มัลแวร์ ShadowPad โจมตีช่องโหว่ WSUS ของ Microsoft อย่างหนักเพื่อยึดระบบ!
ช่องโหว่ด้านความปลอดภัยที่ Microsoft เพิ่งจะแก้ไขไปใน Windows Server Update Services (WSUS) กำลังถูกผู้ไม่หวังดีใช้เป็นช่องทางในการกระจายมัลแวร์ที่รู้จักกันในชื่อ ShadowPad อย่างต่อเนื่องครับ
ศูนย์ข่าวกรองความปลอดภัยของ AhnLab (ASEC) เปิดเผยในรายงานเมื่อสัปดาห์ที่แล้วว่า "ผู้โจมตีมุ่งเป้าไปที่ Windows Server ที่เปิดใช้งาน WSUS โดยใช้ช่องโหว่ CVE-2025-59287 เพื่อเจาะเข้าสู่ระบบเบื้องต้น"
หลังจากที่เจาะเข้าได้แล้ว พวกเขาก็ใช้ PowerCat ซึ่งเป็นเครื่องมือ Netcat แบบโอเพนซอร์สที่ทำงานบน PowerShell เพื่อเข้าถึง System Shell (CMD) จากนั้นจึงดาวน์โหลดและติดตั้ง ShadowPad โดยใช้เครื่องมือในตัวของวินโดวส์อย่าง certutil และ curl
รู้จักกับ ShadowPad
ShadowPad ถูกประเมินว่าเป็นมัลแวร์รุ่นต่อจาก PlugX ซึ่งเป็น Backdoor แบบโมดูลาร์ที่ถูกใช้งานอย่างแพร่หลายโดยกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน โดยมันปรากฏตัวครั้งแรกในปี 2015 และเคยถูก SentinelOne ยกให้เป็น "ผลงานชิ้นเอกของมัลแวร์ที่ขายกันเป็นการส่วนตัวในการจารกรรมของจีน"
ช่องโหว่ CVE-2025-59287 ที่ Microsoft แก้ไขเมื่อเดือนที่แล้ว เป็นข้อบกพร่องร้ายแรงแบบ Deserialization ใน WSUS ซึ่งสามารถนำไปใช้เพื่อสั่งการโค้ดจากระยะไกล (Remote Code Execution) ด้วยสิทธิ์ระดับ System ได้เลย
หลังจากมีการเผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่สู่สาธารณะ ช่องโหว่นี้ก็ถูกนำมาใช้ประโยชน์อย่างรวดเร็ว โดยผู้โจมตีใช้มันเพื่อเข้าถึง WSUS ที่เปิดเผยต่อสาธารณะ เพื่อสอดแนม (Reconnaissance) และแม้กระทั่งติดตั้งเครื่องมือที่ถูกกฎหมายอย่าง Velociraptor
วิธีการทำงานล่าสุด
ในการโจมตีที่บริษัทรักษาความปลอดภัยของเกาหลีใต้ได้บันทึกไว้ ผู้โจมตีได้ใช้ช่องโหว่นี้เพื่อสั่งให้ Windows Utilities อย่าง curl.exe และ certutil.exe ติดต่อกับเซิร์ฟเวอร์ภายนอก (IP address: 149.28.78[.]189:42306) เพื่อดาวน์โหลดและติดตั้ง ShadowPad
ShadowPad จะถูกเปิดใช้งานโดยวิธีการ DLL Side-loading โดยการใช้ไบนารีที่ถูกกฎหมาย (ETDCtrlHelper.exe) เพื่อรันเพย์โหลด DLL (ETDApix.dll) ซึ่งทำหน้าที่เป็นตัวโหลด (Loader) ที่ทำงานในหน่วยความจำ เพื่อเปิด Backdoor หลักอีกที
เมื่อติดตั้งแล้ว มัลแวร์จะโหลดโมดูลหลัก ซึ่งรับผิดชอบในการโหลดปลั๊กอินอื่น ๆ ที่ฝังอยู่ในเชลล์โค้ดเข้าไปในหน่วยความจำ และยังมาพร้อมกับเทคนิคการต่อต้านการตรวจจับและการคงอยู่ของระบบ (Persistence) ที่หลากหลายด้วยครับ
ทาง AhnLab สรุปว่า "ช่องโหว่นี้มีความร้ายแรงอย่างมาก เพราะอนุญาตให้มีการสั่งการโค้ดจากระยะไกลด้วยสิทธิ์ระดับ System ซึ่งเพิ่มผลกระทบที่อาจเกิดขึ้นได้อย่างมาก" แม้ว่ากิจกรรมการโจมตีนี้จะยังไม่มีการระบุว่ามาจากกลุ่มผู้โจมตีใดเป็นพิเศษก็ตามครับ
#DRKRIT drkrit.com #กระแสไอที #ข่าวไอที #ไทยสมาร์ทซิตี้