เตือนภัย! แฮกเกอร์ใช้ช่องโหว่ Windows เจาะระบบ ติดตั้งมัลแวร์ "PipeMagic" ส่วนหนึ่งของแรนซัมแวร์ RansomExx
นักวิจัยด้านความมั่นคงปลอดภัยทางไซเบอร์ได้เปิดเผยข้อมูลเชิงลึกว่า กลุ่มผู้ไม่หวังดีกำลังใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยของ Microsoft Windows ที่ได้รับการแก้ไขไปแล้ว เพื่อติดตั้งมัลแวร์ที่ชื่อว่า PipeMagic ซึ่งเป็นส่วนหนึ่งของการโจมตีด้วยแรนซัมแวร์เรียกค่าไถ่ RansomExx
รายงานร่วมฉบับล่าสุดจาก Kaspersky และ BI.ZONE ระบุว่า การโจมตีดังกล่าวอาศัยช่องโหว่ CVE-2025-29824 ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์ของตนเองในระบบได้ (Privilege Escalation) โดยช่องโหว่นี้ส่งผลกระทบต่อระบบ Common Log File System (CLFS) ของ Windows และทาง Microsoft ได้ออกแพตช์อัปเดตเพื่ออุดช่องโหว่ไปเมื่อเดือนเมษายน ปี 2025 ที่ผ่านมา
ย้อนรอยมัลแวร์ PipeMagic
มัลแวร์ PipeMagic ถูกค้นพบครั้งแรกในปี 2022 โดยเป็นเครื่องมือในการโจมตีด้วยแรนซัมแวร์ RansomExx ที่พุ่งเป้าไปที่บริษัทในภาคอุตสาหกรรมของภูมิภาคเอเชียตะวันออกเฉียงใต้ มันทำหน้าที่เป็น "ประตูหลัง" (Backdoor) เต็มรูปแบบ เปิดช่องทางให้แฮกเกอร์สามารถเข้ามาควบคุมเครื่องจากระยะไกลและสั่งการทำงานต่างๆ บนเครื่องของเหยื่อได้
ในอดีต กลุ่มผู้โจมตีเคยใช้ช่องโหว่เก่าอย่าง CVE-2017-0144 (ช่องโหว่การรันโค้ดระยะไกลใน Windows SMB) เพื่อเจาะเข้ามาในระบบของเหยื่อ ต่อมาในเดือนตุลาคม 2024 ยังพบการโจมตีในประเทศซาอุดีอาระเบียที่ใช้ แอปฯ OpenAI ChatGPT ปลอม เป็นเหยื่อล่อเพื่อหลอกให้ผู้ใช้ติดตั้งมัลแวร์ตัวนี้
เมื่อเดือนเมษายนที่ผ่านมา Microsoft ได้ระบุว่าการโจมตีที่ใช้ช่องโหว่ CVE-2025-29824 และมัลแวร์ PipeMagic นั้น เป็นฝีมือของกลุ่มแฮกเกอร์ที่ใช้ชื่อรหัสว่า Storm-2460
กลไกการทำงานที่ซับซ้อน
นักวิจัยอธิบายว่า "หนึ่งในคุณสมบัติพิเศษของ PipeMagic คือการสร้างท่อสื่อสารที่เรียกว่า 'Named Pipe' ขึ้นมา เพื่อใช้เป็นช่องทางลับในการส่งข้อมูลและรับคำสั่งจากแฮกเกอร์ ทำให้สามารถส่งเพย์โหลด (โค้ดอันตราย) ที่เข้ารหัสไว้เข้ามาในเครื่องของเหยื่อได้"
PipeMagic เป็นมัลแวร์แบบโมดูลที่สามารถเพิ่มความสามารถได้ผ่านปลั๊กอิน โดยใช้โดเมนที่โฮสต์อยู่บนบริการคลาวด์ Microsoft Azure เป็นแหล่งพักไฟล์สำหรับส่วนประกอบเพิ่มเติม
ในการโจมตีล่าสุดปี 2025 ที่พุ่งเป้าไปยังซาอุดีอาระเบียและบราซิล แฮกเกอร์ได้ใช้ไฟล์ Microsoft Help Index (metafile.mshi) เป็นตัวโหลด (Loader) ซึ่งจะแตกไฟล์โค้ด C# ออกมาเพื่อถอดรหัสและรันโค้ดอันตรายที่ฝังตัวอยู่ (Shellcode) ต่อไป
นอกจากนี้ ยังพบว่ามีการใช้เทคนิค DLL hijacking โดยหลอกว่าเป็นไฟล์อัปเดตของ Google Chrome (googleupdate.dll) เพื่อรันมัลแวร์อีกด้วย
พัฒนาการที่ไม่หยุดนิ่ง
ไม่ว่าจะใช้วิธีการใดในการเริ่มต้น สุดท้ายแล้วก็จะนำไปสู่การติดตั้ง PipeMagic ซึ่งมีความสามารถหลากหลายผ่านโมดูลต่างๆ เช่น:
โมดูลการสื่อสาร: รองรับคำสั่งอ่าน/เขียนไฟล์ หรือยุติการทำงานต่างๆ
โมดูลโหลดเดอร์: ใช้สำหรับโหลดและรันเพย์โหลดเพิ่มเติมในหน่วยความจำ
โมดูลอินเจคเตอร์: ใช้สำหรับเปิดโปรแกรม C# ที่เป็นอันตราย
"การตรวจพบ PipeMagic ซ้ำๆ ในการโจมตีองค์กรที่ซาอุดีอาระเบีย และการปรากฏตัวในบราซิล ชี้ให้เห็นว่ามัลแวร์ตัวนี้ยังคงถูกใช้งานอยู่ และผู้โจมตีกำลังพัฒนาความสามารถของมันอย่างต่อเนื่อง" นักวิจัยกล่าว
ในเวอร์ชันที่พบในปี 2025 มีการปรับปรุงให้สามารถฝังตัวอยู่ในระบบของเหยื่อได้นานขึ้น และสามารถเคลื่อนที่ไปยังเครื่องอื่นๆ ภายในเครือข่ายเดียวกันได้ (Lateral Movement) นอกจากนี้ แฮกเกอร์ยังใช้เครื่องมือ ProcDump (โดยเปลี่ยนชื่อเป็น dllhost.exe) เพื่อดึงข้อมูลหน่วยความจำจากโพรเซส LSASS ซึ่งเป็นเทคนิคที่นิยมใช้ในการขโมยรหัสผ่าน
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก