Share

กลุ่มแฮกเกอร์ CL-UNK-1068 โจมตีหน่วยงานภาครัฐ การบิน และพลังงานในเอเชีย

Last updated: 18 Mar 2026
8 Views
สรุปข้อมูล
พบแคมเปญการโจมตีที่มุ่งเป้าไปยังหน่วยงานสำคัญ เช่น การบิน พลังงาน ภาครัฐ หน่วยงานเกี่ยวกับการบังคับใช้กฎหมาย เภสัชกรรม เทคโนโลยี และโทรคมนาคม ซึ่งใช้งานระบบปฏิบัติการ Windows และ Linux ในภูมิภาคเอเชียใต้ เอเชียตะวันออกเฉียงใต้ และเอเชียตะวันออก โดยเชื่อมโยงกับกลุ่มแฮกเกอร์จากประเทศจีนชื่อ CL-UNK-1068 ซึ่งมีวัตถุประสงค์หลักในการดำเนินการ Cyber Espionage หรือการจารกรรมทางไซเบอร์
 
รายละเอียดการโจมตี
  1. แฮกเกอร์เริ่มต้นด้วยการ Exploit Web Server เพื่อ Deploy Web Shell ต่าง ๆ ได้แก่ GodZilla Web Shell และ AntSword Variation ซึ่งทั้งสองตัวนี้เขียนด้วยภาษาอังกฤษผสมกับภาษาจีน หลังจากแฮกเกอร์สามารถสร้าง Initial Foothold แล้ว แฮกเกอร์ใช้ Web Shell ข้างต้นในการขยายขอบเขตการโจมตีไปยัง Host และ SQL Server หรือแพร่กระจายไปยังเครื่องอื่น ๆ ในเครือข่ายเพิ่มเติม
  2. หลังจาก Initial Access สำเร็จ แฮกเกอร์ทำการขโมยไฟล์ Configuration ของเว็บไซต์ โดยไปที่ไฟล์ที่อยู่ใน Directory “c:inetpubwwwroot” โดยเฉพาะไฟล์พวก web[.]config, [.]aspx, [.]asmx, [.]asax และ [.]dll เนื่องจากในไฟล์ข้างต้นมักจะมี Credential, Connection String หรือหาช่องโหว่ในโค้ดของเว็บไซต์
  3. ในขั้นตอนการ Exfiltration ข้อมูล แฮกเกอร์จะใช้ WinRAR ในการทำ Archive ไฟล์ที่ขโมยมาเป็น web[.]rar, web1[.]rar และ web2[.]rar ก่อนแล้วรันคำสั่ง “certutil -encode” เพื่อเปลี่ยนไฟล์นามสกุล [.]rar ให้เป็น Base64 Text แล้วใช้คำสั่ง “type” เพื่อ Print Base64 String ออกมาที่หน้าจอผ่าน Web Shell จากนั้นแฮกเกอร์ดำเนินการ Copy Text นั้นไปแล้ว Decode กลับเป็นไฟล์ที่เครื่องของแฮกเกอร์เอง
  4. เมื่อแฮกเกอร์ได้ข้อมูลการ Configuration มาแล้ว แฮกเกอร์จะเริ่มทำการ Lateral Movement ไปยัง Host และ SQL Server อื่น ๆ ในเครือข่าย โดยการใช้ Credential ที่ได้มาจากไฟล์ Configuration หรือข้อมูลจากการเชื่อมต่อใน Microsoft SQL Server Management Studio (SSMS) เพื่อเข้าถึงระบบอื่นเพิ่มเติม ส่วนบน Host ใหม่ที่แฮกเกอร์สามารถเข้าถึงได้นั้น จะทำขั้นตอนการโจมตีเดิมซ้ำคือขโมยไฟล์ Configuration, Browser History, Bookmarks, ไฟล์ XLSX และ CSV จาก Desktops และ User Directory รวมถึงไฟล์ Database Backup ([.]bak) จาก MSSQL Server
  5. ต่อมาแฮกเกอร์ทำการสร้าง Persistence และ Tunneling โดยใช้เทคนิค DLL Side-Loading ผ่านไฟล์ Python Executable เช่น python[.]exe หรือ pythonw[.]exe ซึ่งแฮกเกอร์จะใช้ไฟล์ EXE จริงข้างต้น พร้อมกับไฟล์ DLL ชื่อ python20[.]dll ซึ่งทำหน้าที่เป็น Loader และวางไฟล์ Obfuscate Shellcode ที่มีชื่อคล้ายกับ Python Executable ไว้ด้วย เมื่อ Python Executable ดังกล่าวถูกรันขึ้นมา มันจะ Side-Load python20[.]dll ที่เป็น Loader เข้ามา จากนั้น Loader จะอ่าน Obfuscate Shellcode, Deobfuscate Shellcode ใน Memory แล้ว Execute Shellcode ภายใน Memory Space ของ Python Process จริง หลังจากนั้น Shellcode จะ Decrypt และ Execute Payload ต่าง ๆ ใน Memory โดยไม่ต้องเขียนลง Disk
