- 09
- พฤษภาคม
Trend Micro เปิดเผยรายงานการสืบสวนแคมเปญจารกรรมไซเบอร์ที่ตั้งชื่อว่า SHADOW-EARTH-053 — กลุ่มที่เชื่อมโยงกับจีน (China-aligned APT) ซึ่งเปิดปฏิบัติการมาตั้งแต่ ธันวาคม 2567 โจมตี หน่วยงานรัฐและกลาโหม ใน 7 ประเทศ — ปากีสถาน, ไทย, มาเลเซีย, อินเดีย, พม่า, ศรีลังกา, ไต้หวัน รวมถึงโปแลนด์ในยุโรป (ประเทศ NATO ที่ถูกแตะ) จุดที่น่ากังวลคือ — กลุ่มนี้ใช้ เทคนิคแบบ "Living-off-the-Land" โดยอาศัย AnyDesk (โปรแกรม remote desktop ตัวจริง) ร่วมกับ ShadowPad backdoor + Godzilla web shell เพื่อหลบ EDR (Endpoint Detection & Response) ระดับ enterprise — แปลว่าระบบรักษาความปลอดภัยทั่วไปอาจมองว่า "เป็นการใช้งานปกติ" แต่จริงๆ แล้วคือ backdoor ที่ฝังอยู่
สรุปสั้นๆ: SHADOW-EARTH-053 คืออะไรและทำไมต้องกังวล?
- ผู้โจมตี: กลุ่ม APT ที่เชื่อมโยงกับจีน — Trend Micro ติดตามชื่อ SHADOW-EARTH-053 เริ่มปฏิบัติการ ธ.ค. 2567 — เครือข่ายเดียวกับ CL-STA-0049, Earth Alux, REF7707 (Google เชื่อมโยงกับ UNC6595)
- เป้าหมาย: หน่วยงานรัฐ + กลาโหม ใน 7 ประเทศเอเชีย — รวมถึงประเทศไทย + ปากีสถาน, มาเลเซีย, อินเดีย, พม่า, ศรีลังกา, ไต้หวัน
- วิธีเข้า: เจาะ N-day vulnerabilities (CVE ที่มี patch แต่ยังไม่อัพเดท) บน Microsoft Exchange + IIS server ที่เปิดสู่อินเทอร์เน็ต โดยเฉพาะตระกูล ProxyLogon
- เครื่องมือหลัก: Godzilla web shell → ShadowPad backdoor (DLL sideloading) → AnyDesk (legitimate tool abuse) + Noodle RAT (Linux variant via CVE-2025-55182)
- เครื่องมือเสริม: Mimikatz (privilege escalation), IOX, GOST, Wstunnel (tunneling), Sharp-SMBExec, custom RDP launcher
- ผลกระทบในไทย: ภาคหน่วยงานรัฐต้องตรวจ Exchange/IIS/AnyDesk session เร่งด่วน — เชื่อมโยงกับ PDPA Emergency Decree ที่บังคับใช้แล้ว
1. SHADOW-EARTH-053 คือใคร และโจมตีใคร?
SHADOW-EARTH-053 คือชื่อที่ Trend Micro Research ใช้ติดตาม cluster ของ activity (ไม่ใช่ชื่อกลุ่มที่ระบุได้ตรงตัว) ซึ่งมี indicator เครือข่ายและ TTPs (Tactics, Techniques, and Procedures) ทับซ้อนกับกลุ่ม China-nexus หลายกลุ่มที่นักวิจัยรู้จัก:
| หัวข้อ | รายละเอียด |
|---|---|
| ที่มา | China-aligned APT (กลุ่มที่ทำงานสอดคล้องกับผลประโยชน์ของจีน) |
| เริ่มเคลื่อนไหว | อย่างน้อยตั้งแต่ ธันวาคม 2567 (Dec 2024) |
| ทับซ้อนกับกลุ่มอื่น | CL-STA-0049 (Palo Alto), Earth Alux, REF7707 (Elastic), UNC6595 (Google Threat Intelligence Group) |
| เป้าหมายภาคส่วน | หน่วยงานรัฐ (Government) + กลาโหม (Defense) |
| เป้าหมายภูมิภาค | เอเชียใต้, ตะวันออก, ตะวันออกเฉียงใต้ + ยุโรป (โปแลนด์) |
| ประเทศที่ยืนยันแล้ว | ปากีสถาน, ไทย, มาเลเซีย, อินเดีย, พม่า, ศรีลังกา, ไต้หวัน, โปแลนด์ |
| กลุ่มคู่ขนาน | SHADOW-EARTH-054 — เกือบครึ่งหนึ่งของเหยื่อใน มาเลเซีย/ศรีลังกา/พม่า ถูกโจมตีโดยกลุ่มนี้ด้วย |
ที่ต้องเน้นคือ — ประเทศไทยอยู่ใน 7 ประเทศแรกที่ถูกระบุชื่อ ในรายงานของ Trend Micro ซึ่งหมายความว่ามีหน่วยงานในไทยถูกแฮกจริงและถูกใช้เป็นต้นทางในการเก็บ telemetry ของแคมเปญนี้ — ในแง่ ภัยไซเบอร์ในไทย นี่คือสัญญาณว่า threat actor ระดับ nation-state มองไทยเป็นเป้าหมายเชิงกลยุทธ์ ไม่ใช่แค่ collateral
2. ห่วงโซ่การโจมตี 5 ขั้นตอน — เข้าใจวิธีฝังตัว
การโจมตีของ SHADOW-EARTH-053 เป็นแบบ multi-stage โดยอาศัยเครื่องมือที่ "เห็นเป็นปกติ" ในแต่ละขั้น เพื่อหลบการตรวจจับ:
| ขั้นที่ | เทคนิค | เครื่องมือ | เป้าหมาย |
|---|---|---|---|
| 1. Initial Access | เจาะ N-day CVE | Microsoft Exchange + IIS server (ProxyLogon chain) | เซิร์ฟเวอร์ที่เปิดสู่อินเทอร์เน็ตและไม่ patch |
| 2. Foothold | ฝัง web shell | Godzilla (web shell ภาษาจีน — รุ่นยอดนิยมของ Chinese APT) | มีช่องทางส่งคำสั่งระยะไกลผ่าน HTTP |
| 3. Backdoor | DLL sideloading | ShadowPad (modular backdoor ที่ Chinese APT ใช้กันแพร่หลาย) + Noodle RAT (Linux) | รักษา persistent access แม้ web shell ถูกลบ |
| 4. Persistence | Living-off-the-Land | AnyDesk (legitimate remote tool — ติดตั้งจริงจาก vendor) | หลบ EDR เพราะ AnyDesk เป็น signed binary |
| 5. Lateral Movement | ยกระดับสิทธิ์ + ขยายในเครือข่าย | Mimikatz, Sharp-SMBExec, IOX, GOST, Wstunnel, custom RDP launcher | เคลื่อนไปเครื่องอื่น + ส่งข้อมูลออกผ่าน tunnel |
ห่วงโซ่นี้สะท้อนหลักการสมัยใหม่ของ APT — ลด custom malware → เพิ่ม legitimate tool abuse — เพราะ AV/EDR หลายตัวยังไม่บล็อก AnyDesk โดย default (เป็น productivity tool ที่บริษัทใช้จริง) ซึ่งทำให้การตรวจจับด้วย signature-based ไม่ทำงาน
3. ทำไม ShadowPad + AnyDesk ถึงตรวจยาก?
คำตอบสั้นคือ — "Living-off-the-Land Binaries" (LOLBins) และการ abuse legitimate tools เป็นหนึ่งในแนวโน้ม APT ที่อันตรายที่สุดในยุคนี้:
| ปัจจัย | เหตุผลที่ตรวจยาก | สิ่งที่ EDR มักพลาด |
|---|---|---|
| AnyDesk เป็น signed binary | มี digital signature ของ vendor — ผ่าน trust check | EDR ไม่ alert "remote access tool" ที่ signed |
| การจราจรเครือข่ายดูปกติ | AnyDesk ใช้ HTTPS port 443 + relay server ของตัวเอง | Firewall/Proxy ไม่บล็อก HTTPS ออก |
| ShadowPad ใช้ DLL sideloading | Process หลักเป็น signed app — โหลด DLL ที่มัลแวร์เปลี่ยน | EDR เห็น process tree ปกติ ไม่เห็น DLL ที่เปลี่ยน |
| Godzilla เข้ารหัส payload | คำสั่งใน HTTP body ถูกเข้ารหัสด้วย AES + Base64 | WAF ทั่วไปจับ pattern ไม่ได้ |
| Tunnel หลายชั้น | IOX/GOST/Wstunnel สลับ port + protocol | Network monitor มอง command-and-control ไม่ออก |
ในทางปฏิบัติ — แปลว่า การพึ่ง AV/EDR อย่างเดียวไม่พอ ต้องมี behavioral monitoring + audit log ที่ตรวจ "พฤติกรรมแปลก" เช่น admin user เปิด AnyDesk session กับ IP ต่างประเทศนอกเวลาทำงาน — รายละเอียดเชิงเทคนิคเรื่อง defense-in-depth ดูเพิ่มที่ SSL Security Check
4. ทำไม ERP/IT ไทย ต้องตื่นตัว?
หลายคนคิดว่า "เป็น nation-state attack เป้าหมายคือรัฐ — ภาคเอกชนคงไม่ใช่" — ไม่จริง ด้วยเหตุผล 4 ข้อ:
- 1. Supply chain risk — บริษัทเอกชนที่เป็น vendor/contractor ของหน่วยงานรัฐ มักถูกใช้เป็น "stepping stone" เข้าสู่ภาครัฐ — เคสคล้าย Node.js supply chain attack
- 2. Stack เดียวกัน — ERP ของไทยจำนวนมากใช้ ASP.NET/IIS หรือ Java/Tomcat บน Windows Server เหมือนเซิร์ฟเวอร์รัฐที่ถูกแฮก
- 3. Web shell ใช้ได้กับทุก stack — Godzilla รองรับ JSP, ASP.NET, PHP — ครอบคลุม ERP ส่วนใหญ่ในตลาด
- 4. PDPA Emergency Decree — ถ้าข้อมูลส่วนบุคคลรั่วผ่านเหตุการณ์นี้ และไม่รายงานภายใน 72 ชม. = เข้าข่ายโทษอาญาตาม Emergency Decree เม.ย. 2568 (จำคุกสูงสุด 5 ปี) — ดู PDPA Crackdown 2569
เพราะฉะนั้น การ patch ระบบที่ public-facing จึงเป็น "ด่านแรก" ที่ IT ทุกองค์กรต้องทำ — ไม่ใช่แค่หน่วยงานรัฐ
5. Checklist 7 ข้อ — สิ่งที่ต้องตรวจวันนี้
ใช้ checklist นี้เป็นจุดเริ่มของการประเมินความเสี่ยงเร่งด่วน:
SHADOW-EARTH-053 Hardening Checklist สำหรับ IT/ERP team:
- Patch Microsoft Exchange + IIS ทุกตัว — โดยเฉพาะกลุ่ม ProxyLogon (CVE-2021-26855, 26857, 26858, 27065) และ CVE-2025-55182 หากใช้ Linux web app
- เปิด 2FA + ปิด NTLM — ดู 2FA Guide — ลดความเสี่ยงจาก credential dump ของ Mimikatz
- Inventory remote access tools — สำรวจว่ามี AnyDesk, TeamViewer, ScreenConnect ตัวไหนติดตั้งบ้าง — ถ้าไม่ได้ใช้งานจริง ให้ uninstall
- Block AnyDesk relay servers ที่ firewall ถ้าองค์กรไม่อนุญาตการใช้ AnyDesk — หรือ allowlist เฉพาะที่อนุมัติ
- Audit web shell signatures — สแกน webroot ของ ERP/web app หา file แปลก (.aspx, .jsp, .php ที่ไม่ใช่ของ deployment)
- Monitor outbound SMB + RDP traffic — IOX/GOST/Wstunnel มักสร้าง tunnel ผิดปกติ
- Set up alert "AnyDesk session นอกเวลา" — ทุก session ที่เริ่มหลัง 18:00 หรือก่อน 8:00 ให้ alert ทีม security ทันที
6. Indicators of Compromise (IOCs) ที่ต้องค้นใน log
ถ้ามีระบบ SIEM หรือ centralized log — ใช้ pattern เหล่านี้เป็นจุดเริ่มในการตรวจ retroactive:
| ประเภท | สิ่งที่ค้น | log ที่ตรวจ |
|---|---|---|
| Web shell — Godzilla | POST request ที่มี Base64 ขนาดใหญ่ใน body, header แปลกเช่น Cookie: key=... | IIS log, Apache/Nginx access log |
| ProxyLogon exploit | /owa/auth/Current/themes/resources/ + autodiscover.json | Exchange IIS log |
| AnyDesk session | Process AnyDesk.exe + outbound to *.relay.net.anydesk.com | Sysmon, Windows Event Log, firewall log |
| ShadowPad DLL sideload | Signed app โหลด DLL ที่ unsigned/path แปลกใน %APPDATA% หรือ %TEMP% | EDR/Sysmon Event ID 7 |
| Mimikatz | Process access ไปยัง lsass.exe จาก process ที่ไม่ใช่ system | Sysmon Event ID 10 |
