มินิฟาสต์ แบ็คดอร์
กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน ซึ่งรู้จักกันในชื่อ Nimbus Manticore ที่เชื่อมโยงกับกองกำลังพิทักษ์ปฏิวัติอิสลาม (IRGC) และถูกติดตามในชื่อ Screening Serpens และ UNC1549 ได้เพิ่มความเข้มข้นในการโจมตีทางไซเบอร์ต่อองค์กรต่างๆ ในสหรัฐอเมริกา ยุโรป และตะวันออกกลาง หลังจากที่สหรัฐฯ และอิสราเอลร่วมกันโจมตีอิหร่านในเดือนกุมภาพันธ์ 2026 กลุ่มดังกล่าวได้กำหนดเป้าหมายไปที่บริษัทในอุตสาหกรรมการบินและซอฟต์แวร์ โดยใช้เทคนิคการแทรกซึมและวิธีการส่งมัลแวร์ที่ซับซ้อนมากขึ้นเรื่อยๆ
นักวิจัยด้านความปลอดภัยได้ระบุการเปลี่ยนแปลงการดำเนินงานหลายประการที่ทำให้แคมเปญล่าสุดแตกต่างจากกิจกรรมก่อนหน้านี้ ซึ่งรวมถึงการเปิดตัวแบ็กดอร์ใหม่ที่เรียกว่า MiniFast การใช้การโจรกรรม AppDomain ที่ขยายวงกว้างขึ้น และการเปลี่ยนกลยุทธ์ไปสู่การโจมตีด้วย SEO เพื่อแพร่เชื้อไปยังเหยื่อผ่านพอร์ทัลดาวน์โหลดซอฟต์แวร์ปลอม นักวิเคราะห์ยังค้นพบตัวบ่งชี้ที่ชี้ให้เห็นว่าการพัฒนาโดยใช้ปัญญาประดิษฐ์อาจช่วยเร่งการสร้างมัลแวร์ได้
สารบัญ
ตั้งแต่ข้อเสนองานปลอมไปจนถึงการบิดเบือนผลการค้นหาในเครื่องมือค้นหา
ในอดีตที่ผ่านมา มัลแวร์ Nimbus Manticore มุ่งเป้าไปที่เป้าหมายด้านการป้องกันประเทศ การบิน และโทรคมนาคม ผ่านแคมเปญฟิชชิงที่เน้นเรื่องอาชีพ ซึ่งมักเรียกกันว่าปฏิบัติการ 'งานในฝันของอิหร่าน' กลยุทธ์เหล่านี้คล้ายคลึงกับปฏิบัติการ Dream Job ซึ่งเป็นแคมเปญวิศวกรรมสังคมที่ดำเนินมาอย่างยาวนานและเกี่ยวข้องกับกลุ่มผู้คุกคามจากเกาหลีเหนือ
ระหว่างเดือนกุมภาพันธ์ถึงเมษายน 2569 กลุ่มดังกล่าวได้ดำเนินการรบสามระลอกโดยไม่หยุดชะงัก แสดงให้เห็นถึงจังหวะการปฏิบัติการที่ดุดันในช่วงความขัดแย้งในภูมิภาค
ในเดือนกุมภาพันธ์ 2026 พนักงานในองค์กรด้านการบินและซอฟต์แวร์ในซาอุดีอาระเบียและออสเตรเลียได้รับข้อเสนองานปลอมที่มีไฟล์ ZIP ที่โฮสต์อยู่บน OnlyOffice การเปิดไฟล์ปฏิบัติการที่ไม่เป็นอันตรายภายในไฟล์บีบอัดนั้นทำให้เกิดการโจรกรรม AppDomain ซึ่งในที่สุดก็ติดตั้งมัลแวร์ MiniJunk ในรูปแบบ DLL
ในเดือนมีนาคม 2026 ผู้โจมตีได้นำวิธีการแพร่กระจายมัลแวร์ที่คล้ายคลึงกันมาใช้ แต่ได้เพิ่มโปรแกรมติดตั้ง Zoom ที่ดัดแปลงเป็นโทรจันเข้าไปในกระบวนการ มัลแวร์น่าจะถูกเผยแพร่ผ่านการเชิญเข้าร่วมประชุมปลอม และในที่สุดก็ติดตั้งแบ็กดอร์ MiniFast ที่เพิ่งถูกค้นพบใหม่
ในเดือนเมษายน 2026 Nimbus Manticore ได้นำกลยุทธ์ที่แตกต่างออกไปมาใช้ โดยใช้เทคนิคการโจมตี SEO ผู้ดำเนินการได้สร้างหน้าดาวน์โหลดปลอมที่แอบอ้างเป็น Oracle SQL Developer และบิดเบือนอันดับการค้นหาใน Bing และ DuckDuckGo โดยการจดทะเบียนโดเมนสนับสนุนจำนวนมากที่ออกแบบมาเพื่อเพิ่มการมองเห็นของเว็บไซต์