  6. Payload ที่แฮกเกอร์ใช้เทคนิค DLL Side-Loading นี้ Load ขึ้นมามีหลายตัวด้วยกัน ได้แก่
    • Fast Reverse Proxy (FRP) สำหรับสร้าง Persistent Access และ Bypass Firewall
    • PrintSpoofer สำหรับการ Privilege Escalation
    • ScanPortPlus ซึ่งเป็น Custom Scanner ที่แฮกเกอร์ Custom ขึ้นเอง
  7. สำหรับการ Reconnaissance ระบบเครือข่าย แฮกเกอร์ใช้ ScanPortPlus ซึ่งเป็น Custom Scanner ที่เขียนด้วยภาษา Go ในการสแกนเครือข่ายที่ถูก Compromise โดยแฮกเกอร์ Compile เวอร์ชันทั้งสำหรับ Windows และ Linux ScanPortPlus มี Command-line Options สำหรับการสแกน IP Address, Port Scanning และช่องโหว่ ส่วนในการทำ Host-Level Reconnaissance แฮกเกอร์ใช้วิธีการที่แตกต่างกัน เช่น
    • ในช่วงปี 2020 แฮกเกอร์ Deploy เครื่องมือ Custom [.]NET ชื่อว่า SuperDump เพื่อเก็บข้อมูลจาก Windows Host
    • หลังปี 2020 แฮกเกอร์เปลี่ยนมาใช้ Batch Script แทน SuperDump โดยใช้ Script ชื่อ hp[.]bat หรือ hpp[.]bat และในบางครั้งมีการใช้ a[.]bat ซึ่งแต่ละ Batch Script จะ Execute Commands หลายตัวและบันทึกผลลัพธ์ลงในไฟล์ [.]txt ที่มีชื่อตรงกัน หลังเก็บข้อมูลเสร็จ แฮกเกอร์จะ Execute Batch Script rar[.]bat หรือ rr[.]bat ที่มีหน้าที่ในการ Archive ไฟล์ผลลัพธ์ข้างต้น
  8. ในการขโมย Credential แฮกเกอร์ใช้เครื่องมือหลายตัว ตัวแรกคือ Mimikatz ซึ่งใช้ Dump Password จาก Memory ตัวที่สองคือ LsaRecorder ซึ่งเป็นเครื่องมือที่ถูกแชร์บน Chinese Security Forum ชื่อ Kanxue ในปี 2019 LsaRecorder จะค้นหา Login Password โดยการ Hook LsaApLogonUserEx2 Callback Function เพื่อบันทึก WinLogon Password นอกจากนี้แฮกเกอร์ยังใช้ DumpIt ซึ่งเป็นเครื่องมือ Multiplatform Forensics ร่วมกับ Volatility Framework โดยใช้ DumpIt Dump Memory เครื่องของเหยื่อก่อน จากนั้นใช้ Volatility Module หลายตัวในการค้นหาและตรวจสอบ ตัวอย่าง Module ที่ใช้ได้แก่
    • windows[.]hashdump สำหรับ Extract Local User Account NTLM Password Hash จาก SAM Registry Hive
    • windows[.]registry[.]lsadump[.]Lsadump สำหรับ Dump LSA Secret อย่างเช่น Service Account Password และ Cached Domain Credential
    • windows[.]registry[.]cachedump[.]Cachedump สำหรับ Dump Cached Domain Credential
      ในบางกรณีแฮกเกอร์มีการ Execute DumpIt และ Volatility โดยใช้ Batch Script ชื่อ dmp[.]bat และ vo[.]bat
  9. ส่วนการขโมย Password จาก Microsoft SQL Server Management Studio (SSMS) แฮกเกอร์ใช้เครื่องมือ SQL Server Management Studio Password Export ที่เผยแพร่บน Chinese Security Blog ในปี 2015 โดย Deploy มาเป็นชื่อไฟล์ ssms[.]exe เครื่องมือนี้ Extract ข้อมูลจากไฟล์ sqlstudio[.]bin ซึ่งเก็บ Saved Connection Info สำหรับ SSMS แฮกเกอร์จะรันเครื่องมือนี้บน Local แล้วใช้เทคนิคเดียวกันกับขั้นตอนที่ 3 ในการ Exfiltrate ไฟล์ sqlstudio[.]bin ผ่าน Web Shell นอกจากนี้ในบางแคมเปญแฮกเกอร์ยัง Deploy usql ซึ่งเป็น Universal Command-Line Interface สำหรับ Multiple Database อีกด้วย

