Blockdit Logo (Mobile)
BAYCOMS
11 เม.ย. เวลา 03:00 • วิทยาศาสตร์ & เทคโนโลยี

Storm-1175 เจาะลึกปฏิบัติการ "สายฟ้าแลบ" ของแฮกเกอร์จีนกับการแพร่ระบาดแรนซัมแวร์ Medusa

ในโลกไซเบอร์ปัจจุบัน ความเร็วคืออาวุธที่อันตรายที่สุด ล่าสุด Microsoft Threat Intelligence ได้เปิดเผยรายงานเกี่ยวกับกลุ่มแฮกเกอร์ "Storm-1175" ที่มีฐานปฏิบัติการอยู่ในประเทศจีน ซึ่งกำลังสร้างความสั่นสะเทือนไปทั่วโลกด้วยกลวิธีโจมตีแบบความเร็วสูง (High-velocity) เพื่อติดตั้งแรนซัมแวร์ตัวร้ายอย่าง Medusa
ช่องโหว่ Zero-day กุญแจดอกสำคัญในการบุกรุก
จุดเด่นที่น่ากลัวของ Storm-1175 คือความเชี่ยวชาญในการค้นหาและใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ โดยเฉพาะ Zero-day (ช่องโหว่ใหม่ที่ยังไม่มีทางแก้) และ N-day (ช่องโหว่ที่เพิ่งเปิดเผยแต่หลายองค์กรยังไม่ได้อัปเดต) พวกเขามักใช้ช่องโหว่เหล่านี้เจาะเข้าสู่ระบบที่เชื่อมต่อกับอินเทอร์เน็ตได้ก่อนที่ผู้ดูแลระบบจะทันตั้งตัว
กลุ่มเป้าหมายหลักที่ได้รับผลกระทบอย่างหนัก ได้แก่ หน่วยงานด้านการเงิน, การศึกษา, สาธารณสุขในประเทศยุทธศาสตร์ อย่างสหรัฐอเมริกา สหราชอาณาจักร และออสเตรเลีย
ปฏิบัติการ 24 ชั่วโมง จากการเจาะระบบสู่การเรียกค่าไถ่
1. Storm-1175 ทำงานด้วยจังหวะที่รวดเร็วมาก เมื่อสามารถเข้าถึงระบบได้แล้ว พวกเขาจะเร่งดำเนินการดังนี้
2. สร้างฐานที่มั่น: สร้างบัญชีผู้ใช้ใหม่หรือติดตั้ง Web Shell เพื่อให้เข้าออกระบบได้ตลอดเวลา
3. ขโมยข้อมูล: ก่อนจะเข้ารหัสเครื่อง พวกเขาจะแอบดูดข้อมูล (Exfiltrate) ออกไปก่อนเพื่อใช้เป็นเครื่องมือต่อรอง
4. ปิดระบบป้องกัน: มีการตั้งค่าข้อยกเว้นใน Microsoft Defender เพื่อไม่ให้ตรวจพบมัลแวร์ ปล่อยแรนซัมแวร์: ทั้งหมดนี้เกิดขึ้นในเวลาเพียงไม่กี่วัน หรือบางกรณี ไม่ถึง 24 ชั่วโมง หลังจากเจาะระบบได้สำเร็จ
คลังอาวุธและเทคนิคการโจมตี (Technical Insights)
ตั้งแต่ปี 2023 เป็นต้นมา กลุ่มนี้ได้ใช้ประโยชน์จากช่องโหว่สำคัญมากกว่า 16 รายการ เช่น
- Microsoft Exchange Server (CVE-2023-21529)
- ระบบจัดการเครื่องพิมพ์ Papercut (CVE-2023-27351)
- ซอฟต์แวร์ควบคุมระยะไกลต่างๆ เช่น ConnectWise, JetBrains, และ SimpleHelp
- ล่าสุดในปี 2025-2026 พบการใช้ช่องโหว่ใน CrushFTP และ SmarterMail แบบ Zero-day อีกด้วย
นอกจากนี้ แฮกเกอร์ยังเปลี่ยนมาพุ่งเป้าที่ระบบ Linux และการใช้เครื่องมือที่ดูเหมือนถูกกฎหมายอย่าง RMM (Remote Monitoring and Management) เช่น AnyDesk หรือ Atera เพื่ออำพรางการรับส่งข้อมูลที่ผิดปกติให้กลมกลืนไปกับทราฟฟิกปกติขององค์กร ทำให้การตรวจจับทำได้ยากยิ่งขึ้น
เทคนิคที่ Storm-1175 เลือกใช้คือการผสมผสานระหว่างซอฟต์แวร์ที่ติดเครื่องมาอยู่แล้ว (Living-off-the-land) ร่วมกับเครื่องมือเฉพาะทาง
- ใช้ PowerShell และ PsExec สำหรับเคลื่อนที่ภายในเครือข่าย
- ใช้ Bandizip ในการรวบรวมไฟล์ และ Rclone เพื่อส่งข้อมูลออกนอกหน่วยงาน
- แก้ไขนโยบาย Windows Firewall เพื่อเปิดช่องทาง RDP ให้ตนเองควบคุมเครื่องอื่นต่อได้ง่ายขึ้น
บทสรุปและข้อควรระวัง
Storm-1175 ไม่ใช่แค่กลุ่มแฮกเกอร์ทั่วไป แต่เป็นกลุ่มที่มีประสิทธิภาพสูงในการเปลี่ยน "ช่องโหว่ใหม่" ให้เป็น "อาวุธ" ในเวลาอันสั้นที่สุด
ข้อแนะนำสำคัญ: องค์กรควรให้ความสำคัญกับการอัปเดต Patch ทันทีที่มีการประกาศ (โดยเฉพาะระบบที่เชื่อมต่ออินเทอร์เน็ต) และต้องเฝ้าระวังการใช้งานเครื่องมือควบคุมระยะไกล (RMM) ภายในเครือข่ายอย่างใกล้ชิด เพราะสิ่งที่ดูเหมือนเครื่องมือช่วยเหลือฝ่าย IT อาจกลายเป็นประตูที่แฮกเกอร์เปิดทิ้งไว้เพื่อโจมตีคุณในยามวิกาล
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS  
Your Trusted Cybersecurity Partner .
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :  
Bay Computing Public Co., Ltd  
Tel: 02-115-9956  
Email: info@baycoms.com  
Website: www.baycoms.com  
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity #Medusa #Ransomware
โฆษณา