- 13
- มีนาคม
มีมัลแวร์ตัวหนึ่งที่ ทำงานเฉพาะบนเครื่องที่มี IP ประเทศไทย เท่านั้น ถ้าเสียบ USB ในเครื่องที่อยู่ต่างประเทศ — มันจะไม่ทำงาน แต่ถ้าเสียบในออฟฟิศคุณที่กรุงเทพฯ — มันจะติดตั้ง Backdoor ทันที
นี่ไม่ใช่สมมุติ — นี่คือ SnakeDisk มัลแวร์ตัวใหม่จากกลุ่ม Mustang Panda (APT จีน) ที่ IBM X-Force และ ThaiCERT ออกมาเตือนแล้ว
คำถามคือ — องค์กรคุณยังอนุญาตให้พนักงานเสียบ USB ได้อิสระหรือเปล่า?
Mustang Panda คือใคร?
Mustang Panda (ชื่อเรียกอื่น: Hive0154, Bronze President, Earth Preta, RedDelta, Twill Typhoon) เป็น กลุ่ม APT (Advanced Persistent Threat) สัญชาติจีน ที่เคลื่อนไหวมาตั้งแต่ปี 2555 (2012) เป้าหมายหลักคือ หน่วยงานภาครัฐและทหารในเอเชียตะวันออกเฉียงใต้ โดยเฉพาะประเทศไทย
สิ่งที่ทำให้ Mustang Panda ต่างจากแฮกเกอร์ทั่วไปคือ — พวกเขา ได้รับการสนับสนุนจากรัฐ มีทรัพยากรไม่จำกัด และมีเป้าหมายเชิงยุทธศาสตร์ ไม่ใช่แค่ขโมยเงิน ตามรายงานของ IBM X-Force กลุ่มนี้พัฒนามัลแวร์ใหม่อย่างต่อเนื่อง
SnakeDisk คืออะไร? — USB Worm ที่ทำงานเฉพาะ IP ไทย
SnakeDisk เป็น USB Worm ตัวใหม่ ที่ IBM X-Force ค้นพบ โดยมีคุณสมบัติพิเศษที่ไม่เคยเห็นมาก่อน:
| คุณสมบัติ | รายละเอียด |
|---|---|
| Geofencing | เช็ค Public IP ของเครื่อง — ถ้าไม่ใช่ IP ไทย จะ หยุดทำงานทันที |
| การแพร่กระจาย | ซ่อนไฟล์จริงใน USB ไว้ใน subfolder ที่ซ่อน แล้วสร้างไฟล์ "USB.exe" ล่อให้เหยื่อกดเปิด |
| การอำพราง | เมื่อเหยื่อกดเปิด ไฟล์จริงจะถูกคืนกลับตามปกติ — เหยื่อไม่รู้ตัวเลยว่าเพิ่งติดมัลแวร์ |
| การเข้ารหัส | ใช้ XOR decryption แบบ 2 ชั้นพร้อม key ขนาด 320 bytes — ตรวจจับด้วย antivirus ยาก |
| Payload | ติดตั้ง Yokai Backdoor เปิดช่องให้แฮกเกอร์สั่งงานจากระยะไกล |
SnakeDisk ทำงานอย่างไร? (ขั้นตอน)
- เหยื่อเสียบ USB ที่ติดเชื้อ — อาจได้รับจากงานสัมมนา การประชุม หรือหยิบจาก USB ที่ "มีคนลืมไว้"
- SnakeDisk ตรวจสอบ IP — เช็คว่าเครื่องอยู่ในประเทศไทยหรือไม่ ถ้าไม่ใช่ จะหยุดทันที
- ซ่อนไฟล์จริง — ย้ายไฟล์ทั้งหมดใน USB ไปซ่อนใน hidden subfolder
- สร้าง USB.exe — สร้างไฟล์ล่อที่ตั้งชื่อตามชื่อ USB หรือ "USB.exe" เหยื่อเห็นแค่ไฟล์เดียวก็จะกดเปิด
- ติดตั้ง Yokai Backdoor — เปิด Reverse Shell ให้แฮกเกอร์เข้าถึงเครื่องจากระยะไกล
- คืนไฟล์จริง — เหยื่อเห็นไฟล์กลับมาตามปกติ ไม่สงสัยอะไร
- แพร่กระจายต่อ — เมื่อเสียบ USB อื่นเข้าเครื่องที่ติดเชื้อ จะคัดลอกตัวเองไปยัง USB นั้นด้วย
Yokai Backdoor — แฮกเกอร์สั่งงานจากระยะไกล
เมื่อ SnakeDisk ติดตั้ง Yokai Backdoor สำเร็จ แฮกเกอร์จะสามารถ:
- สั่งรันคำสั่งใดๆ บนเครื่องเหยื่อ — เหมือนนั่งอยู่หน้าคอมพิวเตอร์เอง
- ขโมยไฟล์ — เอกสารลับ สัญญา ข้อมูลจัดซื้อจัดจ้าง ข้อมูลงบประมาณ
- ติดตั้งมัลแวร์เพิ่มเติม — เช่น Keylogger จับรหัสผ่าน หรือ Ransomware เข้ารหัสข้อมูล
- เคลื่อนย้ายข้ามเครือข่าย (Lateral Movement) — จากเครื่องพนักงาน ไปยังเซิร์ฟเวอร์ ERP หรือฐานข้อมูล
Yokai ถูกพบครั้งแรกในการโจมตีเจ้าหน้าที่รัฐไทยเมื่อปี 2567 โดย Netskope และมีโครงสร้างคล้ายกับ TONESHELL ซึ่งเป็นมัลแวร์หลักของ Mustang Panda
ทำไมถึงเจาะเฉพาะไทย?
IBM X-Force ประเมินว่า SnakeDisk น่าจะมาจาก กลุ่มย่อยภายใน Mustang Panda ที่โฟกัสเฉพาะประเทศไทย สาเหตุที่เป็นเป้าหมาย:
- สถานการณ์ภูมิรัฐศาสตร์ — ความขัดแย้งชายแดนไทย-กัมพูชาในปี 2568 ทำให้ไทยกลายเป็นเป้าหมายการข่าว
- ข้อมูลด้านความมั่นคง — หน่วยงานรัฐและทหารไทยมีข้อมูลเชิงยุทธศาสตร์ที่มีคุณค่า
- ยุทธศาสตร์ด้านเศรษฐกิจ — ข้อมูลงบประมาณและการจัดซื้อจัดจ้างภาครัฐเป็นเป้าหมายหลักของการจารกรรมทางเศรษฐกิจ
TONESHELL8 และ TONESHELL9 — Backdoor รุ่นใหม่ที่ซ่อนตัวเก่งขึ้น
นอกจาก SnakeDisk แล้ว Mustang Panda ยังปล่อย TONESHELL รุ่นใหม่ 2 ตัวพร้อมกัน:
| มัลแวร์ | ความสามารถพิเศษ |
|---|---|
| TONESHELL8 | แอบ copy โค้ดจากเว็บไซต์ ChatGPT ของ OpenAI มาใส่ในตัวมัลแวร์ เพื่อ หลอก Antivirus ให้คิดว่าเป็นโปรแกรมปกติ |
| TONESHELL9 | สื่อสารกับ C2 Server ผ่าน Proxy ขององค์กรเอง — ทำให้ traffic ดูเหมือนการใช้งานปกติ ตรวจจับด้วย Firewall แทบไม่ได้ |
สิ่งที่น่าตกใจคือ TONESHELL8 ใช้โค้ดจากเว็บไซต์ ChatGPT เป็น "Junk Code" แทรกในตัวมัลแวร์ เพื่อหลอก static analysis ของ Antivirus — แสดงให้เห็นว่าแฮกเกอร์ใช้ AI เป็นเครื่องมือในการโจมตีอย่างต่อเนื่อง
6 มาตรการป้องกัน USB Attack สำหรับองค์กร
องค์กรที่มีระบบ ERP และข้อมูลสำคัญต้องดำเนินการทันที:
1. ปิดใช้งาน USB Autorun ทุกเครื่อง
ปิด Autorun/AutoPlay บน Windows ทุกเครื่องในองค์กร เพื่อป้องกันไม่ให้มัลแวร์ทำงานอัตโนมัติเมื่อเสียบ USB — นี่คือ สิ่งแรกที่ต้องทำทันที
2. ใช้ USB Device Control Policy
กำหนดนโยบายว่า USB ที่อนุญาตให้ใช้ต้องเป็นของบริษัทที่ลงทะเบียนแล้วเท่านั้น USB ที่ไม่รู้จักจะถูกบล็อกอัตโนมัติ ระบบ Endpoint Protection สมัยใหม่รองรับ USB Whitelisting ได้
3. สแกน USB ทุกครั้งก่อนใช้งาน
บังคับให้พนักงานสแกน USB ด้วย Antivirus ที่อัปเดตก่อนเปิดไฟล์ทุกครั้ง และห้ามใช้ USB ที่ "หยิบได้" จากที่สาธารณะ ห้องประชุม หรืองานสัมมนาโดยเด็ดขาด
4. เปิดแสดง File Extension บน Windows
SnakeDisk ใช้ไฟล์ชื่อ "USB.exe" ถ้า Windows ซ่อนนามสกุลไฟล์ เหยื่อจะเห็นแค่ "USB" — ดูเหมือนโฟลเดอร์ปกติ การเปิดแสดง File Extension จะทำให้เห็น ".exe" ชัดเจน อ่านเพิ่มเติม: ความปลอดภัยของข้อมูลในระบบ ERP
5. ใช้ 2FA + Role-based Access Control ในระบบ ERP
แม้แฮกเกอร์จะติดตั้ง Backdoor ได้ แต่ถ้าระบบ ERP มี 2FA + Role-based Access Control เขาจะ เข้าถึงข้อมูลสำคัญไม่ได้ เพราะต้องยืนยันตัวตนอีกชั้นหนึ่ง
6. Monitor Audit Trail สำหรับ USB Activity
ระบบ ERP ที่ดีต้อง บันทึกทุกกิจกรรม — ใครเข้าถึงข้อมูลอะไร เมื่อไหร่ จาก IP ไหน ถ้ามี Backdoor แอบดึงข้อมูล Audit Trail จะเห็นพฤติกรรมผิดปกติทันที อ่านเพิ่มเติม: OWASP Top 10 ช่องโหว่ที่ต้องระวัง
ผลกระทบต่อหน่วยงานภาครัฐไทย
เป้าหมายหลักของ SnakeDisk คือหน่วยงานภาครัฐและทหาร — ซึ่งเป็นองค์กรที่มีข้อมูลสำคัญมากมาย:
| ข้อมูลที่เสี่ยง | ผลกระทบถ้าถูกขโมย |
|---|---|
| ข้อมูลงบประมาณ | รู้ว่ารัฐจัดสรรงบอะไร เท่าไหร่ — ใช้เป็นข้อมูลข่าวกรองทางเศรษฐกิจ |
| ข้อมูลจัดซื้อจัดจ้าง | รู้ว่าซื้ออะไร จากใคร ราคาเท่าไหร่ — ใช้ประโยชน์ทางธุรกิจและการเมือง |
| ข้อมูลบุคลากร | โครงสร้างองค์กร ตำแหน่ง เงินเดือน — ใช้ Social Engineering โจมตีต่อ |
| เอกสารลับ | สัญญา นโยบาย แผนยุทธศาสตร์ — กระทบความมั่นคง |
"USB Drive คือ Trojan Horse ยุคดิจิทัล — ดูไม่มีพิษมีภัย แต่ซ่อนภัยร้ายไว้ข้างใน"
- IBM X-Force Threat Intelligence Report
สรุป — Flash Drive ดูเล็ก แต่ทำลายทั้งองค์กรได้
SnakeDisk จาก Mustang Panda ไม่ใช่มัลแวร์ธรรมดา — มันถูก ออกแบบมาเจาะเฉพาะประเทศไทย เป้าหมายคือหน่วยงานภาครัฐและทหาร และแพร่กระจายผ่าน USB ที่คนไทยยังใช้กันทุกวัน
หน่วยงานที่มีระบบ ERP เก็บข้อมูลงบประมาณ จัดซื้อจัดจ้าง และบุคลากร ต้อง ยกระดับนโยบาย USB Security ทันที ก่อนที่จะสายเกินไป
Saeree ERP — ออกแบบมาเพื่อความปลอดภัยระดับหน่วยงานภาครัฐ
2FA, Role-based Access Control, Full Audit Trail, Encrypted Database — แม้แฮกเกอร์ติดตั้ง Backdoor ได้ ก็เข้าถึงข้อมูลสำคัญไม่ได้
ขอ Demo ฟรีโทร 02-347-7730 | sale@grandlinux.com
แหล่งอ้างอิง
- IBM X-Force. "Hive0154, aka Mustang Panda, drops updated Toneshell backdoor and novel SnakeDisk USB worm." ibm.com
- The Hacker News. "Mustang Panda Deploys SnakeDisk USB Worm to Deliver Yokai Backdoor on Thailand IPs." thehackernews.com
- ThaiCERT. "Mustang Panda Deploys SnakeDisk Malware to Target Thai IPs and Deliver Yokai Backdoor." thaicert.or.th
- Picus Security. "Breaking Down Mustang Panda Windows Endpoint Campaign." picussecurity.com
- Cybersecurity News. "Mustang Panda With SnakeDisk USB Worm Seeking to Penetrate Air-Gap Systems." cybersecuritynews.com
