สรุปข้อมูล

กลุ่มแฮกเกอร์ Lotus Panda หรือที่รู้จักในชื่อ Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon หรือ Thrip จากประเทศจีน มุ่งเป้าโจมตีไปยังประเทศในภูมิภาคเอเชียตะวันออกเฉียงใต้ เช่น ประเทศฟิลิปปินส์ เวียดนาม ฮ่องกง และไต้หวัน เพื่อเก็บรวบรวมและขโมยข้อมูลที่สำคัญต่าง ๆ ของเหยื่อออกมาจากระบบ โดยจากเหตุการณ์โจมตีที่ผ่านมามักจะเริ่มต้นด้วยการส่งอีเมล Phishing และใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ที่ใช้กันทั่วไปอย่างแพร่หลาย อย่าง Microsoft Office และ Microsoft Windows OLE ในการโจมตี พร้อมกับใช้เครื่องมือและมัลแวร์เฉพาะของกลุ่มแฮกเกอร์เอง

รายละเอียดการโจมตี

ในแคมเปญการโจมตีล่าสุดนี้ยังไม่เป็นที่แน่ชัดว่ากลุ่มแฮกเกอร์ทำการเข้าถึงระบบของเหยื่อได้อย่างไร หลังจากแฮกเกอร์สามารเข้าถึงภายในได้จะใช้ใช้ซอฟต์แวร์ที่ถูกต้องจาก Trend Micro และ Bitdefender เพื่อโหลด Loader สำหรับการโจมตีด้วยเทคนิค DLL Sideloading โดยมีไฟล์ดังนี้:

• ไฟล์ปฏิบัติการ Binary ของ Trend Micro ชื่อ “tmdbglog[.]exe” ซึ่งมีหน้าที่เป็น Sidelode ไฟล์ tmdglog[.]dll อีกที โดยไฟล์ DLL จะ Read, Decrypt และ Execute ไฟล์ “C:Windows empTmDebug[.]log” จากนั้นจึงบันทึก Log การทำงานต่าง ๆ ไปยัง “C:WindowsTempVT001[.]tmp”
• ไฟล์ bds[.]exe เป็นไฟล์ปฏิบัติการ Binary ของ Bitdefender ที่ใช้ในการโหลดไฟล์ DLL ชื่อว่า log[.]dll ซึ่งมีหน้าที่ในการ Read และ Decrypt เนื้อหาของไฟล์ winnt[.]config ก่อนจะ Inject Payload อันตรายเข้าไปใน Process “C:Windowssystem32systray[.]exe”

ต่อมาใช้มัลแวร์ Sagerunex เป็นมัลแวร์ประเภท Backdoor ที่ใช้เฉพาะโดยกลุ่ม Lotus Panda เท่านั้น รวมไปถึงติดตั้งเครื่องมือสำหรับขโมยข้อมูลจากเบราว์เซอร์ Chrome เช่น ChromeKatz และ CredentialKatz และเครื่องมือ datechanger[.]exe สำหรับเปลี่ยน Timestamp ของไฟล์เพื่อป้องกันการตรวจสอบ ส่วนในขั้นตอนการติดต่อสื่อสารกับ C2 Server จะใช้เครื่องมือ Reverse SSH และ Zrok สร้าง Remote Access เข้าสู่เครื่องภายในแบบ Peer-to-peer

ผลกระทบจากการโจมตี

จากการโจมตีข้างต้น กลุ่มแฮกเกอร์ Lotus Panda สามารถเข้าถึงและขโมยข้อมูลสำคัญต่าง ๆ ไม่ว่าจะเป็นไฟล์เอกสาร ข้อมูลการสื่อสารภายใน และข้อมูลของผู้ใช้งานในระบบ เช่น Password และ Cookie นอกจากนี้แฮกเกอร์ยังสามารถเข้าควบคุมระบบจากภายนอกเพื่อดำเนินการขยายขอบเขตการโจมตีเพิ่มเติมได้

สรุปการโจมตี

ในการเข้าถึงระบบของเหยื่อในแคมเปญการโจมตีล่าสุดยังไม่เป็นที่แน่ชัด แต่หลังจากแฮกเกอร์สามารถเข้าสู่ภายในได้แล้วจะติดตั้งและใช้งานไฟล์ทั่วไปและไฟล์ที่อันตรายต่าง ๆ ในการโจมตี เช่น ไฟล์ปฏิบัติการที่ถูกต้องของ Trend Micro และ Bitdefender ไฟล์ DLL เครื่องมือในการขโมยข้อมูล Credential เครื่องมือแก้ไข Timestamp และเครื่องในการติดต่อสื่อสารกับ C2 Server ของแฮกเกอร์ เป็นต้น

คำแนะนำ

• Awareness Training เรื่องรูปแบบการโจมตีให้กับบุคลากรในองค์กร เช่น Phihsing
• ใช้ Email Gateway ที่มีความสามารถในการตรวจสอบ URL และไฟล์แนบที่อันตรายต่าง ๆ
• หมั่นตรวจสอบและอัปเดตซอฟต์แวร์และฮาร์ดแวร์ต่าง ๆ ในระบบอย่างสม่ำเสมอ เพื่อป้องกันช่องโหว่
• จำกัดการใช้งานซอฟต์แวร์จาก Third-party ที่ไม่จำเป็น
• ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ
• อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
• พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม

แหล่งอ้างอิง

hxxps://thehackernews[.]com/2025/04/lotus-panda-hacks-se-asian-governments[.]html

hxxps://www[.]security[.]com/threat-intelligence/billbug-china-espionage