TA416 การโจมตีแบบฟิชชิ่ง

นับตั้งแต่กลางปี 2025 กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากจีนได้กลับมาปรากฏตัวอีกครั้ง โดยมุ่งเป้าไปที่หน่วยงานรัฐบาลและหน่วยงานทางการทูตของยุโรปเป็นหลัก หลังจากที่กิจกรรมในภูมิภาคนี้ลดลงไปเกือบสองปี การโจมตีครั้งนี้ถูกระบุว่าเป็นฝีมือของกลุ่ม TA416 ซึ่งเป็นกลุ่มแฮกเกอร์ที่เกี่ยวข้องกับ DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 และ Vertigo Panda ด้วย

ปฏิบัติการเหล่านี้มุ่งเป้าไปที่สถานทูตหรือสถานทูตที่เกี่ยวข้องกับสหภาพยุโรปและนาโตในหลายประเทศเป็นหลัก แคมเปญเหล่านี้ประกอบด้วยการดำเนินการเป็นระลอกๆ อย่างเป็นระบบ ซึ่งเกี่ยวข้องกับการติดตามช่องโหว่บนเว็บไซต์และการส่งมัลแวร์ แสดงให้เห็นถึงความพยายามในการรวบรวมข้อมูลข่าวกรองอย่างมีโครงสร้างและต่อเนื่อง

การขยายขอบเขตที่เกิดจากความตึงเครียดทางภูมิรัฐศาสตร์

TA416 ได้ขยายขอบเขตการปฏิบัติการออกไปนอกยุโรป โดยเริ่มดำเนินการโจมตีองค์กรภาครัฐและองค์กรทางการทูตในตะวันออกกลาง ภายหลังความขัดแย้งระหว่างสหรัฐฯ อิสราเอล และอิหร่านทวีความรุนแรงขึ้นในเดือนกุมภาพันธ์ 2026

การขยายขอบเขตนี้สะท้อนให้เห็นถึงความพยายามเชิงกลยุทธ์ในการรวบรวมข้อมูลข่าวกรองระดับภูมิภาคที่มีความละเอียดอ่อน โดยเน้นให้เห็นว่าลำดับความสำคัญในการกำหนดเป้าหมายของกลุ่มนั้นสอดคล้องกับการพัฒนาทางภูมิรัฐศาสตร์ที่เปลี่ยนแปลงไปอย่างใกล้ชิด

ระบบนิเวศภัยคุกคามที่ทับซ้อนกันและเทคนิคที่ใช้ร่วมกัน

TA416 มีความคล้ายคลึงทางเทคนิคอย่างเห็นได้ชัดกับกลุ่มภัยคุกคามขั้นสูงอีกกลุ่มหนึ่งที่รู้จักกันทั่วไปในชื่อ Mustang Panda หรือที่รู้จักกันในชื่อ CerenaKeeper, Red Ishtar และ UNK_SteadySplit ทั้งสองกลุ่มนี้ถูกติดตามภายใต้การจัดประเภทที่กว้างกว่า เช่น Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX และ Twill Typhoon

ในขณะที่ TA416 เกี่ยวข้องกับมัลแวร์ PlugX ที่ได้รับการปรับแต่งเป็นหลัก แต่ Mustang Panda มักใช้เครื่องมือต่างๆ เช่น TONESHELL, PUBLOAD และ COOLCLIENT ถึงแม้จะมีความแตกต่างกัน แต่ทั้งสองกลุ่มต่างพึ่งพาการโหลด DLL จากภายนอกเป็นเทคนิคการทำงานหลัก ซึ่งแสดงให้เห็นถึงวิธีการปฏิบัติงานที่คล้ายคลึงกัน

ห่วงโซ่การติดเชื้อแบบปรับตัวและเทคนิคการนำส่ง

TA416 แสดงให้เห็นถึงความยืดหยุ่นสูงโดยการพัฒนาห่วงโซ่การติดเชื้ออย่างต่อเนื่อง เทคนิคที่พบในแคมเปญต่างๆ ได้แก่ การใช้หน้ายืนยัน Cloudflare Turnstile ในทางที่ผิด การใช้กลไกการเปลี่ยนเส้นทาง OAuth ในทางที่ผิด และการใช้ไฟล์โปรเจ็กต์ C# ที่เป็นอันตราย

กลุ่มนี้เผยแพร่ซอฟต์แวร์มัลแวร์ผ่านอีเมลฟิชชิ่งที่ส่งจากบัญชีอีเมลฟรี ข้อความเหล่านี้มักมีลิงก์ไปยังไฟล์ที่เป็นอันตรายซึ่งจัดเก็บไว้บนแพลตฟอร์มต่างๆ เช่น Microsoft Azure Blob Storage, Google Drive, โดเมนที่ผู้โจมตีควบคุม หรือสภาพแวดล้อม SharePoint ที่ถูกบุกรุก

เทคนิคการสอดแนมที่สำคัญอย่างหนึ่งคือการใช้เว็บบั๊ก ซึ่งเป็นองค์ประกอบติดตามขนาดเล็กที่มองไม่เห็น ฝังอยู่ในอีเมล เมื่อเปิดออก เว็บบั๊กเหล่านี้จะเรียกใช้คำขอ HTTP ที่เปิดเผยข้อมูลเมตาของผู้รับ เช่น ที่อยู่ IP, ตัวแทนผู้ใช้ และเวลาเข้าถึง ทำให้ผู้โจมตีสามารถยืนยันการมีส่วนร่วมและปรับปรุงเป้าหมายได้

