พบมัลแวร์ใหม่ ‘YiBackdoor’ โค้ดคล้าย IcedID และ Latrodectus หวั่นเป็นเครื่องมือเจาะระบบรุ่นใหม่

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของมัลแวร์ตระกูลใหม่ชื่อ YiBackdoor ซึ่งน่าตกใจตรงที่มันมีซอร์สโค้ดหลายส่วนที่คล้ายคลึงกับมัลแวร์ชื่อดังอย่าง IcedID และ Latrodectus อย่างมาก 

บริษัท Zscaler TheatLabz ได้รายงานเมื่อวันอังคารที่ผ่านมาว่า "ความเชื่อมโยงที่แน่ชัดของ YiBackdoor ยังไม่เป็นที่ประจักษ์ แต่อาจะถูกนำมาใช้ร่วมกับ Latrodectus และ IcedID ในการโจมตี" โดยความสามารถหลักของ YiBackdoor คือการ สั่งการเครื่องคอมพิวเตอร์จากระยะไกล, เก็บข้อมูลของเครื่อง, จับภาพหน้าจอ และติดตั้งโปรแกรมเสริม (plugin) เพื่อเพิ่มฟังก์ชันการทำงานได้ตลอดเวลา

Zscaler ระบุว่าตรวจพบมัลแวร์ตัวนี้ครั้งแรกในเดือนมิถุนายน ปี 2025 และคาดว่ามันอาจถูกใช้เป็นเครื่องมือสำหรับ "การเจาะระบบด่านแรก" เพื่อเปิดทางให้กับการโจมตีในขั้นต่อไป เช่น การปล่อยมัลแวร์เรียกค่าไถ (Ransomware)

ปัจจุบัน การแพร่กระจายของ YiBackdoor ยังมีขีดจำกัด ซึ่งบ่งชี้ว่ามันอาจจะอยู่ในช่วงพัฒนาหรือทดสอบ อย่างไรก็ตาม ด้วยความคล้ายคลึงกันของโค้ดระหว่าง YiBackdoor,IcedID และ Latrodectus ทำให้ผู้เชี่ยวชาญเชื่อมั่นว่ามัลแวร์ตัวใหม่นี้เป็นผลงานของทีมพัฒนาเดียวกันกับมัลแวร์อีกสองตัว ซึ่ง Latrodectus เองก็ถูกมองว่าเป็นมัลแวร์ที่พัฒนาต่อยอกมาจาก IcedID

เทคนิคการแฝงตัวและควบคุมเครื่อง

YiBackdoor มีเทคนิคพื้นฐานในการหลบเลี่ยงการวิเคราะห์จากโปรแกรมรักษาความปลอดภัย (Anti-analysis) เพื่อซ่อนตัวจากสภาพแวดล้อมจำลอง (Sandbox) และสามารถฉีดโค้หลักของตัวเองเข้าไปในโปรเซสของระบบอย่าง svchost.exe เพื่อแฝงตัว

สำหรับการฝังตัวถาวรในเครื่อง มันจะใช้เทคนิคการแก้ไข Windows Run registry key โดยมีขั้นตอนดังนี้: 

1. มัลแวร์จะคัดลอกไฟล์ของตัวเอง (ไฟล์ DLL) ไปยังโฟล์เดอร์ที่สร้างขึ้นใหม่ภายใต้ชื่อแบบสุ่ม
2. จากนั้นจะเพิ่มคำสั่ง regsvr32.exe [ที่อยู่ไฟล์มัลแวร์] ไปยังโฟล์เดอร์ที่สร้างขึ้นใหม่ภายใต้ชื่อแบบสุ่ม
3. สุดท้าย มัจะลบไฟล์ต้นฉบับของตัวเองทิ้งเพื่อทำลายร่องรอย

เมื่อติดตั้งสำเร็จ YiBackdoor จะเชื่อมต่อไปยังเซิร์ฟเวอร์ควบคุมและสั่งการ (Command-and-Control หรือ C2) เพื่อรอรับคำสั่งต่างๆ เช่น

• Systeminfo: เก็บข้อมูลจำเพาะของระบบ
• screen: จับภาพหน้าจอ
• CMD: สั่งรันคำสั่นผ่าน Command Prompt 
• PWS: สั่งรันคำสั่งผ่าน PowerShell
• plugin: สั่งการโปรแกรมเสริมที่ติดตั้งไว้แล้ว
• task: ติดตั้งและรันโปรแกรมเสริมตัวใหม่

นักวิจัยจาก Zscaler ย้ำว่า "แม้ YiBackdoor จะมีความสามารถพื้นฐานที่จำกัด แต่ผู้โจมตีสามารถส่งโปรแกรมเสริมเข้ามาเพื่อขยายขีดความสามารถของมันได้ตลอดเวลา"

Zscaler ก็ไม่น้อยหน้า อัปเดตเวอร์ชันใหม่ หลบเก่งกว่าเดิม

ในขณะเดียวกัน Zscaler ยังได้ตรวจสอบมัลแวร์อีกตัวคือ ZLoader (หรือที่รู้จักในชื่อ DELoader, Terdot) เวอร์ชันใหม่ 2.11.6.0 และ 2.13.7.0 ซึ่งมีการปรับปรุงครั้งใหญ่ในด้านการซ่อนโค้ด (obfuscation), การสื่อสารผ่านเครือข่าย และเทคนิคการหลบเลี่ยงการตรวจจับ

สิ่งที่น่าสนใจคือการเพิ่มคำสั่งที่ใช้โปรโตคอล LDAP เพื่อสำหรับเครือข่ายภายใน ซึ่งช่วยให้มันสามารถเคลื่อนที่ไปยังเครื่องอื่นๆ ในเครือข่ายเดียวกันได้ (Lateral Movement) นอกจากนี้ยังมีการปรับปรุงโปรโตคอลการสื่อสารผ่าน DNS ให้มีการเข้ารหัสแบบพิเศษ และเพิ่มทางเลือกในการใช้ WebSockets ได้อีกด้วย

รายงานระบุว่า การโจมตีด้วย ZLoader ในปัจจุบันมีคความแม่นยำและพุ่งเป้าไปยังองค์กรเฉพาะกลุ่มมากขึ้น แทนที่จะเป็นการโจมตีแบบหว่านแหเหมือนในอดีต ซึ่งแสดงให้หเ็นถึงการพัฒนากลยุทธ์ของอาชญากรไซเบอร์ที่อันตรายยิ่งขึ้น

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก