กลุ่มแฮกเกอร์ APT-C-60 ทำการโจมตีไปยังญี่ปุ่นด้วยมัลแวร์ SpyGlace
Last updated: 10 Nov 2025
137 Views
สรุปข้อมูล
กลุ่มแฮกเกอร์ APT-C-60 ทำการโจมตีไปยังองค์กรในประเทศญี่ปุ่นเมื่อช่วงเดือนมิถุนายนถึงสิงหาคม 2025 ที่ผ่านมา โดยใช้ SpyGlace ที่แพร่กระจายผ่านอีเมล Spear-phishing พร้อมใช้ประโยชน์จาก Cloud Service และ GitHub ในการขโมยข้อมูลที่สำคัญต่าง ๆ ของเหยื่อออกมา
รายละเอียดการโจมตี
- แฮกเกอร์จะส่งอีเมล Spear-phishing ไปยังเหยื่อที่ต้องการ โดยเฉพาะเจ้าหน้าที่หรือพนักงานที่ทำหน้าที่สรรหาบุคคลหรือ HR โดยปลอมเป็นการสมัครงานซึ่งรูปแบบนี้จะคล้ายกับการโจมตีครั้งก่อน ๆ ของกลุ่มแฮกเกอร์ APT-C-60 พร้อมแนบไฟล์ VHDX ที่อันตราย เมื่อเหยื่อคลิกไฟล์ LNK ที่อยู่ภายใน VHDX Script ที่เป็นอันตรายจะถูกรันผ่าน Git
- ไฟล์ LNK จะรัน gcmd[.]exe ซึ่งเป็นไฟล์ไบนารี Git และไฟล์ Git จะรัน Script glog[.]txt ที่เก็บอยู่ในไฟล์ VHDX ด้วยคำสั่ง P:LICENSES[.]LOGmingw64bingcmd[.]exe cd [.]LICENSES[.]LOGmingw64bin && type glog[.]txt | gcmd[.]exe && exit โดย Script glog[.]txt มีหน้าที่ในการแสดงเอกสาร Decoy, สร้างไฟล์ Downloader1 ซึ่งคือ WebClassUser[.]dat และรันไฟล์ข้างต้น
- การติดตั้งไฟล์ Downloader1 ถูก Register ลงใน Registry HKCUSoftwareClassesCLSID{566296fe-e0e8-475f-ba9c-a31ad31620b1}InProcServer32 จากนั้นจะดำเนินการ Persistence และรันผ่าน COM Hijacking เพื่อให้แฮกเกอร์สามารถระบุเครื่องที่ถูกโจมตีจาก Volume Serial Number และ Computer Name โดยวิธีการติดต่อสื่อสารกับ Statcounter ซึ่งเป็น Service วิเคราะห์เว็บไซต์ผ่าน HTTP Request ระยะ ๆ
- จากนั้น Downloader1 จะสร้าง URL เพื่อดึง Payload เพิ่มเติมจาก GitHub โดยในกระบวนการนี้แฮกเกอร์ตรวจสอบค่า Referrer ที่ส่งไปยัง StatCounter จากนั้นอัปโหลดไฟล์ชื่อ [VolumeSerialNumber + ComputerName][.]txt ไปยัง GitHub แล้วดาวน์โหลดไฟล์ข้างต้นลงเครื่องเหยื่อจาก GitHub อีกครั้ง ไฟล์ที่ดาวน์โหลดคำสั่งดังนี้
- "1" เปลี่ยนช่วงเวลาการส่ง Request จาก 1 ชั่วโมงเป็น 6 ชั่วโมง
- "0" หรือ 40 Reset การตั้งค่าช่วงเวลา
- "http" ดาวน์โหลดไฟล์ DLL ชื่อ Downloader2 ต่อ
- เมื่อดาวน์โหลดไฟล์ Downloader2 สำเร็จ ไฟล์ที่ถูกดาวน์โหลดมาจะถูก Decode XOR ด้วย sgznqhtgnghvmzxponum Key จากนั้นไฟล์จะเริ่มทำงาน ซึ่งไฟล์ Downloader2 มีหน้าที่ในการดาวน์โหลด มัลแวร์ SpyGlace และ Loader ของมันจากนั้นจะถูก Decode ด้วย XOR AadDDRTaSPtyAG57er#$ad!lDKTOPLTEL78pE Key แล้ว SpyGlace จะรันผ่าน COM hijacking
- การทำงานของมัลแวร์ SpyGlace จะเริ่มจากตัวมัลแวร์เองจะติดตั้งไปยังตำแหน่ง %public%AccountPicturesDefault สำหรับมัลแวร์เวอร์ชันก่อน 3.1.14 ลงมา หรือไปยังตำแหน่ง %appdata%MicrosoftSystemCertificatesMyCPLs สำหรับเวอร์ชัน 3.1.14 ขึ้นไป และทำการติดต่อสื่อสารกับ C2 Server โดยใช้ BASE64 และ Custom RC4 รูปแบบของ HTTP Request
- หลังจากนั้น SpyGlace จะสามารถรับและรันคำสั่งต่าง ๆ จาก C2 Server ของแฮกเกอร์ เช่น
- คำสั่ง "Download" ใช้ดาวน์โหลดไฟล์ที่ Encrypt และ Decrypt ด้วย AES-128-CBC
- คำสั่ง "screenupload" ดาวน์โหลดโมดูล Screenshot ชื่อ Clouds[.]db
- คำสั่ง "uld" เรียกฟังก์ชันของโมดูลที่โหลดแล้ว Unload โมดูล
ผลกระทบจากการโจมตี
ผลกระทบจากการโจมตีของกลุ่ม APT-C-60 ด้วยมัลแวร์ SpyGlace ทำให้แฮกเกอร์สามารถดำเนินการ Cyber Espionage, ขโมยข้อมูลสำคัญ, เข้าควบคุมเครื่องของเหยื่อ และสามารถทำการขยายขอบเขตการโจมตีเพิ่มเติมได้ เช่น การติดตั้งมัลแวร์ เป็นต้น
สรุปการโจมตี
การโจมตีของกลุ่ม APT-C-60 ด้วยมัลแวร์ SpyGlace เริ่มจากส่งอีเมล Spear-phishing ไปยังเหยื่อที เพื่อให้เหยื่อรันรันไฟล์ LNK ทำให้ Script ภายในทำงาน ได้แก่ สร้างและติดตั้ง Downloader1 ตัวไฟล์นี้จะทำการติดต่อสื่อสารกับ Statcounter และ GitHub เพื่อดาวน์โหลด Downloader2 ซึ่งมีหน้าที่ในการดาวน์โหลดและรันมัลแวร์ SpyGlace ที่ใช้ในการโจมตีโดยควบคุมระบบผ่าน C2 Server ของแฮกเกอร์
คำแนะนำ
- Awareness Training เกี่ยวกับรูปแบบการโจมตีให้กับบุคลากรในองค์กร เช่น การ Phishing
- ใช้ Email Gateway ให้ตรวจจับและบล็อกไฟล์จากผู้ส่งที่ไม่รู้จัก
- หลีกเลี่ยงการเปิดลิงก์หรือดาวน์โหลดไฟล์ จากแหล่งไม่รู้จักหรือข้อความที่ไม่น่าเชื่อถือ
- หมั่นตรวจสอบการทำงานของไฟล์และระบบเป็นประจำ เช่น การ COM Hijacking ใน Registry
- ใช้ AppLocker หรือ Defender Application Control จำกัดการรัน Git หรือ Script ที่ไม่ได้รับอนุญาต
- พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
แหล่งอ้างอิง
Related Content
