เตือนภัยไซเบอร์! APT-C-60 ปล่อย SpyGlace เวอร์ชันใหม่ โจมตีองค์กรญี่ปุ่นผ่านไฟล์ VHDX และ GitHub
ช่วงกลางปี 2025 เกิดเหตุการณ์ที่น่าจับตามองในโลกไซเบอร์ เมื่อกลุ่มแฮกเกอร์ระดับชาติ APT-C-60 กลับมาอีกครั้งพร้อมแคมเปญจารกรรมข้อมูลที่ซับซ้อนยิ่งขึ้น โดยมุ่งเป้าไปยังองค์กรในญี่ปุ่นผ่านอีเมลหลอกลวงที่แนบไฟล์ VHDX อันตราย พร้อมใช้ GitHub เป็นช่องทางสื่อสารกับมัลแวร์ SpyGlace เวอร์ชันใหม่ที่พัฒนาให้ล้ำลึกและแนบเนียนกว่าเดิม
แฮกเกอร์ส่งอีเมลปลอมตัวเป็นผู้สมัครงานไปยังฝ่าย HR ขององค์กรเป้าหมาย โดยแนบไฟล์ VHDX ที่ภายในมีไฟล์ LNK (shortcut) ซึ่งเมื่อเปิดขึ้นจะเรียกใช้โปรแกรม gcmd.exe ของ Git เพื่อรันสคริปต์ glog.txt ที่ถูกเข้ารหัสไว้
สคริปต์นี้จะแสดงเอกสารหลอกตา สร้างไฟล์ และรันมัลแวร์ต่อเนื่อง โดยมัลแวร์จะติดต่อกับ StatCounter เพื่อระบุตัวเครื่องเหยื่อ และใช้ GitHub เป็นช่องทางสั่งการผ่านไฟล์ .txt ที่ตั้งชื่อตามหมายเลขเครื่องและชื่อคอมพิวเตอร์
SpyGlace เวอร์ชันใหม่ (3.1.12–3.1.14) ถูกปรับปรุงให้ซับซ้อนขึ้น ทั้งในด้านการเข้ารหัส การหลบเลี่ยงการตรวจจับ และการคงอยู่ในระบบ โดยใช้เทคนิคใหม่ เช่น การเปลี่ยน path การรันอัตโนมัติ การซ่อนข้อมูลในไฟล์ Clouds.db และการเข้ารหัสแบบผสมผสานหลายชั้น
สาระเพิ่มเติมจากภายนอก
การใช้ GitHub เป็นช่องทางควบคุมมัลแวร์ (C2) เป็นแนวโน้มที่เพิ่มขึ้น เพราะ GitHub เป็นบริการที่เชื่อถือได้และยากต่อการบล็อก
การแนบไฟล์ VHDX (Virtual Hard Disk) ในอีเมลเป็นเทคนิคที่ช่วยหลบเลี่ยงระบบกรองอีเมลทั่วไป เพราะไม่ใช่ไฟล์แนบที่มักถูกตรวจสอบ
การใช้ binary ที่ถูกต้องตามลิขสิทธิ์ เช่น gcmd.exe ของ Git เป็นเทคนิค “Living off the Land” ที่ช่วยให้มัลแวร์ไม่ถูกตรวจจับโดยโปรแกรมป้องกันไวรัส
วิธีการโจมตีของ APT-C-60
ส่งอีเมลปลอมตัวเป็นผู้สมัครงาน
แนบไฟล์ VHDX ที่มี LNK เรียกใช้ gcmd.exe
รันสคริปต์ glog.txt เพื่อโหลดมัลแวร์
ใช้ StatCounter และ GitHub เป็นช่องทางสื่อสาร
ความสามารถใหม่ของ SpyGlace
เพิ่มคำสั่งใหม่ “uld” สำหรับโหลดและลบโมดูล
เปลี่ยน path การรันอัตโนมัติไปยัง %appdata%
ซ่อนข้อมูลในไฟล์ Clouds.db
ใช้การเข้ารหัสหลายชั้น: XOR + SUB, AES-128-CBC, BASE64 + RC4 แบบปรับแต่ง
จุดเด่นของแคมเปญนี้
ใช้ GitHub เป็น C2 channel
ใช้ชื่อผู้ใช้ “GOLDBAR” ที่เคยพบในแคมเปญก่อนหน้า
เนื้อหาอีเมลหลอกลวงมีความสมจริงสูง
