AtlasCross RAT
มีการโจมตีทางไซเบอร์ขนาดใหญ่ที่มุ่งเป้าไปที่ผู้ใช้ที่พูดภาษาจีนผ่านโดเมนที่สะกดผิดซึ่งเลียนแบบแบรนด์ซอฟต์แวร์ที่น่าเชื่อถือ เว็บไซต์หลอกลวงเหล่านี้ถูกออกแบบมาเพื่อเผยแพร่มัลแวร์ประเภทโทรจันสำหรับเข้าถึงระยะไกลที่ไม่เคยมีการบันทึกมาก่อน ซึ่งรู้จักกันในชื่อ AtlasCross RAT การโจมตีนี้ใช้ประโยชน์จากความไว้วางใจของผู้ใช้ในแอปพลิเคชันที่ใช้กันอย่างแพร่หลาย รวมถึงไคลเอนต์ VPN แพลตฟอร์มการส่งข้อความเข้ารหัส เครื่องมือการประชุมทางวิดีโอ ตัวติดตามสกุลเงินดิจิทัล และซอฟต์แวร์อีคอมเมิร์ซ
โครงสร้างพื้นฐานประกอบด้วยโดเมนที่เป็นอันตรายที่ได้รับการยืนยันแล้วจำนวน 11 โดเมน ซึ่งปลอมแปลงเป็นบริการที่เป็นที่รู้จักกันดี เช่น Surfshark VPN, Signal, Telegram, Zoom และ Microsoft Teams การปลอมแปลงเชิงกลยุทธ์นี้เพิ่มโอกาสในการแพร่เชื้อได้สำเร็จโดยใช้ประโยชน์จากความคุ้นเคยกับแบรนด์
สารบัญ
ข้อมูลผู้ก่อภัยคุกคาม: กลุ่ม Silver Fox Collective
แคมเปญดังกล่าวถูกระบุว่าเป็นฝีมือของกลุ่มอาชญากรไซเบอร์ชาวจีนที่มีผลงานมากมาย ซึ่งรู้จักกันในชื่อ Silver Fox กลุ่มนี้ปฏิบัติการภายใต้ชื่อแฝงหลายชื่อ รวมถึง SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 และ Void Arachne นักวิจัยด้านความปลอดภัยพิจารณาว่ากลุ่มนี้เป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่เคลื่อนไหวมากที่สุดในรอบหลายปีที่ผ่านมา โดยเฉพาะอย่างยิ่งเนื่องจากการโจมตีเป้าหมายอย่างต่อเนื่องไปยังบุคลากรระดับบริหารและฝ่ายการเงินภายในองค์กร
กลุ่ม Silver Fox ใช้ช่องทางการแพร่กระจายเชื้อที่หลากหลาย เช่น แพลตฟอร์มการส่งข้อความ อีเมลฟิชชิ่ง และเว็บไซต์แจกจ่ายซอฟต์แวร์ปลอม เป้าหมายของกลุ่มนี้ได้แก่ การควบคุมระบบจากระยะไกล การขโมยข้อมูลสำคัญ และการฉ้อโกงทางการเงิน
วิวัฒนาการของมัลแวร์: จาก Gh0st RAT สู่ AtlasCross
การปรากฏตัวของ AtlasCross RAT ถือเป็นความก้าวหน้าครั้งสำคัญในชุดเครื่องมือมัลแวร์ของ Silver Fox ก่อนหน้านี้ การปฏิบัติการต่างๆ อาศัยรูปแบบต่างๆ ของ Gh0st RAT เป็นหลัก รวมถึง ValleyRAT (หรือที่รู้จักกันในชื่อ Winos 4.0), Gh0stCringe และ HoldingHands RAT (Gh0stBins) AtlasCross แสดงถึงวิวัฒนาการที่ซับซ้อนยิ่งขึ้น โดยได้รวมเอาคุณสมบัติการซ่อนตัว การเรียกใช้งาน และการคงอยู่ในระบบที่ดียิ่งขึ้นเข้ามาด้วย
การวิเคราะห์ห่วงโซ่การแพร่เชื้อ: จากการล่อลวงสู่การลงมือสังหาร
กระบวนการโจมตีเริ่มต้นด้วยเว็บไซต์ปลอมที่หลอกให้ผู้ใช้ดาวน์โหลดไฟล์ ZIP ไฟล์เหล่านี้มีโปรแกรมติดตั้งที่ติดตั้งทั้งแอปพลิเคชันล่อเป้าที่ถูกต้องและไบนารีของ Autodesk ที่แฝงด้วยมัลแวร์ โปรแกรมติดตั้งที่เป็นอันตรายจะเรียกใช้ตัวโหลดเชลล์โค้ดเพื่อถอดรหัสการกำหนดค่าที่ฝังอยู่ภายใน ซึ่งได้มาจาก Gh0st RAT
