“Phantom Taurus — กลุ่มแฮกเกอร์จีนเจาะระบบรัฐบาลเอเชียใต้ด้วยมัลแวร์ NET-STAR สุดล้ำ”
นักวิจัยด้านความปลอดภัยจาก Unit 42 ของ Palo Alto Networks ได้เปิดเผยการเคลื่อนไหวของกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐจีนในชื่อ “Phantom Taurus” ซึ่งมีเป้าหมายโจมตีหน่วยงานรัฐบาลในเอเชียใต้และตะวันออกกลาง โดยเฉพาะกระทรวงการต่างประเทศ สถานทูต และระบบฐานข้อมูลของรัฐบาลในอัฟกานิสถานและปากีสถาน
Phantom Taurus ใช้มัลแวร์ใหม่ที่ชื่อว่า NET-STAR ซึ่งถูกออกแบบมาอย่างซับซ้อนโดยใช้สถาปัตยกรรม .NET เพื่อหลบเลี่ยงการตรวจจับ และสามารถเจาะระบบเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ตได้อย่างมีประสิทธิภาพ โดยมัลแวร์นี้สามารถสอดแนมอีเมล ข้อมูลภายใน และแม้แต่ฐานข้อมูล SQL Server ผ่านสคริปต์เฉพาะที่ชื่อว่า mssq.bat ซึ่งรันผ่าน WMI (Windows Management Instrumentation)
กลุ่มนี้ยังมีความเชื่อมโยงกับกลุ่ม APT อื่น ๆ ของจีน เช่น BackdoorDiplomacy, Iron Taurus, Starchy Taurus และ Stately Taurus (หรือที่รู้จักกันในชื่อ Mustang Panda) โดยใช้โครงสร้างพื้นฐานและเทคนิคที่คล้ายกัน เช่น spear-phishing, malware loader และ C2 domains
แม้จะยังไม่ทราบแน่ชัดว่า Phantom Taurusเจาะระบบได้อย่างไร แต่คาดว่าใช้วิธีเดิม ๆ เช่น การส่งอีเมลหลอกลวง (spear-phishing) หรือการใช้ช่องโหว่ zero-day ซึ่งเป็นเทคนิคที่กลุ่มแฮกเกอร์ระดับรัฐนิยมใช้ในการโจมตีเป้าหมายที่มีมูลค่าสูง
จีนปฏิเสธข้อกล่าวหาเช่นเคย โดยระบุว่าสหรัฐฯ ต่างหากที่เป็น “cyber bully” ตัวจริงของโลก และกล่าวหาว่าข้อมูลเหล่านี้เป็นการบิดเบือนจากฝั่งตะวันตก
ข้อมูลสำคัญจากข่าว
Phantom Taurus เป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐจีน
เป้าหมายหลักคือหน่วยงานรัฐบาลในเอเชียใต้และตะวันออกกลาง เช่น อัฟกานิสถานและปากีสถาน
ใช้มัลแวร์ NET-STAR ที่ออกแบบด้วย .NET เพื่อหลบเลี่ยงการตรวจจับ
NET-STAR สามารถเจาะระบบเซิร์ฟเวอร์และฐานข้อมูล SQL Server ผ่าน WMI
ใช้สคริปต์ mssq.bat เพื่อดึงข้อมูลจากฐานข้อมูลโดยตรง
มีความเชื่อมโยงกับกลุ่ม APT อื่น ๆ ของจีน เช่น Mustang Panda และ BackdoorDiplomacy
เทคนิคที่ใช้รวมถึง spear-phishing, malware loader และการควบคุมผ่าน C2 domains
จีนปฏิเสธข้อกล่าวหาและกล่าวหาสหรัฐฯ ว่าเป็นผู้โจมตีไซเบอร์ตัวจริง
ข้อมูลเสริมจากภายนอก
Phantom Taurus เคยถูกระบุในปี 2023 ภายใต้ชื่อ CL-STA-0043 ก่อนจะได้รับสถานะเป็นกลุ่มเต็มรูปแบบในปี 2025
การใช้ WMI เป็นเทคนิค “living-off-the-land” ที่ใช้เครื่องมือในระบบเพื่อหลบเลี่ยงการตรวจจับ
การเจาะฐานข้อมูลโดยตรงสะท้อนถึงการเปลี่ยนยุทธศาสตร์จากการขโมยอีเมลไปสู่การเก็บข้อมูลเชิงโครงสร้าง
กลุ่ม APT ของจีนมักมีเป้าหมายด้านการทูต ความมั่นคง และเศรษฐกิจ
การใช้มัลแวร์แบบ custom เช่น NET-STAR แสดงถึงระดับความสามารถที่สูงมากของกลุ่ม
https://www.techradar.com/pro/security/chinese-hackers-hit-government-systems-stealing-emails-and-more-heres-what-we-know
