Mustang Panda กลับมาอีกครั้ง อัปเกรดมัลแวร์ CoolClient ให้ขโมยล็อกอินบนเบราว์เซอร์ได้

มัลแวร์ดังกล่าวมีความสามารถในการขโมยข้อมูลได้หลากหลาย และไทยก็เป็นหนึ่งในเป้าหมายของการระบาดอีกด้วยชื่อของ Mustang Panda หรือ HoneyMyte อาจจะเป็นที่คุ้นเคยกับดีในหมู่ผู้ติดตามข่าวสารด้านความปลอดภัยไซเบอร์ เพราะในช่วงปีที่ผ่านมาทางกลุ่มแฮกเกอร์ดังกล่าวได้เข้าทำการโจมตีหน่วยงานราชการของไทยด้วยมัลแวร์ที่เมื่อฝังลงสู่ระบบแล้ว สามารถแพร่กระจายต่อผ่านทางไดร์ฟ USB ได้ และในคราวนี้แฮกเกอร์กลุ่มนี้ก็ได้กลับมาอีกครั้งหนึ่งจากรายงานโดยเว็บไซต์ Cyber Press ได้กล่าวถึงการกลับมาของแฮกเกอร์กลุ่มแฮกเกอร์จากประเทศจีน Mustang Panda ในช่วงปลายปี ค.ศ. 2025 (พ.ศ. 2568) พร้อมกับการอัปเกรดมัลแวร์ CoolClient ซึ่งเป็นมัลแวร์ประเภทเปิดประตูหลังของระบบ หรือ Backdoor ด้วยฟีเจอร์ใหม่ ๆ ที่ช่วยให้สามารถขโมยข้อมูลการล็อกอินจากเว็บเบราว์เซอร์ได้ง่ายขึ้น และแน่นอน แฮกเกอร์กลุ่มนี้ยังคงมุ่งเน้นการโจมตีไปยังกลุ่มประเทศในแถบเอเชียตะวันออกเฉียงใต้ เช่น เมียนมาร์, มาเลเซีย และ ประเทศไทย นอกจากนั้นยังโจมตีประเทศในแถบอื่นอย่าง มองโกเลีย, ปากีสถาน, และ รัสเซีย อีกด้วยมัลแวร์ CoolClient นั้นเรียกได้ว่าไม่ใช่ของใหม่ เพราะเริ่มถูกตรวจพบมาตั้งแต่ปี ค.ศ. 2022 (พ.ศ. 2565) โดยอ้างอิงจากรายงานของทาง Sophos บริษัทผู้พัฒนาเครื่องมือต่อต้านมัลแวร์สำหรับองค์กร และได้รับการยืนยันซ้ำโดยทาง Trend Micro ซึ่งเป็นผู้พัฒนาเครื่องมือต่อต้านมัลแวร์อีกบริษัทหนึ่ง ว่ามัลแวร์ดังกล่าวนั้นมีอยู่จริง โดยในช่วงเวลานั้นตัวมัลแวร์ทำหน้าที่เป็น Backdoor ตัวรองร่วมกับมัลแวร์ PlugX และ LuminousMothในการส่งมัลแวร์ตัวนี้เข้าเครื่องของเหยื่อนั้น แต่เดิมแฮกเกอร์จะใช้งานมัลแวร์นกต่อ (Loader) แบบเข้ารหัสโค้ดแบบ Shellcode และไฟล์ DLL ของมัลแวร์ไว้ภายใน ในการเป็นตัวส่งมัลแวร์ด้วยวิธีการล่อให้แอปพลิเคชันที่ได้รับการรับรอง (Signed) อย่างถูกต้อง เช่น BitDefender, VLC, Ulead PhotoImpact, และ Sangfor เป็นตัวโหลดไฟล์ DLL มัลแวร์ขึ้นมา ซึ่งเป็นวิธีการโจมตีที่เรียกว่าการทำ DLL Sideloading ซึ่งสำหรับเวอร์ชันล่าสุดนั้น ตัวมัลแวร์จะใช้งาน Sang.exe ของ Sangfor ในการโหลดไฟล์ DLL ที่มีชื่อว่า libngs.dll ขึ้นมา โดยการโหลดไฟล์ดังกล่าวขึ้นมานั้นจะนำไปสู่การถอดรหัส (Decoding) ไฟล์ตั้งค่าของมัลแวร์ชื่อว่า loader.dat และ time.datMustang Panda กลับมาอีกครั้ง อัปเกรดมัลแวร์ CoolClient ให้ขโมยล็อกอินบนเบราว์เซอร์ได้ภาพจาก : https://cyberpress.org/honeymyte-boosts-coolclient-malware/จากขั้นตอนดังกล่าวนั้นจะนำไปสู่การใช้งาน พารามิเตอร์ (Param) 3 ตัว (ยกเว้นข้อแรกที่ไม่เป็นการใช้งาน Param) นั่นคือNo param ที่จะนำไปสู่การ “Trigger” Install (ติดตั้งมัลแวร์)Install นำไปสู่การใช้งาน Run Key, สร้างไฟล์ write.exe, ยิงสคริปท์จาก loader.dat, ตั้งค่า Service ชื่อว่า media_updaten, ตรวจสอบว่ามีแอนตี้ไวรัสเช่น 360sd.exe ทำงานอยู่บนเครื่องหรือไม่)Work ตัว Param ตัวนี้จะถูกยิงลงไปใน Process ชื่อ write.exePassuac จะทำหน้าที่ในการหลบเลี่ยง (Bypass) การทำงานของ UAC (User Account Control), ปลอม (Spoof) ตัว Process svchost PEB, และเพิ่ม Task ชื่อว่า ComboxResetTaskและท้ายสุดก็จะเป็นการโหลดใช้งานไฟล์ DLL ที่อยู่ภายใน main.dat ซึ่งมีความสามารถของมัลแวร์ที่หลากหลายออกมา เช่นเก็บข้อมูลเกี่ยวกับระบบของเหยื่อ เช่น ชื่อเครื่อง, ระบบปฏิบัติการที่ใช้งานอยู่, และสเปคต่าง ๆความสามารถในการอัปโหลด และลบไฟล์บนเครื่องการใช้งาน TCP Tunnelingการใช้งานปลั๊กอิน (Plug-In) ของมัลแวร์การใช้งาน Proxy Reverseการดักจับการพิมพ์ของเหยื่อ (Keylogging)นอกจากนั้นในรุ่นล่าสุดของมัลแวร์ก็ยังมีการเพิ่มความสามารถต่าง ๆ ขึ้นมาอีก เช่นการสังเกตการณ์ข้อมูลบน Clipboard ด้วยการใช้งานคำสั่ง GetClipboardData/GetWindowTextW แล้วใช้การเข้ารหัสแบบ XOR ไปยัง C:ProgramDataAppxProvisioning.xmlการติดตามการเปิดใช้งาน Window ต่าง ๆการดักจับข้อมูลผ่านทางโปรโตคอล HTTP ด้วยวิธี HTTP Proxy Snifferตัวมัลแวร์นั้นนอกจากความสามารถที่มีมากับตัวมัลแวร์ตั้งแต่ต้นแล้ว ยังมีการเสริมความสามารถด้วยปลั๊กอินถึง 3 ตัว นั่นคือFileMgrS.dll สำหรับใช้ในการจัดการไฟล์ต่าง ๆ บนเครื่อง (File Ops)ServiceMgrS.dll ใช้ในการจัดการ Services ต่าง ๆ บนเครื่องโดยครอบคลุมทั้ง enum/start/stop/createRemoteShellS.dll ใช้ในการซ่อน cmd.exe ด้วย Pipe I/Oไม่เพียงเท่านั้น ตัวมัลแวร์ยังมีการจับคู่ (Pair) ตัวมัลแวร์ ร่วมกับมัลแวร์ขโมยข้อมูลบนเว็บเบราว์เซอร์ (Browser Stealer) โดยครอบคลุมเบราว์เซอร์หลากประเภท เช่นChrome, MD5: 1A5A9C013CE1B65ABC75D809A25D36A7Edge, E1B7EF0F3AC0A0A64F86E220F362B149Chromium, DA6F89F15094FD3F74BA186954BE6B05➤ Website : https://www.thaiware.com➤ Facebook : https://www.facebook.com/thaiware➤ Twitter : https://www.twitter.com/thaiware➤ YouTube : https://www.youtube.com/thaiwaretv