Cybersecurity Alert! Patchwork ส่งอีเมลลวงเจาะกลาโหมตุรกีด้วยไฟล์ LNK ปลอม
Patchwork ส่งอีเมลลวงเจาะกลาโหมตุรกีด้วยไฟล์ LNK! 🚨
แฮกเกอร์กลุ่ม Patchwork หรือที่รู้จักในชื่อ Dropping Elephant เปิดปฏิบัติการใหม่ใช้ spear-phishing เจาะบริษัทกลาโหมในตุรกี โดยปลอมเป็นคำเชิญร่วมงานสัมมนาเรื่อง “ระบบยานยนต์ไร้คนขับ (UAV)” เพื่อหลอกเหยื่อให้เปิดไฟล์ LNK ที่แฝงโค้ดร้าย (Arctic Wolf Labs, 2025) สิ่งที่น่าจับตาคือเป้าหมายหลักคือบริษัทผลิตระบบขีปนาวุธพิสัยแม่นยำ และเกิดขึ้นในช่วงที่ตุรกีเพิ่มความร่วมมือทางทหารกับปากีสถาน ท่ามกลางความตึงเครียดระหว่างอินเดีย-ปากีสถาน
⚡ "พวกเขาใช้ไฟล์ทางลัด Windows (.LNK) เพื่อเปิดช่องรันคำสั่ง PowerShell ดึงเพย์โหลดจากเซิร์ฟเวอร์ปลอมที่เลียนแบบเว็บสัมมนาจริง" – Arctic Wolf Labs
ขั้นตอนการโจมตี 5 ชั้นที่เนียนสุดๆ 🎯
ไฟล์ LNK ที่ส่งไปมีชื่อดูน่าเชื่อถืออย่าง Unmanned_Vehicle_Systems_Conference_2025_In_Istanbul.lnk เมื่อเหยื่อเปิด มันจะ:
- รันคำสั่ง PowerShell ดึงไฟล์หลายชุดจากโดเมนปลอม expouav[.]org ซึ่งเลียนแบบเว็บสัมมนาจริง waset.org
- แสดงไฟล์ PDF หลอกตาให้เหยื่อเห็นว่าเป็นคำเชิญงานสัมมนา แต่เบื้องหลังติดตั้งมัลแวร์ต่อเนื่อง
- ใช้ VLC Media Player และ Task Scheduler ที่ผู้ใช้คุ้นเคย เพื่อ side-load DLL อันตรายเข้าระบบ
- สร้าง scheduled task ให้เพย์โหลดทำงานซ้ำแม้เหยื่อจะรีสตาร์ทเครื่อง
- สุดท้ายรัน shellcode ที่ดึงข้อมูลสำคัญ เช่น ชื่อเครื่อง ผู้ใช้ สเปกระบบ ถ่ายภาพหน้าจอ แล้วส่งกลับเซิร์ฟเวอร์ C2 roseserve[.]org
ทำไมกลุ่มนี้ถึงน่ากลัว? 🤔
Patchwork เป็นกลุ่มแฮกเกอร์สาย รัฐสนับสนุน สัญชาติอินเดีย เคยโจมตีจีน ปากีสถาน ภูฏาน และขยายมายุโรป-สหรัฐฯ มาตั้งแต่ปี 2009 จุดแข็งของพวกเขาคือ:
- ใช้ social engineering และ spear-phishing ที่เนียนระดับสูง
- ปรับเทคนิคตลอด เช่น เปลี่ยนจากมัลแวร์ x64 DLL ไปเป็น x86 PE ที่เล็กและซ่อนตัวเก่งขึ้น
- ใช้โครงสร้างเซิร์ฟเวอร์ปลอมเลียนแบบเว็บที่เหยื่อเชื่อถือ เช่น Pardus.org.tr ของรัฐบาลตุรกี
เป้าหมายหลักของ Patchwork คือการจารกรรมข้อมูลเชิงลึกด้านกลาโหม โดยเฉพาะข้อมูลเกี่ยวกับเทคโนโลยีขีปนาวุธและ UAV ซึ่งมีความสำคัญต่อทั้ง NATO และพันธมิตรของตุรกี
ตัวอย่างใกล้ตัวที่เข้าใจง่ายเลย 💡
📩 อีเมลเชิญงานสัมมนาปลอม
เหมือนเราได้อีเมลบัตรเชิญงานคอนเสิร์ตฟรี แต่คลิกลิงก์แล้วโดนขโมยข้อมูล
🎥 ใช้โปรแกรมที่เราคุ้นเคย
VLC Media Player ถูกใช้เป็นตัวบังหน้า ทำให้เหยื่อไม่สงสัยว่ากำลังโดนแฮก
💻 Task Scheduler
เหมือนตั้งปลุกให้ทำงานซ้ำอัตโนมัติ แต่นี่คือการตั้งให้มัลแวร์ทำงานทุกครั้งที่เปิดเครื่อง
🕵️♂️ ถ่ายหน้าจอแบบลับๆ
มัลแวร์ถ่ายภาพหน้าจอเพื่อนำข้อมูลที่เราเห็นไปใช้ แม้ไฟล์สำคัญเก็บอยู่บนเซิร์ฟเวอร์ภายนอก
บทเรียนที่ควรจำ 📚
การโจมตีของ Patchwork แสดงให้เห็นว่า spear-phishing ยังคงเป็นภัยอันดับต้นๆ แม้เราจะมีโปรแกรมป้องกันก็ตาม องค์กรควรให้พนักงานทุกคนรู้จักตรวจสอบอีเมลอย่างระมัดระวัง โดยเฉพาะไฟล์แนบที่เป็น .LNK, .ZIP หรือ .PDF จากคนแปลกหน้า
สำหรับผู้ใช้ทั่วไป ควร:
- เปิด 2FA และตั้งรหัสผ่านซับซ้อน
- อัปเดตซอฟต์แวร์และระบบปฏิบัติการอยู่เสมอ
- อย่าคลิกลิงก์หรือไฟล์แนบที่ไม่แน่ใจว่าเชื่อถือได้
สุดท้าย องค์กรที่เกี่ยวข้องกับข้อมูลสำคัญ เช่น กลาโหมหรือพลังงาน ต้องมีระบบป้องกันหลายชั้น (multi-layer defense) และตรวจสอบเครือข่ายภายในตลอดเวลา เพื่อไม่ให้ภัยไซเบอร์เหล่านี้เข้าถึงข้อมูลสำคัญได้ง่ายๆ 🔐
📚 อ้างอิง
-
Lakshmanan, R. (2025, ก.ค. 25).
Patchwork Targets Turkish Defense Firms with Spear-Phishing Using
Malicious LNK Files.
TheHackerNews.
เข้าถึงได้จาก: https://thehackernews.com/2025/07/patchwork-targets-turkish-defense-firms.html -
Arctic Wolf Labs (2025, ก.ค. 23).
Dropping Elephant APT Group Targets Turkish Defense Industry With New
Campaign and Capabilities.
เข้าถึงได้จาก: https://arcticwolf.com/resources/blog/dropping-elephant-apt-group-targets-turkish-defense-industry/