มีการเก็บ log และ commit บน GitHub อย่างเป็นระบบ
คำเตือนสำหรับองค์กร
อย่าเปิดไฟล์ VHDX ที่แนบมากับอีเมลจากบุคคลแปลกหน้า
ควรตรวจสอบการใช้งาน GitHub ในระบบภายใน
ฝึกอบรมพนักงาน HR ให้รู้เท่าทัน spear-phishing
ใช้ระบบ EDR ที่สามารถตรวจจับพฤติกรรมผิดปกติของ binary ที่ถูกต้องตามลิขสิทธิ์
การโจมตีครั้งนี้แสดงให้เห็นถึงความซับซ้อนและความแนบเนียนของภัยคุกคามไซเบอร์ยุคใหม่ ที่ไม่เพียงแค่ใช้เทคนิคขั้นสูง แต่ยังอาศัยความเข้าใจในพฤติกรรมของผู้ใช้งานและระบบองค์กรอย่างลึกซึ้ง… และนั่นคือเหตุผลที่เราทุกคนต้องตื่นตัวมากกว่าที่เคย
https://securityonline.info/apt-c-60-targets-japan-new-spyglace-malware-uses-vhdx-lnk-and-github-tasking-for-persistent-espionage/
ช่วงกลางปี 2025 เกิดเหตุการณ์ที่น่าจับตามองในโลกไซเบอร์ เมื่อกลุ่มแฮกเกอร์ระดับชาติ APT-C-60 กลับมาอีกครั้งพร้อมแคมเปญจารกรรมข้อมูลที่ซับซ้อนยิ่งขึ้น โดยมุ่งเป้าไปยังองค์กรในญี่ปุ่นผ่านอีเมลหลอกลวงที่แนบไฟล์ VHDX อันตราย พร้อมใช้ GitHub เป็นช่องทางสื่อสารกับมัลแวร์ SpyGlace เวอร์ชันใหม่ที่พัฒนาให้ล้ำลึกและแนบเนียนกว่าเดิม
แฮกเกอร์ส่งอีเมลปลอมตัวเป็นผู้สมัครงานไปยังฝ่าย HR ขององค์กรเป้าหมาย โดยแนบไฟล์ VHDX ที่ภายในมีไฟล์ LNK (shortcut) ซึ่งเมื่อเปิดขึ้นจะเรียกใช้โปรแกรม gcmd.exe ของ Git เพื่อรันสคริปต์ glog.txt ที่ถูกเข้ารหัสไว้
สคริปต์นี้จะแสดงเอกสารหลอกตา สร้างไฟล์ และรันมัลแวร์ต่อเนื่อง โดยมัลแวร์จะติดต่อกับ StatCounter เพื่อระบุตัวเครื่องเหยื่อ และใช้ GitHub เป็นช่องทางสั่งการผ่านไฟล์ .txt ที่ตั้งชื่อตามหมายเลขเครื่องและชื่อคอมพิวเตอร์
SpyGlace เวอร์ชันใหม่ (3.1.12–3.1.14) ถูกปรับปรุงให้ซับซ้อนขึ้น ทั้งในด้านการเข้ารหัส การหลบเลี่ยงการตรวจจับ และการคงอยู่ในระบบ โดยใช้เทคนิคใหม่ เช่น การเปลี่ยน path การรันอัตโนมัติ การซ่อนข้อมูลในไฟล์ Clouds.db และการเข้ารหัสแบบผสมผสานหลายชั้น
สาระเพิ่มเติมจากภายนอก
การใช้ GitHub เป็นช่องทางควบคุมมัลแวร์ (C2) เป็นแนวโน้มที่เพิ่มขึ้น เพราะ GitHub เป็นบริการที่เชื่อถือได้และยากต่อการบล็อก
การแนบไฟล์ VHDX (Virtual Hard Disk) ในอีเมลเป็นเทคนิคที่ช่วยหลบเลี่ยงระบบกรองอีเมลทั่วไป เพราะไม่ใช่ไฟล์แนบที่มักถูกตรวจสอบ
การใช้ binary ที่ถูกต้องตามลิขสิทธิ์ เช่น gcmd.exe ของ Git เป็นเทคนิค “Living off the Land” ที่ช่วยให้มัลแวร์ไม่ถูกตรวจจับโดยโปรแกรมป้องกันไวรัส
