คุณแน่ใจหรือไม่ว่าแอปพลิเคชันที่คุณใช้สื่อสารในชีวิตประจำวันจะไม่กลายเป็นช่องทางลับให้แฮกเกอร์? ผู้เชี่ยวชาญด้านความมั่นคงไซเบอร์ได้เปิดเผยภัยคุกคามใหม่ล่าสุดที่ชื่อว่า ChaosBot ซึ่งเป็นแบ็กดอร์ที่เขียนด้วยภาษา Rust ประสิทธิภาพสูง จุดที่น่ากังวลที่สุดคือการที่มัลแวร์นี้ใช้ช่องทางแชตที่ถูกกฎหมายอย่าง Discord เป็นโครงสร้างพื้นฐานหลักสำหรับ Command and Control (C2) ทำให้สามารถส่งคำสั่งระยะไกลไปยังคอมพิวเตอร์ของเหยื่อได้อย่างแนบเนียน
ChaosBot ถูกตรวจพบครั้งแรกในสภาพแวดล้อมของลูกค้าในภาคบริการทางการเงิน และเป็นสัญญาณเตือนถึงแนวโน้มที่อาชญากรไซเบอร์ใช้แพลตฟอร์มโซเชียลที่ผู้คนไว้วางใจเพื่อพรางการสื่อสารที่เป็นอันตรายไปกับทราฟฟิกเครือข่ายปกติ
ช่องทางโจมตีหลัก: ChaosBot ใช้ Discord เป็นศูนย์ควบคุมได้อย่างไร
ChaosBot ได้รับชื่อมาจากโปรไฟล์ Discord ของผู้โจมตี (‘chaos_00019’) มัลแวร์นี้ทำงานโดยการสร้างช่องแชต Discord ส่วนตัวสำหรับเหยื่อแต่ละราย ซึ่งทำหน้าที่เป็นช่องทางที่ยืดหยุ่นและคงทนสำหรับการควบคุมระยะไกล
1. กลยุทธ์การเข้าถึงเริ่มต้นที่หลากหลาย (Initial Access)
ผู้โจมตีใช้กลยุทธ์แบบคู่ในการติดตั้ง ChaosBot โดยมุ่งเป้าไปที่บัญชีองค์กรที่มีสิทธิ์สูงและผู้ใช้งานทั่วไป:
- การใช้บัญชีที่ถูกขโมย: ใช้ข้อมูลรับรอง VPN/Domain ที่อ่อนแอหรือถูกขโมยเพื่อเข้าสู่เครือข่าย จากนั้นใช้ WMI (Windows Management Instrumentation) เพื่อติดตั้งมัลแวร์จากระยะไกล
- การโจมตีแบบฟิชชิงผ่านไฟล์ LNK: มัลแวร์จะถูกส่งผ่านอีเมลฟิชชิงที่มีไฟล์ Windows Shortcut (LNK) อันตราย การเปิดไฟล์ LNK จะรันคำสั่ง PowerShell เพื่อติดตั้ง ChaosBot พร้อมกับแสดงไฟล์ PDF ปลอมเพื่อเบี่ยงเบนความสนใจ
2. ความสามารถในการควบคุมและการสอดแนม (C2 Capabilities)
เมื่อ ChaosBot เชื่อมต่อผ่าน Discord ได้สำเร็จ ผู้โจมตีจะได้รับความสามารถในการสอดแนมและควบคุมที่ทรงพลัง คำสั่งจะถูกส่งเป็นข้อความไปยังช่อง Discord ของเหยื่อ โดยมีความสามารถหลัก ๆ คือ:
- Shell Execution: รันคำสั่ง Shell ผ่าน PowerShell เพื่อสั่งการระบบ
- Screenshot Capture: ถ่ายภาพหน้าจอเดสก์ท็อปของเหยื่อและอัปโหลดกลับไปยังช่อง Discord
- File Manipulation: ดาวน์โหลดไฟล์ใหม่ไปยังอุปกรณ์ หรืออัปโหลดข้อมูลที่ขโมยมาออกจากอุปกรณ์
- System Reconnaissance: รวบรวมข้อมูลรายละเอียดเกี่ยวกับเครื่องของเหยื่อ
3. เทคนิคการพรางตัวที่ซับซ้อน (Evasion Techniques)
ChaosBot ถูกออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับขั้นสูง:
- มัลแวร์ใช้เทคนิค DLL Sideloading โดยใช้ไบนารีของ Microsoft Edge ที่ถูกกฎหมาย (`identity_helper.exe`) ในการโหลดเพย์โหลดที่เป็นอันตราย
- มีการป้องกันการวิเคราะห์โดยการหลีกเลี่ยง Event Tracing for Windows (ETW) และตรวจสอบว่ากำลังทำงานใน Virtual Machines (VMs) หรือไม่
- ติดตั้ง Fast Reverse Proxy (FRP) เพื่อสร้าง Reverse Proxy เข้าสู่เครือข่าย เพื่อคงการเข้าถึงในระดับต่ำอย่างต่อเนื่อง
ข้อแนะนำด้านความปลอดภัย: การตรวจจับและตอบโต้
ภัยคุกคาม ChaosBot แสดงให้เห็นว่าองค์กรต่าง ๆ ต้องปรับปรุงมาตรการรักษาความปลอดภัยให้ครอบคลุมไปถึงทราฟฟิกในระดับแอปพลิเคชัน โดยเฉพาะการใช้งานแพลตฟอร์มที่ไว้ใจได้ เช่น Discord
สิ่งที่องค์กรควรดำเนินการ: ทบทวนและบังคับใช้หลักการ Least Privilege (การให้สิทธิ์เท่าที่จำเป็น) สำหรับบัญชี VPN และ Domain เพื่อจำกัดความเสียหายหากถูกบุกรุก นอกจากนี้ ควรติดตั้งระบบ Managed Detection and Response (MDR) ที่สามารถตรวจสอบและแจ้งเตือนพฤติกรรมการประมวลผลที่ผิดปกติ เช่น การรันคำสั่งผ่าน DLL Sideloading และการเรียกใช้ PowerShell ที่น่าสงสัย
การป้องกันภัยคุกคามสมัยใหม่ต้องอาศัยการเฝ้าระวังที่ลึกลงไปถึงพฤติกรรมของโปรแกรม ไม่ใช่แค่การมองหาลายเซ็นของมัลแวร์แบบเดิม ๆ เท่านั้น
อ้างอิงจาก : https://thehackernews.com/2025/10/new-rust-based-malware-chaosbot-hijacks.html