ช่องโหว่ Zero-Day CVE-2025-2783 บน Chrome ถูกใช้เพื่อติดตั้ง Trinper Backdoor
ลองนึกภาพว่า คุณได้รับอีเมลเชิญเข้าร่วมงานสัมมนาทางวิชาการ “Primakov Readings Forum” ดูเป็นทางการ และน่าเชื่อถือ มีลิงก์ลงทะเบียนเข้าร่วมงานแนบมาด้วย ใครจะคิดว่า… แค่คลิกเดียว จะเป็นจุดเริ่มต้นของฝันร้ายทางไซเบอร์
ทั้งหมดเริ่มต้นจาก อีเมลฟิชชิงที่ปลอมแปลงอย่างแนบเนียนให้ดูเหมือนคำเชิญร่วมงานประชุมวิชาการทั่วไป แต่ทันทีที่เหยื่อคลิกลิงก์ เว็บไซต์ปลอมที่อยู่เบื้องหลังก็จะทำงานทันที โดยใช้ช่องโหว่ CVE-2025-2783 ซึ่งถูกจัดอยู่ในระดับความรุนแรง CVSS 8.3 บน Google Chrome ถึงแม้ระบบของผู้ใช้จะมีมาตรการป้องกันพื้นฐานก็ตาม
นี่คือเหตุการณ์ที่เกิดขึ้นจริงใน เดือนมีนาคม 2025 ที่ผ่านมา เมื่อกลุ่มแฮ็กเกอร์ที่ใช้ชื่อว่า “TaxOff” ใช้ประโยชน์จากช่องโหว่ Zero-Day ดังกล่าวในการโจมตีเป้าหมายจริง ก่อนจะฝังมัลแวร์ Trinper ลงบนเครื่องของเหยื่อ เหตุการณ์ดังกล่าวถูกตรวจพบโดยบริษัท Positive Technologies ซึ่งระบุว่า เป็นการใช้ช่องโหว่หลบหนีจากระบบ Sandbox บน Chrome เพื่อเปิดทางให้มัลแวร์เข้าไปทำงานบนเครื่องของผู้ใช้งานโดยไม่ถูกตรวจสอบ
ในเวลาต่อมา Google ได้ออกแพตช์อุดช่องโหว่นี้ในช่วงปลายเดือนมีนาคม หลังจากที่ Kaspersky รายงานว่าได้ตรวจพบการใช้งานช่องโหว่นี้จริง ในแคมเปญโจมตีที่ใช้ชื่อว่า Operation ForumTroll ซึ่งมุ่งเป้าโจมตีองค์กรต่าง ๆ ภายในประเทศรัสเซีย
จากจุดเริ่มต้นเพียงคลิกลิงก์เดียว ประตูของระบบเครือข่ายองค์กรก็ถูกเปิดออกโดยไม่รู้ตัว พร้อมต้อนรับภัยคุกคามที่แฝงตัวเข้ามาอย่างเงียบเชียบ…
Trinper Backdoor มัลแวร์ที่ทำได้มากกว่าที่คุณคิด
มัลแวร์ที่ถูกติดตั้งมีชื่อว่า Trinper เขียนขึ้นด้วยภาษา C++ และถูกออกแบบมาอย่างแยบยลให้ทำงานเบื้องหลังแบบ “เงียบๆ” ผ่านการประมวลผลแบบ Multithreading ซึ่งช่วยให้มัน
เก็บข้อมูลระบบของเครื่องเหยื่อ
บันทึกการพิมพ์ทุกตัวอักษร (Keylogger)
ขโมยไฟล์ที่มีนามสกุลสำคัญอย่าง .doc, .xls, .ppt, .pdf
เชื่อมต่อกับเซิร์ฟเวอร์ควบคุมจากระยะไกล (C2) เพื่อรับคำสั่งและส่งข้อมูลกลับ
นอกจากนี้ Trinper ยังสามารถ รันคำสั่ง cmd, เปิด Reverse Shell, เปลี่ยนไดเรกทอรี และแม้กระทั่ง ลบตัวเองทิ้งได้ หากจำเป็น!
กลุ่ม TaxOff – แฮ็กเกอร์ที่ไม่ได้มาเล่น ๆ
กลุ่ม TaxOff ไม่ใช่หน้าใหม่ในวงการ พวกเขาเคยถูกพบครั้งแรกเมื่อปลายปี 2024 โดยเจาะหน่วยงานรัฐในรัสเซียผ่านอีเมลฟิชชิง เพื่อส่งมัลแวร์ Trinper เช่นกัน ในการโจมตีล่าสุด นักวิจัยจาก Positive Technologies ยังพบว่า TaxOff อาจมีความเชื่อมโยงกับอีกกลุ่มหนึ่งที่รู้จักกันในชื่อ Team46 ซึ่งมีวิธีโจมตีที่คล้ายคลึงกันอย่างมาก เช่น การส่งอีเมลปลอมที่อ้างว่าเป็นจากบริษัทโทรคมนาคม แนบไฟล์ ZIP พร้อม Shortcut ที่รัน PowerShell ใช้ Loader แบบ Donut หรือ Cobalt Strike เพื่อติดตั้ง Trinper
บทเรียนที่ต้องจำ ช่องโหว่ใหม่ = ประตูใหม่ให้แฮ็กเกอร์
การที่แฮ็กเกอร์สามารถใช้ช่องโหว่ที่ยังไม่มีแพตช์ในซอฟต์แวร์ยอดนิยมอย่าง Chrome สะท้อนให้เห็นว่า “การอัปเดตซอฟต์แวร์ทันทีที่มีแพตช์” ไม่ใช่ทางเลือก แต่เป็นเรื่องจำเป็น กลุ่มอย่าง TaxOff ไม่ได้ใช้เครื่องมือธรรมดา พวกเขามีทั้งความรู้ขั้นสูง, อาวุธที่ซับซ้อน, และเป้าหมายระยะยาวเพื่อฝังตัวในระบบเป้าหมายให้นานที่สุด
คุณจะป้องกันตัวเองได้อย่างไร?
หมั่นอัปเดตซอฟต์แวร์ทุกชนิด โดยเฉพาะเบราว์เซอร์
ไม่คลิกลิงก์ในอีเมลที่ไม่แน่ใจ แม้จะดูน่าเชื่อถือ
ตรวจสอบ URL ก่อนเข้า โดยเฉพาะลิงก์สั้น
เปิด 2FA ในทุกบัญชีสำคัญ
สำหรับ IT Admin
ติดตั้ง EDR/XDR ที่ตรวจจับ Zero-Day ได้
อัปเดตระบบแบบอัตโนมัติ
จำกัดสิทธิ์ผู้ใช้ ไม่ให้ติดตั้งโปรแกรมเอง
สำรองข้อมูลสม่ำเสมอ และทดสอบการกู้คืนระบบ
ฝึกอบรมพนักงาน ให้รู้จักอีเมลฟิชชิง
เหตุการณ์นี้เป็นข้อเตือนเราว่า "ในยุคของ Zero-Day แฮ็กเกอร์อยู่ข้างหน้าเราเสมอ การป้องกันที่ดีที่สุดคือการเตรียมพร้อมรับมือกับสิ่งที่ยังไม่เกิดขึ้น"
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner.
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: info@baycoms.com
Website: www.baycoms.com
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2025 Blockdit