นักวิจัยด้านความปลอดภัยจาก Unit 42 ของ Palo Alto Networks ได้เปิดเผยการเคลื่อนไหวของกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐจีนในชื่อ “Phantom Taurus” ซึ่งมีเป้าหมายโจมตีหน่วยงานรัฐบาลในเอเชียใต้และตะวันออกกลาง โดยเฉพาะกระทรวงการต่างประเทศ สถานทูต และระบบฐานข้อมูลของรัฐบาลในอัฟกานิสถานและปากีสถาน
Phantom Taurus ใช้มัลแวร์ใหม่ที่ชื่อว่า NET-STAR ซึ่งถูกออกแบบมาอย่างซับซ้อนโดยใช้สถาปัตยกรรม .NET เพื่อหลบเลี่ยงการตรวจจับ และสามารถเจาะระบบเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ตได้อย่างมีประสิทธิภาพ โดยมัลแวร์นี้สามารถสอดแนมอีเมล ข้อมูลภายใน และแม้แต่ฐานข้อมูล SQL Server ผ่านสคริปต์เฉพาะที่ชื่อว่า mssq.bat ซึ่งรันผ่าน WMI (Windows Management Instrumentation)
กลุ่มนี้ยังมีความเชื่อมโยงกับกลุ่ม APT อื่น ๆ ของจีน เช่น BackdoorDiplomacy, Iron Taurus, Starchy Taurus และ Stately Taurus (หรือที่รู้จักกันในชื่อ Mustang Panda) โดยใช้โครงสร้างพื้นฐานและเทคนิคที่คล้ายกัน เช่น spear-phishing, malware loader และ C2 domains
แม้จะยังไม่ทราบแน่ชัดว่า Phantom Taurusเจาะระบบได้อย่างไร แต่คาดว่าใช้วิธีเดิม ๆ เช่น การส่งอีเมลหลอกลวง (spear-phishing) หรือการใช้ช่องโหว่ zero-day ซึ่งเป็นเทคนิคที่กลุ่มแฮกเกอร์ระดับรัฐนิยมใช้ในการโจมตีเป้าหมายที่มีมูลค่าสูง
จีนปฏิเสธข้อกล่าวหาเช่นเคย โดยระบุว่าสหรัฐฯ ต่างหากที่เป็น “cyber bully” ตัวจริงของโลก และกล่าวหาว่าข้อมูลเหล่านี้เป็นการบิดเบือนจากฝั่งตะวันตก
ข้อมูลสำคัญจากข่าว
Phantom Taurus เป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐจีน
เป้าหมายหลักคือหน่วยงานรัฐบาลในเอเชียใต้และตะวันออกกลาง เช่น อัฟกานิสถานและปากีสถาน
ใช้มัลแวร์ NET-STAR ที่ออกแบบด้วย .NET เพื่อหลบเลี่ยงการตรวจจับ
NET-STAR สามารถเจาะระบบเซิร์ฟเวอร์และฐานข้อมูล SQL Server ผ่าน WMI
ใช้สคริปต์ mssq.bat เพื่อดึงข้อมูลจากฐานข้อมูลโดยตรง
มีความเชื่อมโยงกับกลุ่ม APT อื่น ๆ ของจีน เช่น Mustang Panda และ BackdoorDiplomacy
เทคนิคที่ใช้รวมถึง spear-phishing, malware loader และการควบคุมผ่าน C2 domains
จีนปฏิเสธข้อกล่าวหาและกล่าวหาสหรัฐฯ ว่าเป็นผู้โจมตีไซเบอร์ตัวจริง
ข้อมูลเสริมจากภายนอก
Phantom Taurus เคยถูกระบุในปี 2023 ภายใต้ชื่อ CL-STA-0043 ก่อนจะได้รับสถานะเป็นกลุ่มเต็มรูปแบบในปี 2025
การใช้ WMI เป็นเทคนิค “living-off-the-land” ที่ใช้เครื่องมือในระบบเพื่อหลบเลี่ยงการตรวจจับ
การเจาะฐานข้อมูลโดยตรงสะท้อนถึงการเปลี่ยนยุทธศาสตร์จากการขโมยอีเมลไปสู่การเก็บข้อมูลเชิงโครงสร้าง
กลุ่ม APT ของจีนมักมีเป้าหมายด้านการทูต ความมั่นคง และเศรษฐกิจ
การใช้มัลแวร์แบบ custom เช่น NET-STAR แสดงถึงระดับความสามารถที่สูงมากของกลุ่ม
https://www.techradar.com/pro/security/chinese-hackers-hit-government-systems-stealing-emails-and-more-heres-what-we-know
🕵️♂️ “Phantom Taurus — กลุ่มแฮกเกอร์จีนเจาะระบบรัฐบาลเอเชียใต้ด้วยมัลแวร์ NET-STAR สุดล้ำ”
