การโจมตีแรนซัมแวร์แบบปลอมแปลง MuddyWater

กลุ่มแฮ็กเกอร์ MuddyWater ที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน ซึ่งถูกติดตามภายใต้ชื่อแฝงต่างๆ เช่น Mango Sandstorm, Seedworm และ Static Kitten ถูกเชื่อมโยงกับแคมเปญเรียกค่าไถ่ที่ซับซ้อน ซึ่งผู้ตรวจสอบอธิบายว่าเป็นปฏิบัติการหลอกลวง แม้ว่าการบุกรุกในตอนแรกจะดูคล้ายกับกิจกรรมที่เกี่ยวข้องกับการปฏิบัติการ Ransomware-as-a-Service (RaaS) ทั่วไปโดยใช้แบรนด์แรนซัมแวร์ Chaos แต่การวิเคราะห์เชิงลึกเผยให้เห็นลักษณะที่สอดคล้องกับการโจมตีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลโดยมีเป้าหมายเฉพาะเจาะจง ซึ่งปลอมตัวเป็นภัยคุกคามทางการเงิน

ปฏิบัติการโจมตีนี้ ซึ่งถูกค้นพบในช่วงต้นปี 2026 อาศัยเทคนิควิศวกรรมสังคมผ่าน Microsoft Teams เป็นอย่างมาก ผู้โจมตีทำการโต้ตอบกับเหยื่ออย่างใกล้ชิด โดยใช้ฟังก์ชันการแชร์หน้าจอเพื่อขโมยข้อมูลประจำตัวและจัดการกระบวนการตรวจสอบสิทธิ์แบบหลายปัจจัย หลังจากเข้าถึงระบบได้แล้ว ผู้โจมตีก็ละทิ้งกลยุทธ์แรนซัมแวร์แบบดั้งเดิม เช่น การเข้ารหัสไฟล์ขนาดใหญ่ และหันมาเน้นการขโมยข้อมูล การคงอยู่ในระบบอย่างลับๆ และการเข้าถึงเครือข่ายในระยะยาวผ่านยูทิลิตี้การจัดการระยะไกลแทน

กลวิธีอาชญากรรมไซเบอร์ที่ใช้ในการปกปิดปฏิบัติการของรัฐ

นักวิจัยเชื่อว่าแคมเปญนี้สะท้อนให้เห็นถึงความพยายามโดยเจตนาของ MuddyWater ในการปกปิดแหล่งที่มาโดยการนำเครื่องมือและเทคนิคที่มักเกี่ยวข้องกับระบบนิเวศของอาชญากรไซเบอร์มาใช้ กลุ่มนี้ได้บูรณาการมัลแวร์ใต้ดินที่มีจำหน่ายในเชิงพาณิชย์และเฟรมเวิร์กการเข้าถึงระยะไกลเข้ากับการดำเนินงานของตนมากขึ้นเรื่อยๆ รวมถึงเครื่องมือต่างๆ เช่น CastleRAT และ Tsundere

กลยุทธ์นี้สอดคล้องกับแคมเปญก่อนหน้านี้ของ MuddyWater ที่ผสมผสานการจารกรรมและกิจกรรมทำลายล้างเข้ากับการปฏิบัติการแบบแรนซัมแวร์ ในปี 2020 กลุ่มนี้ได้โจมตีองค์กรสำคัญของอิสราเอลโดยใช้โปรแกรมโหลด PowGoop เพื่อติดตั้งแรนซัมแวร์ Thanos เวอร์ชันทำลายล้าง ในปี 2023 ไมโครซอฟต์เชื่อมโยงกลุ่มนี้กับ DEV-1084 ซึ่งเป็นผู้ก่อการร้ายที่เกี่ยวข้องกับตัวตน DarkBit ในระหว่างการโจมตีที่ปลอมตัวเป็นเหตุการณ์แรนซัมแวร์ และในช่วงปลายปี 2025 ผู้ก่อการร้ายที่เชื่อมโยงกับอิหร่านก็ถูกสงสัยว่าใช้แรนซัมแวร์ Qilin โจมตีโรงพยาบาลของรัฐบาลอิสราเอลด้วย

นักวิจัยด้านความปลอดภัยสรุปว่า การโจมตีครั้งล่าสุดน่าจะเกี่ยวข้องกับผู้ปฏิบัติการที่เชื่อมโยงกับอิหร่าน ซึ่งดำเนินการผ่านโครงสร้างพื้นฐานของอาชญากรไซเบอร์ที่มีอยู่แล้ว โดยมีเป้าหมายทางภูมิรัฐศาสตร์ที่กว้างขึ้น การใช้ Qilin และการมีส่วนร่วมในระบบนิเวศของกลุ่มแรนซัมแวร์น่าจะช่วยให้ปฏิบัติการปกปิดตัวตน ปฏิเสธความรับผิดชอบได้อย่างแนบเนียน และเข้าถึงความสามารถในการโจมตีขั้นสูง ในขณะเดียวกันก็ช่วยให้ผู้โจมตีหลบเลี่ยงการเฝ้าระวังด้านการป้องกันของอิสราเอลที่เข้มงวดขึ้นได้

Chaos RaaS: ระบบนิเวศการรีดไถที่กำลังเติบโต

กลุ่ม Chaos ปรากฏตัวขึ้นในช่วงต้นปี 2025 ในฐานะปฏิบัติการ Ransomware-as-a-Service ที่ขึ้นชื่อเรื่องกลยุทธ์การเรียกค่าไถ่แบบสองเท่าที่รุนแรง กลุ่มนี้โปรโมตโปรแกรมพันธมิตรของตนในฟอรัมอาชญากรรมไซเบอร์ใต้ดิน เช่น RAMP และ RehubCom และขยายขอบเขตการดำเนินงานอย่างรวดเร็ว

การโจมตีแบบ Chaos มักผสมผสานการส่งอีเมลจำนวนมาก การหลอกลวงทางเสียง และการปลอมตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุนด้านไอทีของ Microsoft Teams โดยที่ผู้โจมตีจะแอบอ้างเป็นเหยื่อ เหยื่อจะถูกหลอกให้ติดตั้งแอปพลิเคชันการเข้าถึงระยะไกล เช่น Microsoft Quick Assist ซึ่งทำให้ผู้โจมตีสามารถสร้างฐานที่มั่นภายในสภาพแวดล้อมขององค์กรก่อนที่จะยกระดับสิทธิ์ ขยายไปยังส่วนอื่นๆ และติดตั้งมัลแวร์เรียกค่าไถ่

นอกจากนี้ กลุ่มดังกล่าวยังแสดงให้เห็นถึงรูปแบบการรีดไถที่ก้าวร้าวมากขึ้นเรื่อยๆ:

• การรีดไถสองทางด้วยการขโมยข้อมูลและการเรียกค่าไถ่
• การขู่กรรโชกสามชั้นที่เกี่ยวข้องกับการข่มขู่ด้วยการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS)
• กลยุทธ์การกรรโชกทรัพย์แบบสี่เท่า ซึ่งรวมถึงการข่มขู่ว่าจะติดต่อลูกค้า คู่ค้า หรือคู่แข่ง เพื่อเพิ่มแรงกดดันต่อเหยื่อ

ภายในเดือนมีนาคม 2026 Chaos ได้คร่าชีวิตเหยื่อไปแล้ว 36 รายบนแพลตฟอร์มเผยแพร่ข้อมูลลับของตน โดยส่วนใหญ่เป็นองค์กรที่ตั้งอยู่ในสหรัฐอเมริกา และภาคอุตสาหกรรมที่ตกเป็นเป้าหมายมากที่สุด ได้แก่ การก่อสร้าง การผลิต และบริการทางธุรกิจ

กายวิภาคของการรุกล้ำ

ในระหว่างการตรวจสอบการบุกรุก ผู้โจมตีได้เริ่มต้นการสนทนาภายนอกผ่าน Microsoft Teams กับพนักงานเพื่อสร้างความไว้วางใจและกระตุ้นให้เกิดการแชร์หน้าจอ จากนั้นบัญชีผู้ใช้ที่ถูกบุกรุกจะถูกนำไปใช้ในการสอดแนม การคงอยู่ในระบบ การเคลื่อนที่ไปยังส่วนอื่น และการขโมยข้อมูล

ขณะที่เชื่อมต่อกับระบบของเหยื่อ ผู้โจมตีได้ดำเนินการคำสั่งสอดแนม เข้าถึงไฟล์ที่เกี่ยวข้องกับ VPN และสั่งให้ผู้ใช้ป้อนข้อมูลประจำตัวด้วยตนเองลงในเอกสารข้อความที่สร้างขึ้นในเครื่อง ในหลายกรณี มีการติดตั้ง AnyDesk เพื่อเสริมความแข็งแกร่งให้กับความสามารถในการเข้าถึงระยะไกล

นอกจากนี้ ผู้โจมตียังใช้โปรโตคอลการเข้าถึงระยะไกล (RDP) เพื่อดึงไฟล์ปฏิบัติการชื่อ “ms_upd.exe” จากเซิร์ฟเวอร์ภายนอกที่อยู่ 172.86.126.208 โดยใช้ยูทิลิตี้ curl เมื่อเรียกใช้งานแล้ว มัลแวร์จะเริ่มกระบวนการแพร่ระบาดหลายขั้นตอน ซึ่งออกแบบมาเพื่อติดตั้งส่วนประกอบที่เป็นอันตรายเพิ่มเติมและสร้างการสื่อสารควบคุมและสั่งการอย่างต่อเนื่อง

คลังมัลแวร์อยู่เบื้องหลังแคมเปญนี้

ห่วงโซ่การติดเชื้อประกอบด้วยส่วนประกอบมัลแวร์หลายส่วนที่ทำงานร่วมกันเพื่อรักษาการคงอยู่และดำเนินการคำสั่งจากระยะไกล:

• 'ms_upd.exe' (Stagecomp) รวบรวมข้อมูลระบบและติดต่อเซิร์ฟเวอร์ควบคุมเพื่อดาวน์โหลดเพย์โหลดเสริม ได้แก่ 'game.exe', 'WebView2Loader.dll' และ 'visualwincomp.txt'
• 'game.exe' (Darkcomp) ทำงานเป็นโทรจันสำหรับการเข้าถึงระยะไกลแบบกำหนดเอง โดยปลอมตัวเป็นแอปพลิเคชัน Microsoft WebView2 ที่ถูกต้องตามกฎหมาย ซึ่งสร้างขึ้นจากโครงการ WebView2APISample อย่างเป็นทางการ

• ไฟล์ 'WebView2Loader.dll' เป็นส่วนประกอบที่จำเป็นสำหรับการทำงานของ Microsoft Edge WebView2 อย่างถูกต้องตามกฎหมาย

• ไฟล์ 'visualwincomp.txt' บรรจุข้อมูลการกำหนดค่าที่เข้ารหัสไว้ ซึ่ง RAT ใช้ในการระบุโครงสร้างพื้นฐานการควบคุมและสั่งการ

เมื่อเปิดใช้งานแล้ว โทรจันสำหรับการเข้าถึงระยะไกลจะสื่อสารกับเซิร์ฟเวอร์คำสั่งอย่างต่อเนื่องทุกๆ 60 วินาที ทำให้ผู้ใช้งานสามารถเรียกใช้สคริปต์ PowerShell รันคำสั่งระบบ แก้ไขไฟล์ และสร้างเซสชันบรรทัดคำสั่งแบบโต้ตอบได้

หลักฐานที่เชื่อมโยงปฏิบัติการนี้กับ MuddyWater

หลักฐานที่บ่งชี้ว่า MuddyWater เป็นผู้ก่อเหตุได้รับการสนับสนุนมากขึ้นจากการค้นพบใบรับรองการลงนามรหัสที่เชื่อมโยงกับ 'Donald Gay' ซึ่งใช้ในการลงนามตัวอย่างมัลแวร์ 'ms_upd.exe' ใบรับรองเดียวกันนี้เคยเชื่อมโยงกับมัลแวร์ของ MuddyWater มาก่อน รวมถึงมัลแวร์ดาวน์โหลด CastleLoader เวอร์ชันหนึ่งที่รู้จักกันในชื่อ Fakeset ด้วย

นักวิจัยตั้งข้อสังเกตว่าปฏิบัติการดังกล่าวแสดงให้เห็นถึงการบรรจบกันอย่างมีนัยสำคัญระหว่างกิจกรรมจารกรรมที่ได้รับการสนับสนุนจากรัฐและวิธีการปฏิบัติการของอาชญากรไซเบอร์ การบูรณาการของการสร้างแบรนด์แรนซัมแวร์ การเจรจาต่อรองเพื่อเรียกค่าไถ่ และกรอบการทำงานของมัลแวร์ที่มีจำหน่ายในเชิงพาณิชย์ ทำให้ความพยายามในการระบุแหล่งที่มามีความซับซ้อนมากขึ้น และเบี่ยงเบนความสนใจในการป้องกันไปสู่กิจกรรมตอบโต้ค่าไถ่ในทันที แทนที่จะเป็นกลไกการคงอยู่ระยะยาวที่สร้างขึ้นผ่านเครื่องมือการเข้าถึงระยะไกล

เหตุใดการโจมตีครั้งนี้จึงโดดเด่น

หนึ่งในแง่มุมที่ผิดปกติที่สุดของแคมเปญนี้คือ การขาดการเข้ารหัสไฟล์อย่างแพร่หลาย แม้ว่าจะมีการใช้ส่วนประกอบของแรนซัมแวร์ Chaos ก็ตาม การเบี่ยงเบนจากพฤติกรรมแรนซัมแวร์มาตรฐานนี้ ชี้ให้เห็นอย่างชัดเจนว่าส่วนประกอบของแรนซัมแวร์นั้น ทำหน้าที่เป็นเพียงการอำพรางหรือการเบี่ยงเบนความสนใจในการปฏิบัติงาน มากกว่าจะเป็นเป้าหมายหลักของภารกิจ

แคมเปญนี้ยังเน้นย้ำถึงแนวโน้มที่เพิ่มขึ้นในกลุ่มผู้ก่อภัยคุกคามทางไซเบอร์ของอิหร่านที่นำเครื่องมืออาชญากรรมไซเบอร์มาใช้ในการปฏิบัติการที่รัฐบาลสั่งการ โดยการใช้ประโยชน์จากโครงสร้างพื้นฐานใต้ดินและระบบนิเวศของมัลแวร์ที่มีอยู่ กลุ่มต่างๆ เช่น MuddyWater จะได้รับความยืดหยุ่นในการปฏิบัติงานมากขึ้น ลดต้นทุนการพัฒนาภายใน และทำให้ความพยายามในการระบุตัวผู้กระทำผิดสำหรับฝ่ายป้องกันและนักวิเคราะห์ข่าวกรองมีความซับซ้อนมากขึ้นอย่างมาก