New MaaS Operator TAG-150 Uses ClickFix Lure and Custom...

shared a link

2025-12-01 01:52:41 -

กลุ่มอาชญากรไซเบอร์ TAG-150 ใช้เทคนิค ClickFix และ CastleLoader โจมตีอุปกรณ์ในสหรัฐฯ กว่า 469 เครื่อง

รายงานล่าสุดเผยว่า TAG-150 ซึ่งเป็นผู้ให้บริการ Malware-as-a-Service (MaaS) ได้เริ่มกิจกรรมตั้งแต่ต้นปี 2025 และสามารถโจมตีอุปกรณ์ในสหรัฐฯ ได้มากกว่า 469 เครื่องภายในเวลาไม่กี่เดือน กลุ่มนี้ใช้โครงสร้างพื้นฐานที่พัฒนาอย่างรวดเร็วและมีความซับซ้อนเพื่อรองรับการโจมตีในวงกว้าง โดยเน้นเป้าหมายไปที่ผู้ใช้งานทั่วไปในสหรัฐอเมริกา

เทคนิค ClickFix: หลอกให้เหยื่อ “แฮกตัวเอง”
TAG-150 ใช้เทคนิค ClickFix ซึ่งไม่เน้นการเจาะระบบด้วยช่องโหว่ แต่ใช้การหลอกล่อเหยื่อแทน โดยสร้างหน้าเว็บปลอมที่เลียนแบบบริการจริง เช่น Google Meet หรือหน้าการอัปเดตเบราว์เซอร์ เมื่อผู้ใช้คลิก “ขั้นตอนการยืนยัน” ปลอม ระบบจะคัดลอกคำสั่ง PowerShell อันตรายไปยังคลิปบอร์ด และผู้ใช้ถูกหลอกให้วางและรันคำสั่งนั้นเอง ทำให้มัลแวร์ถูกติดตั้งโดยตรง

CastleLoader และ CastleRAT: เครื่องมือโจมตีแบบแยกชั้น
เมื่อเหยื่อรันคำสั่ง มัลแวร์ CastleLoader จะถูกติดตั้งเป็นตัวโหลดหลัก โดยใช้เทคนิคการซ่อนโค้ดและการบีบอัดเพื่อหลบเลี่ยงการตรวจจับ จากนั้นจะปล่อย CastleRAT ซึ่งเป็น payload หลักที่สามารถควบคุมเครื่องเหยื่อได้เต็มรูปแบบ เช่น การบันทึกคีย์บอร์ด การจับภาพหน้าจอ และการเข้าถึง shell ระยะไกล

PyNightShade: เวอร์ชันลับที่ตรวจจับยาก
นอกจากนี้ TAG-150 ยังพัฒนา PyNightShade ซึ่งเป็น Remote Access Trojan (RAT) ที่เขียนด้วย Python และออกแบบมาให้ตรวจจับได้ยากมาก โดยมันจะสื่อสารกับบริการ geolocation จริงอย่าง ip-api[.]com เพื่อตรวจสอบตำแหน่งของเหยื่อก่อนเริ่มโจมตีเต็มรูปแบบ ทำให้การโจมตีมีความแม่นยำและยากต่อการตรวจสอบ

สรุปสาระสำคัญและคำเตือน
รายละเอียดการโจมตี TAG-150
ใช้เทคนิค ClickFix หลอกผู้ใช้ให้รันคำสั่งเอง
CastleLoader เป็นตัวโหลดหลัก ปล่อย CastleRAT ควบคุมเครื่อง
PyNightShade RAT ตรวจจับได้ยากและใช้ geolocation จริง

ผลกระทบและเป้าหมาย
โจมตีอุปกรณ์กว่า 469 เครื่องในสหรัฐฯ
มุ่งเป้าไปที่ผู้ใช้ทั่วไปและองค์กร

คำเตือนด้านความปลอดภัย
หน้าเว็บปลอมที่เลียนแบบบริการจริงอาจทำให้ผู้ใช้หลงเชื่อ
การคัดลอกและรันคำสั่งจากคลิปบอร์ดเป็นช่องทางติดมัลแวร์
RAT สามารถควบคุมเครื่องได้เต็มรูปแบบ เสี่ยงต่อการสูญเสียข้อมูล

https://securityonline.info/new-maas-operator-tag-150-uses-clickfix-lure-and-custom-castleloader-to-compromise-469-us-devices/