| Tunneling tools | Outbound TCP ไปยัง port 443/8443 จาก process ที่ไม่ใช่ browser | Firewall log, NetFlow |
หมายเหตุ — IOC ของ SHADOW-EARTH-053 เปลี่ยนเร็ว (hash, IP, domain) — สิ่งที่คงที่กว่าคือ พฤติกรรม (TTPs) ตามตารางข้างบน — เน้น behavior-based detection มากกว่า signature-based
7. PDPA + Criminal Liability — ทำไม breach ครั้งนี้ไม่จบแค่ค่าเสียหาย
หลังจาก Emergency Decree on Tech Crimes (No. 2) B.E. 2568 บังคับใช้เมื่อ 13 เม.ย. 2568 — ถ้าหน่วยงานในไทยถูก SHADOW-EARTH-053 แฮกและข้อมูลส่วนบุคคลรั่ว ผู้บริหาร/พนักงานอาจรับผิดชอบทั้ง 2 ทาง:
- ค่าปรับ administrative ของ PDPC — สูงสุด 5 ล้านบาท/ครั้ง + ปรับซ้ำ — ดู PDPC ปรับ 8 เคส
- โทษอาญา — จำคุกสูงสุด 5 ปี + ปรับ 5 แสนบาท ถ้าเข้าข่าย "ทำในเชิงพาณิชย์" หรือเปิดเผยโดยจงใจ
นั่นหมายความว่า — การไม่ patch CVE หรือ ไม่ตรวจ AnyDesk session ที่ผิดปกติ ไม่ใช่แค่ "เสี่ยงโดนแฮก" อีกต่อไป — มันเข้าข่าย negligence ที่อาจถึงขั้นรับผิดทางอาญา ตามกฎหมายไทยปัจจุบัน
สรุป
| ประเด็น | สิ่งที่ต้องทำ |
|---|---|
| Threat actor | SHADOW-EARTH-053 (China-aligned) — เคลื่อนไหวตั้งแต่ ธ.ค. 2567 — ทับซ้อน CL-STA-0049, Earth Alux, UNC6595 |
| เป้าหมายในไทย | หน่วยงานรัฐ + กลาโหม — ภาคเอกชนเสี่ยงผ่าน supply chain |
| เครื่องมือ | Godzilla web shell, ShadowPad, AnyDesk, Mimikatz, Noodle RAT, IOX/GOST/Wstunnel |
| Initial vector | Exchange + IIS unpatched (ProxyLogon) — patch คือด่านแรก |
| Detection challenge | AnyDesk เป็น signed binary — ต้องใช้ behavioral monitoring + SIEM ไม่ใช่ AV อย่างเดียว |
| Compliance impact | ถ้าข้อมูลส่วนบุคคลรั่ว = ปรับ PDPC + โทษอาญา 5 ปี ตาม Emergency Decree |
"SHADOW-EARTH-053 สอนเราว่า — ภัย APT ระดับ nation-state ไม่ได้มาจาก malware แปลกๆ อีกต่อไป แต่มาจาก ระบบที่เราไม่ patch + เครื่องมือที่เราเชื่อใจ เช่น AnyDesk การป้องกันจึงไม่ใช่แค่ติด AV แต่ต้องมี visibility ในทุกขั้นของห่วงโซ่ — ตั้งแต่ patch ของ web server ไปจนถึง session log ของ remote access tool"
แหล่งอ้างอิง
- The Hacker News — China-Linked Hackers Target Asian Governments (พ.ค. 2569)
- Trend Micro Research — Earth Estries / SHADOW-EARTH-053 Cluster
- Kaspersky SecureList — ShadowPad Backdoor Analysis
- MITRE ATT&CK — ShadowPad (S0596)
- CISA Cybersecurity Advisories — ProxyLogon & Web Shell Mitigation
ระบบ ERP ของคุณเปิดสู่อินเทอร์เน็ต — patch ครบ + audit log แก้ไม่ได้แล้วหรือยัง?
Saeree ERP ทำงานบน Linux + PostgreSQL พร้อม 2FA, role-based access, tamper-proof audit log, encryption — ลด attack surface ลงตั้งแต่ขั้นออกแบบ ปรึกษาฟรีว่าระบบของคุณตอนนี้มีช่องว่างอะไรบ้าง
ปรึกษาฟรีโทร 02-347-7730 | sale@grandlinux.com