การใช้ OAuth ในทางที่ผิดและการส่งมัลแวร์ผ่านระบบคลาวด์

ในช่วงปลายปี 2025 แคมเปญ TA416 ได้ใช้ประโยชน์จากจุดเชื่อมต่อการอนุญาต Microsoft OAuth ที่ถูกต้องตามกฎหมาย เหยื่อที่คลิกลิงก์ฟิชชิ่งจะถูกเปลี่ยนเส้นทางผ่านขั้นตอนการตรวจสอบสิทธิ์ที่เชื่อถือได้ ก่อนที่จะถูกส่งต่อไปยังโครงสร้างพื้นฐานที่ผู้โจมตีควบคุมซึ่งมีเพย์โหลดที่เป็นอันตรายโดยไม่แจ้งให้ทราบล่วงหน้า

ในช่วงต้นปี 2026 กลุ่มดังกล่าวได้ปรับปรุงวิธีการของตนให้ดียิ่งขึ้นไปอีก โดยการเผยแพร่ไฟล์เก็บถาวรผ่าน Google Drive และระบบ SharePoint ที่ถูกบุกรุก ไฟล์เก็บถาวรเหล่านี้ประกอบด้วยไฟล์ปฏิบัติการ Microsoft MSBuild ที่ถูกต้องตามกฎหมายควบคู่ไปกับไฟล์โปรเจ็กต์ C# ที่เป็นอันตราย ทำให้เกิดเส้นทางการเรียกใช้งานที่หลอกลวงแต่มีประสิทธิภาพ

การโจมตีช่องโหว่ MSBuild และการติดตั้งเพย์โหลดแบบหลายขั้นตอน

ยูทิลิตี้ MSBuild มีบทบาทสำคัญในห่วงโซ่การติดเชื้อของ TA416 เมื่อถูกเรียกใช้งาน มันจะค้นหาและคอมไพล์ไฟล์โปรเจ็กต์ภายในไดเร็กทอรีการทำงานโดยอัตโนมัติ ในการโจมตีเหล่านี้ ไฟล์ CSPROJ ที่เป็นอันตรายจะทำหน้าที่เป็นตัวดาวน์โหลดที่ถอดรหัส URL ที่เข้ารหัส Base64 และดึงส่วนประกอบเพย์โหลดเพิ่มเติม

กระบวนการนี้เกี่ยวข้องกับการดาวน์โหลดแพ็กเกจ DLL สำหรับการติดตั้งแบบ sideloading จัดเก็บไว้ในไดเร็กทอรีชั่วคราว และเรียกใช้ไฟล์ไบนารีที่ถูกต้องตามกฎหมายซึ่งจะโหลดมัลแวร์ PlugX วิธีการแบบหลายขั้นตอนนี้ช่วยเพิ่มความลับและทำให้การตรวจจับทำได้ยากขึ้น

ความสามารถและกลไกการคงอยู่ของช่องโหว่ใน PlugX

PlugX ยังคงเป็นส่วนประกอบสำคัญของการปฏิบัติการของ TA416 โดยถูกนำไปใช้ในแคมเปญต่างๆ อย่างสม่ำเสมอ แม้ว่ากลไกการส่งมอบจะแตกต่างกันไปก็ตาม มัลแวร์นี้จะสร้างการสื่อสารแบบเข้ารหัสกับโครงสร้างพื้นฐานการควบคุมและสั่งการ และทำการตรวจสอบการป้องกันการวิเคราะห์ก่อนที่จะดำเนินการเพื่อหลีกเลี่ยงการตรวจจับ

ฟังก์ชันการทำงานของระบบนี้ช่วยให้สามารถควบคุมระบบและดึงข้อมูลได้อย่างครอบคลุม ความสามารถหลักประกอบด้วย:

• การรวบรวมข้อมูลระบบโดยละเอียด
• เคลื่อนย้ายตัวเองเพื่อหลีกเลี่ยงการวิเคราะห์ทางนิติวิทยาศาสตร์
• การปรับเปลี่ยนช่วงเวลาการสื่อสารกับเซิร์ฟเวอร์คำสั่ง
• ดาวน์โหลดและเรียกใช้เพย์โหลดเพิ่มเติม
• ตั้งค่าการเข้าถึงแบบย้อนกลับสำหรับการควบคุมระยะไกล

วิวัฒนาการอย่างต่อเนื่องและการกำหนดเป้าหมายเชิงกลยุทธ์

การกลับมามุ่งเน้นเป้าหมายในยุโรปของ TA416 หลังจากที่ก่อนหน้านี้เน้นไปที่เอเชียตะวันออกเฉียงใต้และมองโกเลีย บ่งชี้ถึงการให้ความสำคัญกับการรวบรวมข้อมูลข่าวกรองที่เกี่ยวข้องกับสหภาพยุโรปและนาโตอีกครั้ง ในขณะเดียวกัน การขยายปฏิบัติการไปยังตะวันออกกลางก็เน้นย้ำถึงความพร้อมของกลุ่มในการตอบสนองต่อความขัดแย้งระดับโลก

ความเต็มใจของผู้ก่อภัยคุกคามในการพัฒนาเทคนิคต่างๆ อย่างต่อเนื่อง ตั้งแต่หน้ายืนยันตัวตนปลอมไปจนถึงการใช้ OAuth ในทางที่ผิด และการเรียกใช้งานโดยใช้ MSBuild แสดงให้เห็นถึงความมุ่งมั่นอย่างต่อเนื่องในการหลบเลี่ยงและการเพิ่มประสิทธิภาพในการปฏิบัติงาน การปรับปรุงมัลแวร์ PlugX อย่างต่อเนื่องยิ่งตอกย้ำบทบาทของมันในฐานะภัยคุกคามด้านการจารกรรมทางไซเบอร์ที่ซับซ้อนและปรับตัวได้