เรื่องเล่าจากโลกไซเบอร์: SquidLoader แฝงตัวในกล้อง Kubernetes ปล่อยมัลแวร์เข้าสถาบันการเงิน

การโจมตีเริ่มจากอีเมลภาษาจีนที่แนบไฟล์ RAR มีรหัสผ่าน พร้อมแนบข้อความหลอกว่าเป็น “แบบฟอร์มลงทะเบียนธุรกิจเงินตราต่างประเทศผ่าน Bond Connect” เพื่อหลอกให้ผู้รับเปิดไฟล์ซึ่งปลอมเป็นเอกสาร Word แต่จริง ๆ แล้วเป็น executable ที่ใช้ชื่อและ icon ของ AMDRSServ.exe

หลังจากเปิดใช้งาน ตัวมัลแวร์จะ:
1️⃣ ปลดล็อก payload หลัก
2️⃣ เชื่อมต่อกับ Command & Control (C2) server โดยใช้ path ที่เลียนแบบ API ของ Kubernetes เช่น /api/v1/namespaces/kube-system/services เพื่อหลบการตรวจสอบ
3️⃣ ส่งข้อมูลเครื่องกลับไป เช่น IP, username, OS
4️⃣ ดาวน์โหลดและเปิดใช้งาน Cobalt Strike Beacon เพื่อเข้าควบคุมเครื่องแบบต่อเนื่องผ่าน server สำรอง (เช่น 182.92.239.24)

มีการพบตัวอย่างแบบเดียวกันในสิงคโปร์และออสเตรเลีย ทำให้คาดว่าเป็น แคมเปญระดับภูมิภาคหรือทั่วโลก ที่ใช้เป้าหมายเป็นสถาบันการเงิน

Trellix พบแคมเปญมัลแวร์ SquidLoader โจมตีสถาบันการเงินฮ่องกง
โดยใช้ spear-phishing mail หลอกเป็นแบบฟอร์ม Bond Connect

อีเมลเป็นภาษาจีน พร้อมแนบไฟล์ RAR มีรหัสผ่านอยู่ในเนื้ออีเมล
ช่วยหลบระบบตรวจสอบอีเมลอัตโนมัติได้ระดับหนึ่ง

ไฟล์ปลอมตัวเป็น Word document icon และใช้ชื่อ executable จาก AMD
เช่น AMDRSServ.exe เพื่อไม่ให้ผู้ใช้งานสงสัย

ระบบมัลแวร์มี 5 ขั้นตอน รวมถึงการเชื่อมต่อกับ C2 และเรียกใช้ Cobalt Strike
เพื่อควบคุมเครื่องเป้าหมายแบบต่อเนื่องและหลบตรวจจับได้ดี

Path ที่ใช้เชื่อมต่อ C2 ปลอมเป็น API ของ Kubernetes
ช่วยกลืนเนียนกับทราฟฟิกเครือข่ายในองค์กรที่ใช้ container

ตัวอย่างอื่นถูกพบในสิงคโปร์และออสเตรเลีย
แสดงว่าเป็นแคมเปญเชิงรุกระดับภูมิภาคหรือข้ามชาติ

SquidLoader ใช้เทคนิคหลบตรวจจับขั้นสูง เช่น anti-analysis และ anti-debugging
ตรวจหาเครื่องมืออย่าง IDA Pro, Windbg และ username แบบ sandbox

หากตรวจพบว่าตัวเองอยู่ใน sandbox หรือเครื่องวิเคราะห์ ตัวมัลแวร์จะปิดตัวเองทันที
พร้อมแสดงข้อความหลอกว่า “ไฟล์เสีย เปิดไม่ได้” เพื่อหลอก sandbox

ใช้เทคนิค Asynchronous Procedure Calls (APC) กับ thread ที่ตั้ง sleep ยาว
ทำให้ emulator และ sandbox ทำงานไม่ถูกต้องและวิเคราะห์ไม่ได้

ระดับการตรวจจับใกล้ศูนย์บน VirusTotal ณ วันที่วิเคราะห์
หมายถึงองค์กรส่วนใหญ่ยังไม่รู้ว่าตัวเองถูกเจาะหรือเสี่ยง

หากไม่ใช้ระบบตรวจจับพฤติกรรมหรือ endpoint protection เชิงลึก จะไม่สามารถระบุหรือหยุดการโจมตีได้
โดยเฉพาะองค์กรที่พึ่ง signature-based antivirus แบบเดิม

https://hackread.com/squidloader-malware-hits-hong-kong-financial-firms/
🎙️ เรื่องเล่าจากโลกไซเบอร์: SquidLoader แฝงตัวในกล้อง Kubernetes ปล่อยมัลแวร์เข้าสถาบันการเงิน การโจมตีเริ่มจากอีเมลภาษาจีนที่แนบไฟล์ RAR มีรหัสผ่าน พร้อมแนบข้อความหลอกว่าเป็น “แบบฟอร์มลงทะเบียนธุรกิจเงินตราต่างประเทศผ่าน Bond Connect” เพื่อหลอกให้ผู้รับเปิดไฟล์ซึ่งปลอมเป็นเอกสาร Word แต่จริง ๆ แล้วเป็น executable ที่ใช้ชื่อและ icon ของ AMDRSServ.exe หลังจากเปิดใช้งาน ตัวมัลแวร์จะ: 1️⃣ ปลดล็อก payload หลัก 2️⃣ เชื่อมต่อกับ Command & Control (C2) server โดยใช้ path ที่เลียนแบบ API ของ Kubernetes เช่น /api/v1/namespaces/kube-system/services เพื่อหลบการตรวจสอบ 3️⃣ ส่งข้อมูลเครื่องกลับไป เช่น IP, username, OS 4️⃣ ดาวน์โหลดและเปิดใช้งาน Cobalt Strike Beacon เพื่อเข้าควบคุมเครื่องแบบต่อเนื่องผ่าน server สำรอง (เช่น 182.92.239.24) มีการพบตัวอย่างแบบเดียวกันในสิงคโปร์และออสเตรเลีย ทำให้คาดว่าเป็น แคมเปญระดับภูมิภาคหรือทั่วโลก ที่ใช้เป้าหมายเป็นสถาบันการเงิน ✅ Trellix พบแคมเปญมัลแวร์ SquidLoader โจมตีสถาบันการเงินฮ่องกง ➡️ โดยใช้ spear-phishing mail หลอกเป็นแบบฟอร์ม Bond Connect ✅ อีเมลเป็นภาษาจีน พร้อมแนบไฟล์ RAR มีรหัสผ่านอยู่ในเนื้ออีเมล ➡️ ช่วยหลบระบบตรวจสอบอีเมลอัตโนมัติได้ระดับหนึ่ง ✅ ไฟล์ปลอมตัวเป็น Word document icon และใช้ชื่อ executable จาก AMD ➡️ เช่น AMDRSServ.exe เพื่อไม่ให้ผู้ใช้งานสงสัย ✅ ระบบมัลแวร์มี 5 ขั้นตอน รวมถึงการเชื่อมต่อกับ C2 และเรียกใช้ Cobalt Strike ➡️ เพื่อควบคุมเครื่องเป้าหมายแบบต่อเนื่องและหลบตรวจจับได้ดี ✅ Path ที่ใช้เชื่อมต่อ C2 ปลอมเป็น API ของ Kubernetes ➡️ ช่วยกลืนเนียนกับทราฟฟิกเครือข่ายในองค์กรที่ใช้ container ✅ ตัวอย่างอื่นถูกพบในสิงคโปร์และออสเตรเลีย ➡️ แสดงว่าเป็นแคมเปญเชิงรุกระดับภูมิภาคหรือข้ามชาติ ‼️ SquidLoader ใช้เทคนิคหลบตรวจจับขั้นสูง เช่น anti-analysis และ anti-debugging ⛔ ตรวจหาเครื่องมืออย่าง IDA Pro, Windbg และ username แบบ sandbox ‼️ หากตรวจพบว่าตัวเองอยู่ใน sandbox หรือเครื่องวิเคราะห์ ตัวมัลแวร์จะปิดตัวเองทันที ⛔ พร้อมแสดงข้อความหลอกว่า “ไฟล์เสีย เปิดไม่ได้” เพื่อหลอก sandbox ‼️ ใช้เทคนิค Asynchronous Procedure Calls (APC) กับ thread ที่ตั้ง sleep ยาว ⛔ ทำให้ emulator และ sandbox ทำงานไม่ถูกต้องและวิเคราะห์ไม่ได้ ‼️ ระดับการตรวจจับใกล้ศูนย์บน VirusTotal ณ วันที่วิเคราะห์ ⛔ หมายถึงองค์กรส่วนใหญ่ยังไม่รู้ว่าตัวเองถูกเจาะหรือเสี่ยง ‼️ หากไม่ใช้ระบบตรวจจับพฤติกรรมหรือ endpoint protection เชิงลึก จะไม่สามารถระบุหรือหยุดการโจมตีได้ ⛔ โดยเฉพาะองค์กรที่พึ่ง signature-based antivirus แบบเดิม https://hackread.com/squidloader-malware-hits-hong-kong-financial-firms/
HACKREAD.COM
SquidLoader Malware Campaign Hits Hong Kong Financial Firms
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
0 Comments 0 Shares 48 Views 0 Reviews