กระบวนการนี้จะดึงรายละเอียดการควบคุมและสั่งการ (C2) และดึงข้อมูลเป้าหมายขั้นที่สองจากโดเมน 'bifa668.com' ผ่านพอร์ต TCP 9899 ขั้นตอนสุดท้ายคือการเรียกใช้ AtlasCross RAT ในหน่วยความจำ ซึ่งช่วยลดการตรวจจับโดยเครื่องมือรักษาความปลอดภัยแบบดั้งเดิมได้อย่างมาก
โครงสร้างพื้นฐานที่เป็นอันตราย: โดเมนที่ถูกใช้เป็นอาวุธ
แคมเปญนี้แสดงให้เห็นถึงการจัดตั้งโครงสร้างพื้นฐานที่มีการประสานงานกัน โดยโดเมนที่เป็นอันตรายส่วนใหญ่จดทะเบียนเมื่อวันที่ 27 ตุลาคม 2568 ซึ่งบ่งชี้ถึงการวางแผนอย่างรอบคอบ โดเมนที่ได้รับการยืนยันว่าใช้ในการส่งมัลแวร์ ได้แก่:
แอปซูม.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com
โดเมนเหล่านี้เลียนแบบบริการที่ถูกต้องตามกฎหมายอย่างใกล้ชิด โดยมักจะใช้การเปลี่ยนแปลงทางตัวอักษรเล็กน้อยหรือตัวระบุภูมิภาคเพื่อหลีกเลี่ยงการถูกสงสัย
การละเมิดความไว้วางใจ: การขโมยใบรับรองการลงนามรหัส
โปรแกรมติดตั้งมัลแวร์ที่ระบุทั้งหมดได้รับการลงนามโดยใช้ใบรับรองการลงนามรหัส Extended Validation (EV) ที่ถูกขโมยมา ซึ่งออกให้แก่บริษัท DUC FABULOUS CO., LTD ที่ตั้งอยู่ในฮานอย ประเทศเวียดนาม การนำใบรับรองนี้ไปใช้ซ้ำในแคมเปญมัลแวร์ที่ไม่เกี่ยวข้องกันหลายแคมเปญ บ่งชี้ว่ามีการแพร่กระจายอย่างกว้างขวางในระบบนิเวศของอาชญากรไซเบอร์ กลยุทธ์นี้ช่วยเพิ่มความน่าเชื่อถือของไฟล์ไบนารีที่เป็นอันตรายและช่วยหลีกเลี่ยงการป้องกันด้านความปลอดภัย
ความสามารถขั้นสูง: ภายใน AtlasCross RAT
AtlasCross RAT นำเสนอชุดความสามารถอันทรงพลังที่ออกแบบมาเพื่อการซ่อนตัว การคงอยู่ และการควบคุม มันผสานรวมเฟรมเวิร์ก PowerShell ซึ่งเป็นเอนจินการทำงานของ PowerShell ที่เขียนด้วยภาษา C/C++ และฝัง .NET Common Language Runtime (CLR) เข้าไปในกระบวนการของมัลแวร์โดยตรง
ก่อนที่จะดำเนินการคำสั่ง มัลแวร์จะปิดใช้งานกลไกความปลอดภัยที่สำคัญ เช่น AMSI, ETW, โหมดภาษาที่จำกัด และการบันทึกข้อมูล ScriptBlock การสื่อสารกับเซิร์ฟเวอร์ควบคุมและสั่งการจะถูกเข้ารหัสโดยใช้ ChaCha20 โดยใช้คีย์สุ่มต่อแพ็กเก็ตที่สร้างขึ้นผ่านการสร้างหมายเลขสุ่มแบบฮาร์ดแวร์
ฟังก์ชันการทำงานหลักประกอบด้วย:
- การแทรก DLL แบบกำหนดเป้าหมายลงใน WeChat
- การโจรกรรมเซสชันโปรโตคอลเดสก์ท็อประยะไกล (RDP)
- การยุติการเชื่อมต่อระดับ TCP จากเครื่องมือรักษาความปลอดภัยของจีน เช่น 360 Safe, Huorong, Kingsoft และ QQ PC Manager
- การจัดการระบบไฟล์และการเรียกใช้คำสั่งเชลล์
- ความต่อเนื่องในการสร้างงานตามกำหนดเวลา
กลยุทธ์การดำเนินงาน: การหลอกลวงในวงกว้าง
