ด่วน! "Storm-1175" แฮกเกอร์จีนสุดแสบ ใช้ช่องโหว่ Zero-Day ปล่อยมัลแวร์เรียกค่าไถ่ "Medusa" แบบสายฟ้าแลบ

ทีม Microsoft Threat Intelligence เพิ่งออกมาเตือนภัยกลุ่มแฮกเกอร์ที่มีฐานปฏิบัติการในจีนนามว่า "Storm-1175" ครับ กลุ่มนี้ไม่ได้มาเล่นๆ เพราะพวกขามีความสามารถระดับ "Fast and Furious" คือเน้นความเร็วสูงในการโจมตี โดยใช้ช่องโหว่ที่ยังไม่มีการประกาศวิธีแก้ไข (Zero-day) และช่องโหว่เก่าที่เพิ่งเปิดเผย (N-day) เพื่อเจาะเข้าสู่ระบบที่เชื่อมต่ออินเทอร์เน็ตครับ

เป้าหมายหลักคือใคร?

• รอบนี้กลุ่ม Strome-1175 พุ่งเป้าไปที่องค์กรขนาดใหญ่ในประเทศแถวหน้าอย่าง ออสเตรเลีย, สหราชอาณาจักร และสหรัฐอเมริกา โดยเฉพาะกลุ่ม สาธารณะสุขและโรงพยาบาล (อันนี้อันตรายมากครับ)
• สถาบันการศึกษา
• บริการด้านการเงินและวิชาชีพ

กลยุทธ์ "โจมตีไว จ่ายไว"

สิ่งที่น่ากลัวคือความเร็วครับ หลังจากที่แฮกเกอร์เจาะระบบได้แล้ว พวกเขาจะใช้เวลาเพียงแค่ ไม่กี่วัน หรือบางเคสไม่ถึง 24 ชั่วโมง ในการขโมยข้อมูลและปล่อยมัลแวร์เรียกค่าไถ่ที่ชื่อว่ Medusa ทันที

ขั้นตอนความแสบของกลุ่มนี้

1. แอบสร้างบัญชีผู้ใช้ใหม่: เพื่อให้ตัวเองยังอยู่ในระบบได้ตลอด (Persistence)
2. ใช้เครื่องมือที่ดูเหมือนปกติ: เช่น โปรแกรมรีโมท (RMM) อย่าง AnyDesk หรือ ConnectWise เพื่อพรางตัวให้ดูเหมือนเจ้าหน้าที่ไอทีทำงานปกติ
3. ปิดระบบป้องกัน: แอบไปตั้งค่าข้อยกเว้นใน Microsoft Defender เพื่อไม่ให้ตรวจเจอตัวมัลแวร์
4. ขโมยข้อมูล: ใช้เครื่องมืออย่าง Bandizip และ Rclone หอบข้อมูลออกไป ก่อนจะสั่งล็อกเครื่องเรียกเงิน

รายชื่อช่องโหว่ที่ถูกถล่ม (ตั้งแต่ปี 2023 - 2026)

กลุ่มนี้ใช้ช่องโหว่มมากกว่า 16 รายการ เช่น

• Microsoft Exchange Server (CVE-2023-21529)
• Ivanti Connect Secure (VPN ยอดฮิต)
• CrushFTP และล่าสุดปี 2026 คือ BeyondTrust (CVE-2026-1731)
• นอกจากนี้ยังเริ่มลามไปโจมตีระบบ Linux และ Oracle WebLogic ด้วยครับ

ใครที่ดูแลระบบไอทีอยู่ อย่ามัวแต่รอช้าครับ แฮกเกอร์พวกนี้จ้องเล่นงานในช่วงที่ "ช่องโหว่ถูกเปิดเผยแต่แพตช์ยังไม่ได้ลง" ดังนั้นมีอัปเดตอะไร รีบจัดด่วยก่อนจะโดน "Medusa" จ้องตาจนเป็นหิน (ข้อมูลโดนล็อก) ครับ

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก