Operation Hanoi Thief: การโจมตีผ่านไฟล์เรซูเม่ปลอม
แคมเปญไซเบอร์สอดแนมใหม่ที่ถูกเรียกว่า Operation Hanoi Thief กำลังแพร่กระจายไปยังภาคเทคโนโลยีและการสรรหาบุคลากรในเวียดนาม โดยใช้ อีเมลฟิชชิ่ง ที่แนบไฟล์ ZIP ซึ่งภายในมีเรซูเม่ปลอมของผู้สมัครงานชื่อ “Le Xuan Son” และไฟล์ LNK ที่ซ่อนคำสั่งอันตรายไว้ การโจมตีนี้ถูกค้นพบครั้งแรกเมื่อวันที่ 3 พฤศจิกายน 2025 โดยทีม SEQRITE Labs และถูกออกแบบมาเพื่อสร้างความน่าเชื่อถือผ่าน GitHub โปรไฟล์ปลอมที่สร้างขึ้นตั้งแต่ปี 2021
เทคนิค Pseudo-Polyglot และการซ่อนโค้ด
สิ่งที่ทำให้การโจมตีนี้โดดเด่นคือการใช้ ไฟล์ pseudo-polyglot ซึ่งสามารถทำงานได้หลายรูปแบบในไฟล์เดียว เช่น ภาพ PNG ที่ดูเหมือนเรซูเม่ แต่จริง ๆ แล้วซ่อนทั้ง PDF และสคริปต์ batch ไว้พร้อมกัน เมื่อเหยื่อเปิดไฟล์ LNK ระบบจะเรียกใช้ ftp.exe เพื่อดึงคำสั่งที่ซ่อนอยู่และถอดรหัสเป็น DLL อันตรายชื่อ MsCtfMonitor.dll ซึ่งเป็นตัวหลักของมัลแวร์ LOTUSHARVEST
LOTUSHARVEST: ตัวขโมยข้อมูลที่แฝงตัว
มัลแวร์ LOTUSHARVEST ใช้เทคนิค DLL sideloading โดยอาศัยโปรแกรมที่ถูกต้องอย่าง ctfmon.exe เพื่อโหลด DLL ปลอมเข้ามา เมื่อทำงานแล้ว มัลแวร์จะขโมยข้อมูลสำคัญ เช่น ประวัติการเข้าชมเว็บไซต์ 20 รายการล่าสุด และรหัสผ่านที่เก็บไว้ในเบราว์เซอร์ Chrome และ Edge ก่อนส่งออกไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม
แนวโน้มการโจมตี DLL Sideloading และ Polyglot
การใช้ DLL sideloading ไม่ใช่เรื่องใหม่ แต่กำลังถูกใช้มากขึ้นในปี 2025 โดยกลุ่มแฮกเกอร์หลายกลุ่ม เช่น LockBit และ APT จากจีน เพื่อหลบเลี่ยงการตรวจจับ ขณะเดียวกันเทคนิค polyglot file ก็ถูกใช้แพร่หลายในการซ่อนโค้ดในไฟล์รูปภาพหรือเอกสาร ทำให้การตรวจจับด้วยวิธีดั้งเดิมยากขึ้น องค์กรต่าง ๆ จึงต้องพัฒนาเครื่องมือที่ตรวจสอบทั้งพฤติกรรมและโครงสร้างไฟล์อย่างละเอียด
สรุปสาระสำคัญและคำเตือน
รายละเอียดการโจมตี Operation Hanoi Thief
ใช้ไฟล์ ZIP ที่มีเรซูเม่ปลอมและไฟล์ LNK
ใช้เทคนิค pseudo-polyglot ซ่อนโค้ดในไฟล์ PNG
โหลด DLL อันตราย LOTUSHARVEST ผ่าน DLL sideloading
เป้าหมายและผลกระทบ
มุ่งโจมตีภาคเทคโนโลยีและการสรรหาบุคลากรในเวียดนาม
ขโมยข้อมูลรหัสผ่านและประวัติการใช้งานเบราว์เซอร์
คำเตือนด้านความปลอดภัย
ไฟล์ที่ดูเหมือนเอกสารหรือภาพ อาจซ่อนโค้ดอันตราย
DLL sideloading สามารถทำให้มัลแวร์รันโดยไม่ถูกตรวจจับ
การโจมตีลักษณะนี้อาจแพร่ไปยังองค์กรในภูมิภาคอื่น
https://securityonline.info/operation-hanoi-thief-hackers-use-pseudo-polyglot-lnk-image-to-deploy-lotusharvest-stealer-via-dll-sideloading/
แคมเปญไซเบอร์สอดแนมใหม่ที่ถูกเรียกว่า Operation Hanoi Thief กำลังแพร่กระจายไปยังภาคเทคโนโลยีและการสรรหาบุคลากรในเวียดนาม โดยใช้ อีเมลฟิชชิ่ง ที่แนบไฟล์ ZIP ซึ่งภายในมีเรซูเม่ปลอมของผู้สมัครงานชื่อ “Le Xuan Son” และไฟล์ LNK ที่ซ่อนคำสั่งอันตรายไว้ การโจมตีนี้ถูกค้นพบครั้งแรกเมื่อวันที่ 3 พฤศจิกายน 2025 โดยทีม SEQRITE Labs และถูกออกแบบมาเพื่อสร้างความน่าเชื่อถือผ่าน GitHub โปรไฟล์ปลอมที่สร้างขึ้นตั้งแต่ปี 2021
เทคนิค Pseudo-Polyglot และการซ่อนโค้ด
สิ่งที่ทำให้การโจมตีนี้โดดเด่นคือการใช้ ไฟล์ pseudo-polyglot ซึ่งสามารถทำงานได้หลายรูปแบบในไฟล์เดียว เช่น ภาพ PNG ที่ดูเหมือนเรซูเม่ แต่จริง ๆ แล้วซ่อนทั้ง PDF และสคริปต์ batch ไว้พร้อมกัน เมื่อเหยื่อเปิดไฟล์ LNK ระบบจะเรียกใช้ ftp.exe เพื่อดึงคำสั่งที่ซ่อนอยู่และถอดรหัสเป็น DLL อันตรายชื่อ MsCtfMonitor.dll ซึ่งเป็นตัวหลักของมัลแวร์ LOTUSHARVEST
LOTUSHARVEST: ตัวขโมยข้อมูลที่แฝงตัว
มัลแวร์ LOTUSHARVEST ใช้เทคนิค DLL sideloading โดยอาศัยโปรแกรมที่ถูกต้องอย่าง ctfmon.exe เพื่อโหลด DLL ปลอมเข้ามา เมื่อทำงานแล้ว มัลแวร์จะขโมยข้อมูลสำคัญ เช่น ประวัติการเข้าชมเว็บไซต์ 20 รายการล่าสุด และรหัสผ่านที่เก็บไว้ในเบราว์เซอร์ Chrome และ Edge ก่อนส่งออกไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม
แนวโน้มการโจมตี DLL Sideloading และ Polyglot
การใช้ DLL sideloading ไม่ใช่เรื่องใหม่ แต่กำลังถูกใช้มากขึ้นในปี 2025 โดยกลุ่มแฮกเกอร์หลายกลุ่ม เช่น LockBit และ APT จากจีน เพื่อหลบเลี่ยงการตรวจจับ ขณะเดียวกันเทคนิค polyglot file ก็ถูกใช้แพร่หลายในการซ่อนโค้ดในไฟล์รูปภาพหรือเอกสาร ทำให้การตรวจจับด้วยวิธีดั้งเดิมยากขึ้น องค์กรต่าง ๆ จึงต้องพัฒนาเครื่องมือที่ตรวจสอบทั้งพฤติกรรมและโครงสร้างไฟล์อย่างละเอียด
สรุปสาระสำคัญและคำเตือน
รายละเอียดการโจมตี Operation Hanoi Thief
ใช้ไฟล์ ZIP ที่มีเรซูเม่ปลอมและไฟล์ LNK
ใช้เทคนิค pseudo-polyglot ซ่อนโค้ดในไฟล์ PNG
โหลด DLL อันตราย LOTUSHARVEST ผ่าน DLL sideloading
เป้าหมายและผลกระทบ
มุ่งโจมตีภาคเทคโนโลยีและการสรรหาบุคลากรในเวียดนาม
ขโมยข้อมูลรหัสผ่านและประวัติการใช้งานเบราว์เซอร์
คำเตือนด้านความปลอดภัย
ไฟล์ที่ดูเหมือนเอกสารหรือภาพ อาจซ่อนโค้ดอันตราย
DLL sideloading สามารถทำให้มัลแวร์รันโดยไม่ถูกตรวจจับ
การโจมตีลักษณะนี้อาจแพร่ไปยังองค์กรในภูมิภาคอื่น
https://securityonline.info/operation-hanoi-thief-hackers-use-pseudo-polyglot-lnk-image-to-deploy-lotusharvest-stealer-via-dll-sideloading/
🕵️♂️ Operation Hanoi Thief: การโจมตีผ่านไฟล์เรซูเม่ปลอม
แคมเปญไซเบอร์สอดแนมใหม่ที่ถูกเรียกว่า Operation Hanoi Thief กำลังแพร่กระจายไปยังภาคเทคโนโลยีและการสรรหาบุคลากรในเวียดนาม โดยใช้ อีเมลฟิชชิ่ง ที่แนบไฟล์ ZIP ซึ่งภายในมีเรซูเม่ปลอมของผู้สมัครงานชื่อ “Le Xuan Son” และไฟล์ LNK ที่ซ่อนคำสั่งอันตรายไว้ การโจมตีนี้ถูกค้นพบครั้งแรกเมื่อวันที่ 3 พฤศจิกายน 2025 โดยทีม SEQRITE Labs และถูกออกแบบมาเพื่อสร้างความน่าเชื่อถือผ่าน GitHub โปรไฟล์ปลอมที่สร้างขึ้นตั้งแต่ปี 2021
💻 เทคนิค Pseudo-Polyglot และการซ่อนโค้ด
สิ่งที่ทำให้การโจมตีนี้โดดเด่นคือการใช้ ไฟล์ pseudo-polyglot ซึ่งสามารถทำงานได้หลายรูปแบบในไฟล์เดียว เช่น ภาพ PNG ที่ดูเหมือนเรซูเม่ แต่จริง ๆ แล้วซ่อนทั้ง PDF และสคริปต์ batch ไว้พร้อมกัน เมื่อเหยื่อเปิดไฟล์ LNK ระบบจะเรียกใช้ ftp.exe เพื่อดึงคำสั่งที่ซ่อนอยู่และถอดรหัสเป็น DLL อันตรายชื่อ MsCtfMonitor.dll ซึ่งเป็นตัวหลักของมัลแวร์ LOTUSHARVEST
🔓 LOTUSHARVEST: ตัวขโมยข้อมูลที่แฝงตัว
มัลแวร์ LOTUSHARVEST ใช้เทคนิค DLL sideloading โดยอาศัยโปรแกรมที่ถูกต้องอย่าง ctfmon.exe เพื่อโหลด DLL ปลอมเข้ามา เมื่อทำงานแล้ว มัลแวร์จะขโมยข้อมูลสำคัญ เช่น ประวัติการเข้าชมเว็บไซต์ 20 รายการล่าสุด และรหัสผ่านที่เก็บไว้ในเบราว์เซอร์ Chrome และ Edge ก่อนส่งออกไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม
🌐 แนวโน้มการโจมตี DLL Sideloading และ Polyglot
การใช้ DLL sideloading ไม่ใช่เรื่องใหม่ แต่กำลังถูกใช้มากขึ้นในปี 2025 โดยกลุ่มแฮกเกอร์หลายกลุ่ม เช่น LockBit และ APT จากจีน เพื่อหลบเลี่ยงการตรวจจับ ขณะเดียวกันเทคนิค polyglot file ก็ถูกใช้แพร่หลายในการซ่อนโค้ดในไฟล์รูปภาพหรือเอกสาร ทำให้การตรวจจับด้วยวิธีดั้งเดิมยากขึ้น องค์กรต่าง ๆ จึงต้องพัฒนาเครื่องมือที่ตรวจสอบทั้งพฤติกรรมและโครงสร้างไฟล์อย่างละเอียด
📌 สรุปสาระสำคัญและคำเตือน
✅ รายละเอียดการโจมตี Operation Hanoi Thief
➡️ ใช้ไฟล์ ZIP ที่มีเรซูเม่ปลอมและไฟล์ LNK
➡️ ใช้เทคนิค pseudo-polyglot ซ่อนโค้ดในไฟล์ PNG
➡️ โหลด DLL อันตราย LOTUSHARVEST ผ่าน DLL sideloading
✅ เป้าหมายและผลกระทบ
➡️ มุ่งโจมตีภาคเทคโนโลยีและการสรรหาบุคลากรในเวียดนาม
➡️ ขโมยข้อมูลรหัสผ่านและประวัติการใช้งานเบราว์เซอร์
‼️ คำเตือนด้านความปลอดภัย
⛔ ไฟล์ที่ดูเหมือนเอกสารหรือภาพ อาจซ่อนโค้ดอันตราย
⛔ DLL sideloading สามารถทำให้มัลแวร์รันโดยไม่ถูกตรวจจับ
⛔ การโจมตีลักษณะนี้อาจแพร่ไปยังองค์กรในภูมิภาคอื่น
https://securityonline.info/operation-hanoi-thief-hackers-use-pseudo-polyglot-lnk-image-to-deploy-lotusharvest-stealer-via-dll-sideloading/
0 Comments
0 Shares
10 Views
0 Reviews
Thai