🕵️‍♀️ กลุ่มอาชญากรไซเบอร์ TAG-150 ใช้เทคนิค ClickFix และ CastleLoader โจมตีอุปกรณ์ในสหรัฐฯ กว่า 469 เครื่อง รายงานล่าสุดเผยว่า TAG-150 ซึ่งเป็นผู้ให้บริการ Malware-as-a-Service (MaaS) ได้เริ่มกิจกรรมตั้งแต่ต้นปี 2025 และสามารถโจมตีอุปกรณ์ในสหรัฐฯ ได้มากกว่า 469 เครื่องภายในเวลาไม่กี่เดือน กลุ่มนี้ใช้โครงสร้างพื้นฐานที่พัฒนาอย่างรวดเร็วและมีความซับซ้อนเพื่อรองรับการโจมตีในวงกว้าง โดยเน้นเป้าหมายไปที่ผู้ใช้งานทั่วไปในสหรัฐอเมริกา 💻 เทคนิค ClickFix: หลอกให้เหยื่อ “แฮกตัวเอง” TAG-150 ใช้เทคนิค ClickFix ซึ่งไม่เน้นการเจาะระบบด้วยช่องโหว่ แต่ใช้การหลอกล่อเหยื่อแทน โดยสร้างหน้าเว็บปลอมที่เลียนแบบบริการจริง เช่น Google Meet หรือหน้าการอัปเดตเบราว์เซอร์ เมื่อผู้ใช้คลิก “ขั้นตอนการยืนยัน” ปลอม ระบบจะคัดลอกคำสั่ง PowerShell อันตรายไปยังคลิปบอร์ด และผู้ใช้ถูกหลอกให้วางและรันคำสั่งนั้นเอง ทำให้มัลแวร์ถูกติดตั้งโดยตรง 🧩 CastleLoader และ CastleRAT: เครื่องมือโจมตีแบบแยกชั้น เมื่อเหยื่อรันคำสั่ง มัลแวร์ CastleLoader จะถูกติดตั้งเป็นตัวโหลดหลัก โดยใช้เทคนิคการซ่อนโค้ดและการบีบอัดเพื่อหลบเลี่ยงการตรวจจับ จากนั้นจะปล่อย CastleRAT ซึ่งเป็น payload หลักที่สามารถควบคุมเครื่องเหยื่อได้เต็มรูปแบบ เช่น การบันทึกคีย์บอร์ด การจับภาพหน้าจอ และการเข้าถึง shell ระยะไกล 🌐 PyNightShade: เวอร์ชันลับที่ตรวจจับยาก นอกจากนี้ TAG-150 ยังพัฒนา PyNightShade ซึ่งเป็น Remote Access Trojan (RAT) ที่เขียนด้วย Python และออกแบบมาให้ตรวจจับได้ยากมาก โดยมันจะสื่อสารกับบริการ geolocation จริงอย่าง ip-api[.]com เพื่อตรวจสอบตำแหน่งของเหยื่อก่อนเริ่มโจมตีเต็มรูปแบบ ทำให้การโจมตีมีความแม่นยำและยากต่อการตรวจสอบ 📌 สรุปสาระสำคัญและคำเตือน ✅ รายละเอียดการโจมตี TAG-150 ➡️ ใช้เทคนิค ClickFix หลอกผู้ใช้ให้รันคำสั่งเอง ➡️ CastleLoader เป็นตัวโหลดหลัก ปล่อย CastleRAT ควบคุมเครื่อง ➡️ PyNightShade RAT ตรวจจับได้ยากและใช้ geolocation จริง ✅ ผลกระทบและเป้าหมาย ➡️ โจมตีอุปกรณ์กว่า 469 เครื่องในสหรัฐฯ ➡️ มุ่งเป้าไปที่ผู้ใช้ทั่วไปและองค์กร ‼️ คำเตือนด้านความปลอดภัย ⛔ หน้าเว็บปลอมที่เลียนแบบบริการจริงอาจทำให้ผู้ใช้หลงเชื่อ ⛔ การคัดลอกและรันคำสั่งจากคลิปบอร์ดเป็นช่องทางติดมัลแวร์ ⛔ RAT สามารถควบคุมเครื่องได้เต็มรูปแบบ เสี่ยงต่อการสูญเสียข้อมูล https://securityonline.info/new-maas-operator-tag-150-uses-clickfix-lure-and-custom-castleloader-to-compromise-469-us-devices/

SECURITYONLINE.INFO

New MaaS Operator TAG-150 Uses ClickFix Lure and Custom CastleLoader to Compromise 469 US Devices

Darktrace exposed TAG-150, a new MaaS operator compromising 469+ US devices in months. The group uses ClickFix to trick victims into running malicious PowerShell that deploys the CastleLoader/CastleRAT backdoor.

0 Comments 0 Shares 8 Views 0 Reviews