นักวิจัยด้านความปลอดภัยจาก Unit 42 ของ Palo Alto Networks ได้เปิดเผยการเคลื่อนไหวของกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐจีนในชื่อ “Phantom Taurus” ซึ่งมีเป้าหมายโจมตีหน่วยงานรัฐบาลในเอเชียใต้และตะวันออกกลาง โดยเฉพาะกระทรวงการต่างประเทศ สถานทูต และระบบฐานข้อมูลของรัฐบาลในอัฟกานิสถานและปากีสถาน
Phantom Taurus ใช้มัลแวร์ใหม่ที่ชื่อว่า NET-STAR ซึ่งถูกออกแบบมาอย่างซับซ้อนโดยใช้สถาปัตยกรรม .NET เพื่อหลบเลี่ยงการตรวจจับ และสามารถเจาะระบบเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ตได้อย่างมีประสิทธิภาพ โดยมัลแวร์นี้สามารถสอดแนมอีเมล ข้อมูลภายใน และแม้แต่ฐานข้อมูล SQL Server ผ่านสคริปต์เฉพาะที่ชื่อว่า mssq.bat ซึ่งรันผ่าน WMI (Windows Management Instrumentation)
กลุ่มนี้ยังมีความเชื่อมโยงกับกลุ่ม APT อื่น ๆ ของจีน เช่น BackdoorDiplomacy, Iron Taurus, Starchy Taurus และ Stately Taurus (หรือที่รู้จักกันในชื่อ Mustang Panda) โดยใช้โครงสร้างพื้นฐานและเทคนิคที่คล้ายกัน เช่น spear-phishing, malware loader และ C2 domains
แม้จะยังไม่ทราบแน่ชัดว่า Phantom Taurusเจาะระบบได้อย่างไร แต่คาดว่าใช้วิธีเดิม ๆ เช่น การส่งอีเมลหลอกลวง (spear-phishing) หรือการใช้ช่องโหว่ zero-day ซึ่งเป็นเทคนิคที่กลุ่มแฮกเกอร์ระดับรัฐนิยมใช้ในการโจมตีเป้าหมายที่มีมูลค่าสูง
จีนปฏิเสธข้อกล่าวหาเช่นเคย โดยระบุว่าสหรัฐฯ ต่างหากที่เป็น “cyber bully” ตัวจริงของโลก และกล่าวหาว่าข้อมูลเหล่านี้เป็นการบิดเบือนจากฝั่งตะวันตก
✅ ข้อมูลสำคัญจากข่าว
➡️ Phantom Taurus เป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐจีน
➡️ เป้าหมายหลักคือหน่วยงานรัฐบาลในเอเชียใต้และตะวันออกกลาง เช่น อัฟกานิสถานและปากีสถาน
➡️ ใช้มัลแวร์ NET-STAR ที่ออกแบบด้วย .NET เพื่อหลบเลี่ยงการตรวจจับ
➡️ NET-STAR สามารถเจาะระบบเซิร์ฟเวอร์และฐานข้อมูล SQL Server ผ่าน WMI
➡️ ใช้สคริปต์ mssq.bat เพื่อดึงข้อมูลจากฐานข้อมูลโดยตรง
➡️ มีความเชื่อมโยงกับกลุ่ม APT อื่น ๆ ของจีน เช่น Mustang Panda และ BackdoorDiplomacy
➡️ เทคนิคที่ใช้รวมถึง spear-phishing, malware loader และการควบคุมผ่าน C2 domains
➡️ จีนปฏิเสธข้อกล่าวหาและกล่าวหาสหรัฐฯ ว่าเป็นผู้โจมตีไซเบอร์ตัวจริง
✅ ข้อมูลเสริมจากภายนอก
➡️ Phantom Taurus เคยถูกระบุในปี 2023 ภายใต้ชื่อ CL-STA-0043 ก่อนจะได้รับสถานะเป็นกลุ่มเต็มรูปแบบในปี 2025
➡️ การใช้ WMI เป็นเทคนิค “living-off-the-land” ที่ใช้เครื่องมือในระบบเพื่อหลบเลี่ยงการตรวจจับ
➡️ การเจาะฐานข้อมูลโดยตรงสะท้อนถึงการเปลี่ยนยุทธศาสตร์จากการขโมยอีเมลไปสู่การเก็บข้อมูลเชิงโครงสร้าง
➡️ กลุ่ม APT ของจีนมักมีเป้าหมายด้านการทูต ความมั่นคง และเศรษฐกิจ
➡️ การใช้มัลแวร์แบบ custom เช่น NET-STAR แสดงถึงระดับความสามารถที่สูงมากของกลุ่ม
https://www.techradar.com/pro/security/chinese-hackers-hit-government-systems-stealing-emails-and-more-heres-what-we-know
0 Comments
0 Shares
105 Views
0 Reviews
Thai