Amaranth Dragon กลุ่มแฮ็กเกอร์กลุ่มใหม่ที่มีความเชื่อมโยงกับกลุ่ม APT41 ซึ่งเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลจีน ได้ทำการโจมตีระบบโดยใช้การโจมตีจากช่องโหว่ CVE-2025-8088 ในโปรแกรม WinRAR เพื่อสอดแนมข้อมูลของหน่วยงานรัฐบาล และหน่วยงานบังคับใช้กฎหมาย
กลุ่มแฮ็กเกอร์ได้ใช้วิธีผสมผสานเครื่องมือทั่วไปที่ถูกต้อง เข้ากับโปรแกรมโหลดข้อมูลที่สร้างขึ้นเองอย่าง Amaranth Loader เพื่อส่ง Payload ที่ถูกเข้ารหัสมาจากเซิร์ฟเวอร์ C2 ซึ่งซ่อนอยู่หลังโครงสร้างพื้นฐานของ Cloudflare ทั้งนี้ก็เพื่อให้การระบุเป้าหมายมีความแม่นยำ และยากต่อการตรวจจับมากขึ้น
จากข้อมูลของนักวิจัยด้านความปลอดภัยจากบริษัท Check Point ระบุว่า กลุ่ม Amaranth Dragon มุ่งเป้าโจมตีองค์กรในประเทศสิงคโปร์, ไทย, อินโดนีเซีย กัมพูชา, ลาว และฟิลิปปินส์
ช่องโหว่ CVE-2025-8088 สามารถถูกใช้เพื่อเขียนไฟล์อันตรายลงในตำแหน่งใดก็ได้บนเครื่องเป้าหมาย โดยอาศัยฟีเจอร์ Alternate Data Streams (ADS) ของ Windows ซึ่งมีกลุ่มผู้ไม่หวังดีหลายกลุ่มนำช่องโหว่ดังกล่าวไปใช้ในการโจมตีแบบ Zero-day มาตั้งแต่ช่วงกลางปี 2025 เพื่อสร้างการฝังตัวอยู่ในระบบแบบถาวรด้วยการติดตั้งมัลแวร์ลงในโฟลเดอร์ Windows Startup
เมื่อสัปดาห์ที่ผ่านมา รายงานจาก Google Threat Intelligence Group (GTIG) ระบุว่า ช่องโหว่ CVE-2025-8088 ยังคงถูกใช้งานอย่างต่อเนื่องจากกลุ่มแฮ็กเกอร์หลายกลุ่ม รวมถึง RomCom, APT44, Turla และกลุ่มแฮ็กเกอร์อีกหลายกลุ่มที่มีความเชื่อมโยงกับจีน
ทางด้าน Check Point รายงานว่ากลุ่ม Amaranth Dragon เริ่มใช้การโจมตีจากช่องโหว่ของ WinRAR นี้มาตั้งแต่วันที่ 18 สิงหาคม 2025 เพียงแค่ 4 วันหลังจากที่มีโค้ดตัวอย่างที่ใช้งานได้จริงถูกเผยแพร่สู่สาธารณะ
อย่างไรก็ตาม ทีมนักวิจัยได้เฝ้าติดตามความเคลื่อนไหวของกลุ่มแฮ็กเกอร์นี้มาตั้งแต่เดือนมีนาคม 2025 และพบการโจมตีหลายครั้ง ซึ่งในแต่ละครั้งจะมีการจำกัดขอบเขตการโจมตีอยู่เพียงแค่ 1 หรือ 2 ประเทศเท่านั้น ผ่านการคัดกรองพื้นที่ทางภูมิศาสตร์ (Geofencing) อย่างเข้มงวด
นอกจากนี้ "เหยื่อล่อ" ที่ใช้ในการโจมตีมักจะถูกออกแบบมาให้สอดคล้องกับสถานการณ์ทางภูมิรัฐศาสตร์ หรือเหตุการณ์สำคัญในท้องถิ่นนั้น ๆ
สำหรับการโจมตีก่อนเดือนสิงหาคม 2025 กลุ่ม Amaranth Dragon จะอาศัยการส่งไฟล์ ZIP ที่ภายในประกอบด้วยไฟล์ประเภท .LNK และ .BAT ซึ่งมี Scripts สำหรับถอดรหัส และรันโปรแกรม Loader ของทางกลุ่ม
แต่เมื่อช่องโหว่ CVE-2025-8088 เริ่มถูกเผยแพร่ กลุ่มแฮ็กเกอร์ดังกล่าวก็ได้เปลี่ยนมาใช้ประโยชน์จากช่องโหว่เพื่อฝัง Script อันตรายลงในโฟลเดอร์ Startup โดยตรง และในบางกรณี ยังมีการสร้าง Registry Run key ควบคู่ไปด้วยเพื่อให้แน่ใจว่ามัลแวร์จะยังคงทำงานได้แม้ระบบป้องกันจะตรวจพบจุดใดจุดหนึ่ง