วิธีการโจมตีของ APT-C-60
ส่งอีเมลปลอมตัวเป็นผู้สมัครงาน
แนบไฟล์ VHDX ที่มี LNK เรียกใช้ gcmd.exe
รันสคริปต์ glog.txt เพื่อโหลดมัลแวร์
ใช้ StatCounter และ GitHub เป็นช่องทางสื่อสาร
ความสามารถใหม่ของ SpyGlace
เพิ่มคำสั่งใหม่ “uld” สำหรับโหลดและลบโมดูล
เปลี่ยน path การรันอัตโนมัติไปยัง %appdata%
ซ่อนข้อมูลในไฟล์ Clouds.db
ใช้การเข้ารหัสหลายชั้น: XOR + SUB, AES-128-CBC, BASE64 + RC4 แบบปรับแต่ง
จุดเด่นของแคมเปญนี้
ใช้ GitHub เป็น C2 channel
ใช้ชื่อผู้ใช้ “GOLDBAR” ที่เคยพบในแคมเปญก่อนหน้า
เนื้อหาอีเมลหลอกลวงมีความสมจริงสูง
มีการเก็บ log และ commit บน GitHub อย่างเป็นระบบ
คำเตือนสำหรับองค์กร
อย่าเปิดไฟล์ VHDX ที่แนบมากับอีเมลจากบุคคลแปลกหน้า
ควรตรวจสอบการใช้งาน GitHub ในระบบภายใน
ฝึกอบรมพนักงาน HR ให้รู้เท่าทัน spear-phishing
ใช้ระบบ EDR ที่สามารถตรวจจับพฤติกรรมผิดปกติของ binary ที่ถูกต้องตามลิขสิทธิ์
การโจมตีครั้งนี้แสดงให้เห็นถึงความซับซ้อนและความแนบเนียนของภัยคุกคามไซเบอร์ยุคใหม่ ที่ไม่เพียงแค่ใช้เทคนิคขั้นสูง แต่ยังอาศัยความเข้าใจในพฤติกรรมของผู้ใช้งานและระบบองค์กรอย่างลึกซึ้ง… และนั่นคือเหตุผลที่เราทุกคนต้องตื่นตัวมากกว่าที่เคย
https://securityonline.info/apt-c-60-targets-japan-new-spyglace-malware-uses-vhdx-lnk-and-github-tasking-for-persistent-espionage/
🕵️♂️ เตือนภัยไซเบอร์! APT-C-60 ปล่อย SpyGlace เวอร์ชันใหม่ โจมตีองค์กรญี่ปุ่นผ่านไฟล์ VHDX และ GitHub
ช่วงกลางปี 2025 เกิดเหตุการณ์ที่น่าจับตามองในโลกไซเบอร์ เมื่อกลุ่มแฮกเกอร์ระดับชาติ APT-C-60 กลับมาอีกครั้งพร้อมแคมเปญจารกรรมข้อมูลที่ซับซ้อนยิ่งขึ้น โดยมุ่งเป้าไปยังองค์กรในญี่ปุ่นผ่านอีเมลหลอกลวงที่แนบไฟล์ VHDX อันตราย พร้อมใช้ GitHub เป็นช่องทางสื่อสารกับมัลแวร์ SpyGlace เวอร์ชันใหม่ที่พัฒนาให้ล้ำลึกและแนบเนียนกว่าเดิม
แฮกเกอร์ส่งอีเมลปลอมตัวเป็นผู้สมัครงานไปยังฝ่าย HR ขององค์กรเป้าหมาย โดยแนบไฟล์ VHDX ที่ภายในมีไฟล์ LNK (shortcut) ซึ่งเมื่อเปิดขึ้นจะเรียกใช้โปรแกรม gcmd.exe ของ Git เพื่อรันสคริปต์ glog.txt ที่ถูกเข้ารหัสไว้
สคริปต์นี้จะแสดงเอกสารหลอกตา สร้างไฟล์ และรันมัลแวร์ต่อเนื่อง โดยมัลแวร์จะติดต่อกับ StatCounter เพื่อระบุตัวเครื่องเหยื่อ และใช้ GitHub เป็นช่องทางสั่งการผ่านไฟล์ .txt ที่ตั้งชื่อตามหมายเลขเครื่องและชื่อคอมพิวเตอร์
