เจาะลึก UAT-8302 เมื่อเครือข่าย APT จีนยกระดับการโจมตีผ่านโมเดลแชร์มัลแวร์ และทางลัดข้ามกลุ่ม
สมรภูมิไซเบอร์ในปัจจุบันกำลังเผชิญกับความท้าทายครั้งใหม่ เมื่อการระบุตัวตนผู้โจมตีทำได้ยากขึ้นกว่าที่เคย ล่าสุดรายงานจาก Cisco Talos (พฤษภาคม 2026) ได้เปิดเผยถึงความเคลื่อนไหวของ UAT-8302 กลุ่มภัยคุกคามระดับสูง (APT) ที่เชื่อมโยงกับจีน ซึ่งไม่ได้มาพร้อมกับความรุนแรงในการโจมตีเพียงอย่างเดียว แต่ยังแสดงให้เห็นถึงเทคนิค "การทำงานร่วมกัน" ที่ซับซ้อนระหว่างกลุ่มแฮกเกอร์
แผนปฏิบัติการระดับโลก จากอเมริกาใต้สู่ยุโรป กลุ่ม UAT-8302 เริ่มขยายอิทธิพลในการโจมตีหน่วยงานรัฐบาลอย่างเป็นระบบ โดยมีไทม์ไลน์ที่น่าสนใจดังนี้
ปลายปี 2024: มุ่งเป้าโจมตีหน่วยงานรัฐ ในภูมิภาคอเมริกาใต้
ปี 2025: ขยายขอบเขตการโจมตีไปยังหน่วยงานรัฐ ในยุโรปตะวันออกเฉียงใต้
เป้าหมายหลักของพวกเขาไม่ใช่เพียงการทำลาย แต่เป็นการสร้างช่องทางเพื่อคงสถานะการบุกรุก (Persistence) ในระยะยาว เพื่อจารกรรมข้อมูลอ่อนไหวและขโมยข้อมูลประจำตัว (Credentials) ของข้าราชการ และเจ้าหน้าที่ระดับสูง
คลังแสงมัลแวร์ กลยุทธ์ "ใช้ร่วมกัน" เพื่อพรางตัว
ความน่าสนใจของ UAT-8302 คือการไม่ได้พัฒนาเครื่องมือเองทั้งหมด แต่มีการหยิบใช้และดัดแปลงมัลแวร์ที่เคยถูกใช้งานโดยกลุ่ม APT จีนกลุ่มอื่น ๆ มาก่อน ทำให้เส้นแบ่งระหว่างกลุ่มเริ่มเลือนลางโดยมีมัลแวร์หลักในคลังแสงดังนี้
- NetDraft (NosyDoor) : แบ็คดอร์ที่พัฒนาด้วย .NET (C#) ดัดแปลงมาจาก FINALDRAFT ซึ่งกลุ่มอย่าง Jewelbug หรือ Ink Dragon เคยใช้
- CloudSorcerer (v3.0) : แบ็คดอร์ที่เคยถูกตรวจพบในการโจมตีหน่วยงานในรัสเซียเมื่อช่วงกลางปี 2024
- SNOWLIGHT & SNOWRUST : ตัวรับส่งข้อมูลที่มีทั้งเวอร์ชันปกติ และเวอร์ชันที่เขียนด้วยภาษา Rust เพื่อหลบเลี่ยงการตรวจจับ
- Deed RAT & Zingdoor : มัลแวร์ทายาทของ ShadowPad ที่กลุ่ม Earth Estries นิยมใช้งาน
- Draculoader : ตัวโหลด Shellcode สำหรับส่งต่อมัลแวร์ตัวอื่น เช่น Crowdoor หรือ HemiGate
จากช่องโหว่สู่การยึดครองเครือข่าย
นักวิจัยสันนิษฐานว่า UAT-8302 ใช้เทคนิคที่คลาสสิกแต่ได้ผลสูง นั่นคือการใช้ประโยชน์จากช่องโหว่ Zero-day และ N-day บนเว็บแอปพลิเคชันเพื่อเจาะเข้าสู่เครือข่าย เมื่อสามารถตั้งหลักได้แล้ว กลุ่มนี้จะดำเนินการตามขั้นตอนดังนี้
1. Reconnaissance & Scanning: สำรวจเครือข่ายและใช้เครื่องมือโอเพนซอร์สสแกนหาจุดอ่อนภายในอัตโนมัติ
2. Lateral Movement: เคลื่อนที่เพื่อขยายวงการโจมตีผ่านเครื่องมืออย่าง Impacket
3. Backdoor Access: สร้างทางเข้าสำรองที่ตรวจจับยากด้วย SoftEther VPN และ Stowaway
4. Final Execution: ติดตั้งมัลแวร์หลักอย่าง NetDraft และ CloudSorcerer เพื่อควบคุมและดึงข้อมูลออกไป
นิยามใหม่ของความร่วมมือ: "Premier Pass-as-a-Service"
ประเด็นที่สร้างความกังวลให้แก่นักวิเคราะห์ความปลอดภัยมากที่สุดคือปรากฏการณ์ที่เรียกว่า "Premier Pass-as-a-Service"
"นี่ไม่ใช่แค่การแชร์เครื่องมือ แต่มันคือการแชร์สิทธิ์ในการเข้าถึง (Access sharing)"
จากรายงานของ Trend Micro พบว่ากลุ่ม APT จีนเริ่มมีโมเดลธุรกิจรูปแบบใหม่ เช่น กลุ่ม Earth Estries เมื่อเจาะเข้าสู่เป้าหมายสำคัญได้แล้ว จะทำการ "ส่งต่อ" สิทธิ์การเข้าถึงนั้นให้กับกลุ่มอื่น เช่น Earth Naga เพื่อดำเนินการจารกรรมข้อมูลต่อทันที โมเดลนี้ช่วยลดระยะเวลาในการโจมตี (Time-to-Compromise) และทำให้ผู้ป้องกันระบบสับสนว่ากำลังรับมือกับกลุ่มใดกันแน่
บทสรุปสำหรับผู้ดูแลระบบและนักวิเคราะห์
การปรากฏตัวของ UAT- 8302 และโมเดลความร่วมมือระหว่างกลุ่ม APT สะท้อนให้เห็นว่าศัตรูทางไซเบอร์ในปัจจุบันไม่ได้ทำงานแบบโดดเดี่ยวอีกต่อไป การป้องกันแบบเดิมๆ อาจไม่เพียงพอ แต่ต้องอาศัยการตรวจจับพฤติกรรม (Behavioral Analytics) และการเฝ้าระวังการเคลื่อนไหวภายในเครือข่ายอย่างใกล้ชิด เพราะ "กุญแจ" เข้าสู่บ้านของคุณอาจถูกส่งต่อไปยังมือของแฮกเกอร์กลุ่มอื่นเรียบร้อยแล้วโดยที่คุณไม่รู้ตัว
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: info@baycoms.com
Website: www.baycoms.com
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity #APT #Malware #UAT-8302
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2026 Blockdit