ผลกระทบจากการโจมตี

จากการโจมตีของกลุ่มแฮกเกอร์ CL-UNK-1068 ทำให้แฮกเกอร์สามารถเข้าถึงและขโมยข้อมูลที่สำคัญต่าง ๆ เช่น ข้อมูล Credential, ข้อมูลใน Database และข้อมูลการ Backup รวมไปถึงเอกสารภายในองค์กรหรือหน่วยงานด้วย หลังจากแฮกเกอร์สามารถเข้าถึงระบบของเหยื่อได้สำเร็จ จะดำเนินการ Persistence และขยายขอบเขตการโจมตีไปยังเครื่องที่เกี่ยวข้อง

สรุปการโจมตี

แฮกเกอร์เริ่มจาก Web Server Exploitation เพื่อ Deploy Web Shell, ขโมยไฟล์ Configuration และ Credential, ทำ Lateral Movement ไปยัง Host และ SQL Server อื่นๆ, สร้าง Persistence ผ่าน DLL Side-Loading และ FRP Tunneling, ใช้ Custom Tools และ Batch Scripts ในการทำ Reconnaissance, ขโมย Credentials ด้วย Mimikatz, LsaRecorder, DumpIt หรือ Volatility และเครื่องมือ SSMS Password Export จากนั้น Exfiltrate ข้อมูลทั้งหมดผ่าน Web Shell โดยใช้เทคนิค Base64 Encoding

คำแนะนำ

  • หมั่นตรวจสอบและอัปเดตแพตช์ของ Web Server, Application Framework และระบบปฏิบัติการที่ใช้งานเป็นเวอร์ชันที่ได้รับการแก้ไขหรือเวอร์ชันล่าสุด
  • จำกัดสิทธิ์การใช้งานของผู้ใช้และระบบตามหลักการ Least Privilege
  • ตรวจสอบไฟล์และกระบวนการทำงานภายในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติเพิ่มเติม
  • พิจารณาการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม

แหล่งอ้างอิง

https://thehackernews.com/2026/03/web-server-exploits-and-mimikatz-used.html

https://unit42.paloaltonetworks.com/cl-unk-1068-targets-critical-sectors/

Tags :
#Hacker
#ECOP
#ECOPTH
#YourTrustedCybersecuritServicesCompany
#Cybersecurity
#Cybersecuritynews
Related Content
กลุ่มแฮกเกอร์ชาวเวียดนามโจมตี Meta Ads
กลุ่มแฮกเกอร์ชาวเวียดนามโจมตี Meta Ads
22 Oct 2024
ARRL ยืนยันเหตุการณ์การโจรกรรมข้อมูลจากการถูกโจมตีด้วย Ransomware
ARRL ยืนยันเหตุการณ์การโจรกรรมข้อมูลจากการถูกโจมตีด้วย Ransomware
16 Jul 2024
ของขวัญอันตรายรับคริสต์มาส SantaStealer มัลแวร์ใหม่ ขโมยข้อมูล
ของขวัญอันตรายรับคริสต์มาส SantaStealer มัลแวร์ใหม่ ขโมยข้อมูล
18 Dec 2025
Compare product
0/4
Remove all
Compare