ด่วน! ช่องโหว่ Zero-Day ใน Samsung Galaxy ถูกใช้ส่งสปายแวร์ "LANDFALL" เจาะเป้าหมายตะวันออกกลาง

Published:

 

ล่าสุด มีรายงานการตรวจพบการโจมตีทางไซเบอร์ที่น่าตกใจ โดยกลุ่มแฮกเกอร์ได้ใช้ประโยชน์จาก "ช่องโหว่ Zero-Day" ที่ยังไม่เคยถูกเปิดเผยและแก้ไขในสมาร์ทโฟน Samsung Galaxy เพื่อติดตั้งสปายแวร์ร้ายแรงระดับ "เกรดพาณิชย์" ที่ชื่อว่า LANDFALL ซึ่งมุ่งเป้าหมายไปยังประเทศในตะวันออกกลาง

ช่องโหว่อันตรายที่ถูกใช้โจมตี

การโจมตีนี้ใช้ช่องโหว่หมายเลข $CVE-2025-21042$ (ค่า CVSS: 8.8) ซึ่งเป็นข้อบกพร่องประเภท Out-of-Bounds Write ในส่วนประกอบ $libimagecodec.quram.so$ บนอุปกรณ์ Samsung ช่องโหว่นี้ร้ายแรงมาก เพราะสามารถทำให้ผู้โจมตีจากระยะไกลรันโค้ดอันตรายได้ตามต้องการ (Execute Arbitrary Code)

  • Zero-Day Exploit: ช่องโหว่นี้ถูกใช้โจมตี "ในวงกว้าง" (Actively Exploited in the Wild) ก่อนที่ Samsung จะออกแพตช์แก้ไขอย่างเป็นทางการในเดือนเมษายน 2025 เสียอีก
  • เป้าหมาย: จากข้อมูลการส่งตัวอย่างไปยัง VirusTotal ชี้ว่ากลุ่มเป้าหมายส่วนใหญ่อยู่ในอิรัก, อิหร่าน, ตุรกี, และโมร็อกโก
  • วิธีการส่งมัลแวร์: มีการประเมินว่าการโจมตีนี้เกี่ยวข้องกับการ ส่งภาพที่อันตรายผ่านแอปพลิเคชัน WhatsApp โดยภาพเหล่านั้นจะอยู่ในรูปแบบไฟล์ DNG (Digital Negative) ซึ่งซ่อนไฟล์ ZIP ที่บรรจุสปายแวร์ LANDFALL เอาไว้ภายใน โดยตัวอย่างมัลแวร์ถูกตรวจพบย้อนหลังไปถึงเดือนกรกฎาคม 2024

สปายแวร์ LANDFALL ทำอะไรได้บ้าง?

LANDFALL ไม่ใช่สปายแวร์ธรรมดา แต่เป็นเครื่องมือสอดแนมแบบครบวงจร (Comprehensive Spy Tool) ที่สามารถขโมยข้อมูลสำคัญได้แทบทุกอย่างจากอุปกรณ์ที่ติดเชื้อ รวมถึง:

  • การบันทึกเสียงจากไมโครโฟน
  • ข้อมูลตำแหน่งที่ตั้ง (Location)
  • รูปภาพ, รายชื่อผู้ติดต่อ (Contacts), SMS
  • ไฟล์ข้อมูลต่าง ๆ และบันทึกการโทร (Call Logs)

นอกจากนี้ สปายแวร์ยังถูกออกแบบมาเพื่อ ปรับเปลี่ยนนโยบาย SELinux ของอุปกรณ์เพื่อให้ได้สิทธิ์ที่สูงขึ้น (Elevated Permissions) และทำให้มันคงอยู่ในระบบได้อย่างถาวร (Persistence) ตัวโหลด (Loader) ของ LANDFALL จะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (Command-and-Control หรือ C2) เพื่อรับโหลดเพย์โหลด (Payloads) ระยะต่อไปเพิ่มเติมอีกด้วย

อุปกรณ์ที่ตกเป็นเป้าหมายหลัก

สปายแวร์ LANDFALL ถูกออกแบบมาเพื่อมุ่งเป้าไปที่สมาร์ทโฟนระดับเรือธงของ Samsung โดยเฉพาะ ได้แก่:

  • Samsung Galaxy S22 Series
  • Samsung Galaxy S23 Series
  • Samsung Galaxy S24 Series
  • Galaxy Z Fold 4 และ Z Flip 4

ข้อสังเกตและการเชื่อมโยง

ผู้เชี่ยวชาญจาก Palo Alto Networks Unit 42 ชี้ว่า โครงสร้างพื้นฐานของเซิร์ฟเวอร์ C2 และรูปแบบการจดทะเบียนโดเมนของ LANDFALL มีความคล้ายคลึง กับกลุ่มแฮกเกอร์ที่ชื่อว่า Stealth Falcon (หรือ FruityArmor) แม้จะยังไม่มีหลักฐานเชื่อมโยงโดยตรงก็ตาม

การค้นพบนี้ตอกย้ำว่าการโจมตีผ่านไฟล์ DNG เป็นส่วนหนึ่งของ คลื่นการโจมตี DNG ที่กว้างขึ้น ซึ่งเคยพุ่งเป้าไปที่อุปกรณ์ iPhone ด้วยการใช้ช่องโหว่ร่วมกับ WhatsApp มาก่อน แสดงให้เห็นว่าการแสวงหาประโยชน์จากช่องโหว่ที่ซับซ้อนสามารถอยู่ในที่เก็บข้อมูลสาธารณะได้นานโดยไม่มีใครสังเกตเห็น

แม้ว่า Samsung จะได้ทำการแก้ไขช่องโหว่ตัวนี้แล้วในเดือนเมษายน 2025 แต่ผู้ใช้งาน Samsung Galaxy ควรตรวจสอบและอัปเดตระบบปฏิบัติการและแอปพลิเคชันอยู่เสมอ เพื่อป้องกันภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นได้ตลอดเวลาครับ!

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์