SpyGlace เวอร์ชันใหม่ (3.1.12–3.1.14) ถูกปรับปรุงให้ซับซ้อนขึ้น ทั้งในด้านการเข้ารหัส การหลบเลี่ยงการตรวจจับ และการคงอยู่ในระบบ โดยใช้เทคนิคใหม่ เช่น การเปลี่ยน path การรันอัตโนมัติ การซ่อนข้อมูลในไฟล์ Clouds.db และการเข้ารหัสแบบผสมผสานหลายชั้น
📚 สาระเพิ่มเติมจากภายนอก
💠 การใช้ GitHub เป็นช่องทางควบคุมมัลแวร์ (C2) เป็นแนวโน้มที่เพิ่มขึ้น เพราะ GitHub เป็นบริการที่เชื่อถือได้และยากต่อการบล็อก
💠 การแนบไฟล์ VHDX (Virtual Hard Disk) ในอีเมลเป็นเทคนิคที่ช่วยหลบเลี่ยงระบบกรองอีเมลทั่วไป เพราะไม่ใช่ไฟล์แนบที่มักถูกตรวจสอบ
💠 การใช้ binary ที่ถูกต้องตามลิขสิทธิ์ เช่น gcmd.exe ของ Git เป็นเทคนิค “Living off the Land” ที่ช่วยให้มัลแวร์ไม่ถูกตรวจจับโดยโปรแกรมป้องกันไวรัส
✅ วิธีการโจมตีของ APT-C-60
➡️ ส่งอีเมลปลอมตัวเป็นผู้สมัครงาน
➡️ แนบไฟล์ VHDX ที่มี LNK เรียกใช้ gcmd.exe
➡️ รันสคริปต์ glog.txt เพื่อโหลดมัลแวร์
➡️ ใช้ StatCounter และ GitHub เป็นช่องทางสื่อสาร
✅ ความสามารถใหม่ของ SpyGlace
➡️ เพิ่มคำสั่งใหม่ “uld” สำหรับโหลดและลบโมดูล
➡️ เปลี่ยน path การรันอัตโนมัติไปยัง %appdata%
➡️ ซ่อนข้อมูลในไฟล์ Clouds.db
➡️ ใช้การเข้ารหัสหลายชั้น: XOR + SUB, AES-128-CBC, BASE64 + RC4 แบบปรับแต่ง
✅ จุดเด่นของแคมเปญนี้
➡️ ใช้ GitHub เป็น C2 channel
➡️ ใช้ชื่อผู้ใช้ “GOLDBAR” ที่เคยพบในแคมเปญก่อนหน้า
➡️ เนื้อหาอีเมลหลอกลวงมีความสมจริงสูง
➡️ มีการเก็บ log และ commit บน GitHub อย่างเป็นระบบ
‼️ คำเตือนสำหรับองค์กร
⛔ อย่าเปิดไฟล์ VHDX ที่แนบมากับอีเมลจากบุคคลแปลกหน้า
⛔ ควรตรวจสอบการใช้งาน GitHub ในระบบภายใน
⛔ ฝึกอบรมพนักงาน HR ให้รู้เท่าทัน spear-phishing
⛔ ใช้ระบบ EDR ที่สามารถตรวจจับพฤติกรรมผิดปกติของ binary ที่ถูกต้องตามลิขสิทธิ์
การโจมตีครั้งนี้แสดงให้เห็นถึงความซับซ้อนและความแนบเนียนของภัยคุกคามไซเบอร์ยุคใหม่ ที่ไม่เพียงแค่ใช้เทคนิคขั้นสูง แต่ยังอาศัยความเข้าใจในพฤติกรรมของผู้ใช้งานและระบบองค์กรอย่างลึกซึ้ง… และนั่นคือเหตุผลที่เราทุกคนต้องตื่นตัวมากกว่าที่เคย
https://securityonline.info/apt-c-60-targets-japan-new-spyglace-malware-uses-vhdx-lnk-and-github-tasking-for-persistent-espionage/
0 ความคิดเห็น
0 การแบ่งปัน
34 มุมมอง
0 รีวิว
English