นี่ถือเป็นครั้งแรกที่กลุ่มนี้ละทิ้งวิธีการฟิชชิ่งแบบดั้งเดิม และหันมาใช้วิธีการกระจายมัลแวร์ผ่านเครื่องมือค้นหาแทน แทนที่จะล่อลวงเหยื่อโดยตรงผ่านอีเมล ผู้โจมตีรอให้นักพัฒนาและบุคลากรด้านไอทีค้นหาซอฟต์แวร์ที่ใช้กันทั่วไปทางออนไลน์ก่อนส่งไฟล์ติดตั้งที่ติดไวรัส
MiniFast Backdoor เผยให้เห็นถึงความสามารถทางเทคนิคที่ขยายตัวขึ้น
MiniFast หรือที่รู้จักกันในชื่อ MiniUpdate เป็นความก้าวหน้าครั้งสำคัญในคลังมัลแวร์ของ Nimbus Manticore นักวิจัยอธิบายว่ามัลแวร์นี้เป็นแบ็กดอร์ที่มีคุณสมบัติครบถ้วน ออกแบบมาเพื่อการเข้าถึงอย่างต่อเนื่อง การเรียกใช้คำสั่งจากระยะไกล และการสอดแนมในระยะยาว
ก่อนที่จะเข้าสู่ลูปคำสั่ง มัลแวร์จะส่งข้อมูลระบบพื้นฐานไปยังโครงสร้างพื้นฐานการควบคุมและสั่งการผ่านทาง HTTP จากนั้นจะดึงคำสั่งอย่างต่อเนื่อง อัปโหลดผลลัพธ์การดำเนินการ ขโมยไฟล์ และดาวน์โหลดเพย์โหลดเพิ่มเติม
ช่องโหว่นี้รองรับความสามารถที่หลากหลาย รวมถึง:
- การจัดการไฟล์และการแจงนับไดเร็กทอรี
- รายการกระบวนการและการบังคับยุติกระบวนการผ่าน PID
- การเรียกใช้คำสั่งจากระยะไกลผ่าน cmd.exe
- การโหลดไฟล์ DLL และการสร้างไฟล์ ZIP
- ความมุ่งมั่นในการปฏิบัติงานตามกำหนดการ
- การยกระดับสิทธิ์โดยใช้คำสั่ง 'runas'
- สามารถปรับช่วงเวลาการส่งสัญญาณบีคอน พร้อมกำหนดค่าความคลาดเคลื่อน (jitter) เพื่อให้การสื่อสารเป็นแบบสุ่ม
นักวิจัยยังพบสัญญาณที่บ่งชี้ว่าเครื่องมือเขียนโค้ดที่ใช้ AI อาจมีส่วนช่วยในการพัฒนาของมัลแวร์ หลักฐานที่พบ ได้แก่ การจัดการข้อผิดพลาดที่ละเอียดผิดปกติ ตรรกะการเขียนโปรแกรมป้องกันที่มากเกินไป รูปแบบการตั้งชื่อที่ซ้ำซาก ข้อความสถานะแบบดีบักที่มีรายละเอียดสูง และโครงสร้างโค้ดแบบโมดูลาร์ ซึ่งไม่พบเห็นได้ทั่วไปในมัลแวร์ที่มีขนาดและความซับซ้อนระดับนี้
ความขัดแย้งกระตุ้นให้เกิดปฏิบัติการไซเบอร์ที่รวดเร็วและกว้างขวางยิ่งขึ้น
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เชื่อว่าแคมเปญเหล่านี้แสดงให้เห็นถึงวิวัฒนาการการดำเนินงานที่สำคัญของ Nimbus Manticore แทนที่จะชะลอตัวลงในช่วงที่มีความขัดแย้งทางภูมิรัฐศาสตร์ กลุ่มนี้กลับขยายทั้งความเร็วและความซับซ้อนของกิจกรรมต่างๆ
การนำแบ็กดอร์ที่พัฒนาขึ้นใหม่มาใช้งานอย่างรวดเร็วในระหว่างปฏิบัติการ แสดงให้เห็นถึงวงจรการพัฒนาของมัลแวร์ที่รวดเร็วขึ้น ซึ่งอาจได้รับการสนับสนุนจากเครื่องมือปัญญาประดิษฐ์ ในขณะเดียวกัน การเปลี่ยนจากฟิชชิ่งแบบเจาะจงเป้าหมายไปเป็นการโจมตี SEO สะท้อนให้เห็นถึงความทะเยอทะยานที่กว้างขึ้น ซึ่งขยายออกไปนอกเหนือจากการบุกรุกที่มุ่งเน้นการจารกรรมแบบดั้งเดิมในตะวันออกกลาง
ด้วยการผสมผสานการโจมตีแบบฟิชชิ่ง การโจรกรรม AppDomain การพัฒนาโปรแกรมมัลแวร์โดยใช้ AI และการบิดเบือนผลการค้นหาของเครื่องมือค้นหาในหลายระลอกของแคมเปญ Nimbus Manticore ได้แสดงให้เห็นถึงรูปแบบภัยคุกคามที่มีความสามารถในการปรับตัวสูงและสามารถพัฒนาได้อย่างรวดเร็วในช่วงเวลาที่เกิดความไม่มั่นคงทางภูมิรัฐศาสตร์