กลุ่ม Silver Fox ใช้กลยุทธ์โดเมนหลายชั้นเพื่อรักษาความน่าเชื่อถือและหลีกเลี่ยงการตรวจจับ ซึ่งรวมถึงการปลอมแปลงชื่อโดเมน การยึดครองโดเมน และการจัดการ DNS โดยมักจะผสมผสานกับข้อกำหนดการตั้งชื่อเฉพาะภูมิภาคเพื่อลดความสงสัยของผู้ใช้ ความสามารถของกลุ่มในการจำลองบริการที่ถูกต้องได้อย่างแนบเนียนมีบทบาทสำคัญต่อประสิทธิภาพของแคมเปญ
การขยายช่องทางการโจมตีทั่วเอเชีย
นับตั้งแต่เดือนธันวาคม 2025 เป็นต้นมา กลุ่มดังกล่าวได้ขยายการดำเนินงานไปยังหลายประเทศ รวมถึงญี่ปุ่น มาเลเซีย ฟิลิปปินส์ ไทย อินโดนีเซีย สิงคโปร์ และอินเดีย วิธีการโจมตีได้พัฒนาไปตามกาลเวลา โดยเปลี่ยนจากการส่งอีเมลฟิชชิงพร้อมไฟล์ PDF ที่เป็นอันตราย ไปเป็นการใช้ประโยชน์จากเครื่องมือตรวจสอบและจัดการระยะไกลที่ถูกต้องตามกฎหมายแต่ตั้งค่าไม่ถูกต้อง เช่น SyncFuture TSM
แคมเปญต่อมาได้ใช้มัลแวร์ขโมยข้อมูลที่เขียนด้วยภาษา Python โดยปลอมตัวเป็นแอปพลิเคชัน WhatsApp ก่อนหน้านี้ ในเดือนมกราคม 2026 มีการล่อลวงผู้ใช้ชาวอินเดียด้วยมัลแวร์ Blackmoon โดยใช้หัวข้อเกี่ยวกับการเสียภาษี
คลังแสงที่ยืดหยุ่น: ปฏิบัติการอาชญากรรมไซเบอร์ที่ปรับตัวได้
Silver Fox แสดงให้เห็นถึงความยืดหยุ่นในการปฏิบัติงานในระดับสูง โดยการผสมผสานตระกูลมัลแวร์และเทคนิคต่างๆ เข้าด้วยกัน การใช้ ValleyRAT ร่วมกับเครื่องมือ RMM และโปรแกรมขโมยข้อมูลแบบกำหนดเองที่ใช้ Python ช่วยให้สามารถปรับเปลี่ยนห่วงโซ่การติดเชื้อได้อย่างรวดเร็ว ความสามารถรอบด้านนี้สนับสนุนทั้งแคมเปญฉวยโอกาสขนาดใหญ่และการโจมตีเชิงกลยุทธ์ที่มุ่งเป้าหมายมากขึ้น
กลุ่มนี้ดำเนินงานในรูปแบบสองทาง โดยสร้างสมดุลระหว่างการโจมตีในวงกว้างกับการปฏิบัติการที่ซับซ้อนมากขึ้น ซึ่งออกแบบมาเพื่อการเข้าถึงระบบในระยะยาวและการแทรกซึมเครือข่ายที่ลึกกว่าเดิม
ความแม่นยำของการโจมตีแบบ Spear-Phishing: การกำหนดเป้าหมายเหยื่อที่เป็นองค์กร
นอกเหนือจากแคมเปญขนาดใหญ่แล้ว Silver Fox ยังดำเนินการโจมตีแบบสเปียร์ฟิชชิ่งที่มุ่งเป้าไปที่อุตสาหกรรมเฉพาะ โดยเฉพาะอย่างยิ่งผู้ผลิตชาวญี่ปุ่น การโจมตีเหล่านี้ใช้เหยื่อล่อที่น่าเชื่อถืออย่างมากที่เกี่ยวข้องกับการปฏิบัติตามกฎหมายภาษี การปรับเงินเดือน การเปลี่ยนงาน และแผนการถือหุ้นของพนักงาน
เมื่อติดตั้ง ValleyRAT แล้ว ผู้โจมตีจะสามารถ:
- ควบคุมระบบที่ติดไวรัสจากระยะไกลได้อย่างสมบูรณ์
- เก็บเกี่ยวข้อมูลที่ละเอียดอ่อนและข้อมูลทางการเงิน
- ตรวจสอบกิจกรรมของผู้ใช้แบบเรียลไทม์
- รักษาความต่อเนื่องภายในเครือข่าย
การเข้าถึงในระดับนี้เปิดโอกาสให้ผู้โจมตีสามารถยกระดับการโจมตี ขโมยข้อมูลลับ และเตรียมพร้อมสำหรับขั้นตอนการโจมตีเพิ่มเติมภายในสภาพแวดล้อมที่ถูกบุกรุกได้