กลไกเหล่านี้จะทำการเรียกใช้ไฟล์ตระกูล Executable ที่มี Digitally Signed เพื่อรันมัลแวร์ Amaranth Loader ผ่านเทคนิคที่เรียกว่า DLL-sideloading
Loader ดังกล่าวจะไปดึง Payload ที่ถูกเข้ารหัสแบบ AES มาจาก URL ภายนอก และทำการถอดรหัสภายในหน่วยความจำ ซึ่งในหลายกรณี Payload ที่พบคือ Framework หลังการโจมตีที่ชื่อว่า Havoc C2 ซึ่งถูกนำมาใช้ในทางที่ผิดในการโจมตีทางไซเบอร์มาตั้งแต่ปี 2023 รวมถึงเคยพบในการโจมตีรูปแบบ ClickFix อีกด้วย
เพื่อเป็นการ Filter ปริมาณ Traffic จากประเทศที่อยู่นอกเหนือขอบเขตเป้าหมาย ผู้โจมตีได้ใช้เซิร์ฟเวอร์ C2 ที่ซ่อนอยู่หลังโครงสร้างพื้นฐานของ Cloudflare ซึ่งตั้งค่าให้ยอมรับเฉพาะการเชื่อมต่อที่มาจากภูมิภาคเป้าหมายเท่านั้น
นอกจากนี้ Check Point ยังตรวจพบเครื่องมือควบคุมระยะไกล (RAT) ตัวใหม่ที่ใช้ชื่อว่า TGAmaranth RAT ซึ่งถูกนำมาใช้ในการโจมตีช่วงหลังของกลุ่ม Amaranth Dragon โดย RAT ตัวนี้จะใช้ Telegram bot ในการรับส่งคำสั่ง และควบคุมการทำงาน
TGAmaranth ยังรองรับความสามารถในการอัปโหลด/ดาวน์โหลดไฟล์, การถ่ายภาพหน้าจอ และการแสดงรายการ process ที่กำลังทำงานอยู่บนเครื่อง Host
มัลแวร์ตัวนี้สามารถหลบเลี่ยงการตรวจจับได้โดยการใช้มาตรการป้องกันที่หลากหลาย ทั้งการป้องกันการ Debugging, โปรแกรม Antivirus และโซลูชัน Endpoint detection and response (EDR) ซึ่งรวมถึงการแทนที่ไฟล์ ntdll.dll (ซึ่งเป็น Library ระบบของ Windows ที่ใช้สำหรับ low-level interactions) ด้วยสำเนาที่ไม่ถูกมองว่าเป็นอันตราย
เนื่องจากการแพร่ระบาดอย่างหนักของช่องโหว่ CVE-2025-8088 โดยกลุ่มผู้ไม่หวังดีหลายกลุ่ม องค์กรต่าง ๆ จึงควรเร่งอัปเกรดโปรแกรม WinRAR เป็นเวอร์ชัน 7.13 หรือสูงกว่า (เวอร์ชันล่าสุดคือ 7.20) ซึ่งเป็นเวอร์ชันที่ได้รับการแก้ไขช่องโหว่ดังกล่าวเรียบร้อยแล้ว
Check Point ระบุว่า การโจมตีของกลุ่ม Amaranth Dragon แสดงให้เห็นว่ากลุ่มผู้โจมตีกลุ่มนี้มีความเชี่ยวชาญทางเทคนิค และมีระเบียบวินัยในการปฏิบัติงาน อีกทั้งยังสามารถปรับเปลี่ยนกลยุทธ์ และโครงสร้างพื้นฐานเพื่อให้เกิดผลกระทบสูงสุดต่อเป้าหมาย
ในรายงานของนักวิจัยยังประกอบไปด้วย Indicators of Compromise (IoC) สำหรับตรวจสอบไฟล์ Archives, URL, ไฟล์สนับสนุนต่าง ๆ รวมถึงมัลแวร์ที่ใช้ในการโจมตี นอกจากนี้ยังมี YARA rules ให้บริการเพื่อช่วยให้สามารถตรวจจับการโจมตีของกลุ่ม Amaranth Dragon ได้อีกด้วย
ที่มา : bleepingcomputer
You must be logged in to post a comment.