มัลแวร์ PLUGGYAPE
หน่วยรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของยูเครน (CERT-UA) เปิดเผยปฏิบัติการโจมตีทางไซเบอร์ระลอกใหม่ที่มุ่งเป้าไปที่หน่วยงานด้านความมั่นคงของชาติ การโจมตีเหล่านี้ ซึ่งตรวจพบระหว่างเดือนตุลาคมถึงธันวาคม 2568 เกี่ยวข้องกับมัลแวร์สายพันธุ์ใหม่ที่ไม่เคยมีการบันทึกมาก่อน ซึ่งมีชื่อว่า PLUGGYAPE แคมเปญนี้แสดงให้เห็นถึงวิวัฒนาการอย่างต่อเนื่องทั้งในด้านกลยุทธ์ทางสังคมและการพัฒนาทางเทคนิคที่มุ่งเป้าไปที่ยูเครน
สารบัญ
การระบุแหล่งที่มาและโปรไฟล์ผู้ก่อภัยคุกคาม
กิจกรรมดังกล่าวมีความเชื่อมโยงกับกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัสเซีย ซึ่งรู้จักกันในชื่อ Void Blizzard หรือที่รู้จักกันในชื่อ Laundry Bear หรือ UAC-0190 โดยมีความน่าเชื่อถือในระดับปานกลาง การประเมินด้านข่าวกรองบ่งชี้ว่ากลุ่มนี้มีการเคลื่อนไหวมาอย่างน้อยตั้งแต่เดือนเมษายน 2024 ปฏิบัติการล่าสุดของพวกเขาแสดงให้เห็นถึงความสนใจที่มุ่งเน้นไปที่สภาพแวดล้อมที่เกี่ยวข้องกับกองทัพและการป้องกันประเทศ
วิศวกรรมทางสังคมเป็นหัวใจสำคัญของการเข้าถึงเบื้องต้น
ห่วงโซ่การติดเชื้อไม่ได้เริ่มต้นด้วยการใช้ช่องโหว่ แต่เริ่มต้นด้วยการหลอกลวง ผู้โจมตีเริ่มต้นการติดต่อผ่านแพลตฟอร์มการส่งข้อความโต้ตอบแบบทันทีที่ได้รับความไว้วางใจอย่างกว้างขวาง เช่น Signal และ WhatsApp โดยแอบอ้างเป็นตัวแทนขององค์กรการกุศล พวกเขาชักชวนเหยื่อให้เปิดลิงก์ที่นำไปสู่เว็บไซต์ด้านมนุษยธรรมปลอม ซึ่งรวมถึงโดเมนต่างๆ เช่น harthulp-ua.com และ solidarity-help.org เว็บไซต์เหล่านี้แอบอ้างเป็นมูลนิธิที่ถูกต้องตามกฎหมายและมีไฟล์เก็บข้อมูลที่ได้รับการป้องกันด้วยรหัสผ่านซึ่งมีมัลแวร์อยู่ภายใน
ผู้โจมตีมักใช้บัญชีที่ถูกแฮ็กหรือบัญชีที่ถูกเตรียมไว้อย่างแนบเนียนซึ่งเชื่อมโยงกับผู้ให้บริการโทรศัพท์มือถือในยูเครน การสื่อสารจะดำเนินการเป็นภาษาอูเครนและอาจรวมถึงการโทรด้วยเสียงหรือวิดีโอ ในหลายกรณี ผู้โจมตีแสดงให้เห็นถึงความรู้ความเข้าใจอย่างละเอียดเกี่ยวกับภูมิหลัง องค์กร และบริบทการดำเนินงานของเหยื่อ ซึ่งช่วยเพิ่มโอกาสความสำเร็จของความพยายามในการหลอกลวงทางสังคมอย่างมาก
ภายใน PLUGGYAPE: ความสามารถและวิวัฒนาการของมัลแวร์
ไฟล์ที่ดาวน์โหลดมาจะติดตั้งไฟล์ปฏิบัติการที่สร้างด้วย PyInstaller ซึ่งจะติดตั้งแบ็กดอร์ PLUGGYAPE มัลแวร์นี้เขียนด้วยภาษา Python ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดใดๆ ก็ได้จากระยะไกลบนระบบที่ติดมัลแวร์ เมื่อเวลาผ่านไป เวอร์ชันใหม่ๆ ได้รวมเอาเทคนิคการปกปิดที่แข็งแกร่งขึ้นและกลไกต่อต้านการวิเคราะห์ที่ออกแบบมาเพื่อป้องกันการเรียกใช้ในสภาพแวดล้อมเสมือนจริงหรือสภาพแวดล้อมการวิจัย
PLUGGYAPE สื่อสารกับผู้ดูแลระบบโดยใช้การเชื่อมต่อ WebSocket และตั้งแต่เดือนธันวาคม 2025 เป็นต้นไป จะรองรับโปรโตคอล MQTT เพิ่มความยืดหยุ่นและความทนทาน ช่องทางการสื่อสารนี้ช่วยให้สามารถควบคุมโฮสต์ที่ถูกบุกรุกได้อย่างต่อเนื่อง และอำนวยความสะดวกในการสั่งการอย่างรวดเร็วโดยผู้โจมตี
ความยืดหยุ่นในการควบคุมและสั่งการ และความปลอดภัยในการปฏิบัติงาน
แทนที่จะฝังที่อยู่เซิร์ฟเวอร์ควบคุมลงในมัลแวร์โดยตรง ผู้โจมตีจะดึงปลายทางควบคุมและสั่งการจากบริการวางข้อความสาธารณะ เช่น rentry.co และ pastebin.com ที่อยู่เหล่านี้จะถูกจัดเก็บในรูปแบบเข้ารหัส base64 ทำให้ผู้โจมตีสามารถเปลี่ยนแปลงโครงสร้างพื้นฐานได้อย่างรวดเร็วโดยไม่ต้องติดตั้งมัลแวร์ใหม่ วิธีนี้ทำให้การกำจัดมัลแวร์ทำได้ยากขึ้น และเพิ่มความต่อเนื่องในการปฏิบัติงานหากพบและขัดขวางเซิร์ฟเวอร์ที่รู้จัก
การเปลี่ยนแปลงที่กว้างขึ้นไปสู่การส่งภัยคุกคามผ่านแอปพลิเคชันส่งข้อความ
CERT-UA เน้นย้ำว่าแอปพลิเคชันส่งข้อความยอดนิยมทั้งบนอุปกรณ์เคลื่อนที่และคอมพิวเตอร์ส่วนบุคคลกำลังกลายเป็นช่องทางหลักในการแพร่กระจายภัยคุกคามทางไซเบอร์อย่างรวดเร็ว ความแพร่หลายของแอปพลิเคชันเหล่านี้ ผนวกกับความไว้วางใจของผู้ใช้และการโต้ตอบแบบเรียลไทม์ ทำให้แอปพลิเคชันเหล่านี้เป็นแพลตฟอร์มที่มีประสิทธิภาพเป็นพิเศษในการส่งมอบเครื่องมือที่เป็นอันตรายและบงการเหยื่อ
