่ม RomCom ใช้งานอยู่ เช่น SnipBot [หรือ SingleCamper หรือ RomCom RAT 5.0] และ RustyClaw รวมไปถึง Mythic agent
ในการวิเคราะห์รายละเอียดของกลุ่ม RomCom เมื่อปลายเดือนกันยายน 2025 ทาง AttackIQ ระบุว่า กลุ่มผู้โจมตีกลุ่มนี้คอยจับตาดูการพัฒนาทางภูมิรัฐศาสตร์ที่เกี่ยวข้องกับสงครามในยูเครนอย่างใกล้ชิด และใช้ประโยชน์จากข้อมูลเหล่านี้เพื่อรวบรวมข้อมูล credential และขโมยข้อมูลออกไป ซึ่งน่าจะทำไปเพื่อสนับสนุนฝ่ายรัสเซีย
เดิมที RomCom ได้รับการพัฒนาให้เป็นมัลแวร์ในลักษณะ e-crime commodity ซึ่งถูกออกแบบมาเพื่ออำนวยความสะดวกในการติดตั้ง และแฝงตัวของ payloads ที่เป็นอันตราย ทำให้สามารถรวมเข้าไปกับการโจมตีในรูปแบบ ransomware operations ที่เน้นการเรียกค่าไถ่ โดยนักวิจัยด้านความปลอดภัย Francis Guibernau ระบุว่า RomCom ได้เปลี่ยนจาก purely profit-driven commodity กลายเป็นเครื่องมือที่ถูกใช้ประโยชน์ในการโจมตีระดับประเทศ
ที่มา : thehackernews
You must be logged in to post a comment.