แฮกเกอร์จีนอัปเกรดอาวุธ แฝงตัวเนียนในระบบ Linux

 

บริษัทความปลอดภัยทางไซเบอร์ Volexity ได้ตรวจพบความเคลื่อนไหวของกลุ่มแฮกเกอร์ที่พวกเขาติดตามในชื่อ VerdantBamboo (ซึ่งเป็นกลุ่มเดียวกับที่ Microsoft เรียกว่า Clay Typhoon, Google เรียกว่า UNC5221 และ CrowdStrike เรียกว่า Warp Panda)

ความน่ากลัวของรอบนี้คือ พวกเขาได้ปรับแต่งมัลแวร์ประตูหลัง (Backdoor) ตัวเก่งที่ชื่อว่า BRICKSTORM จากเดิมที่เคยใช้ในระบบอื่น ให้กลายเป็นเวอร์ชันที่ทำงานบนระบบ BDS เพื่อมุ่งเป้าโจมตีอุปกรณ์ Linux Appliance โดยเฉพาะ รวมถึงการส่งมัลแวร์อีกสองตระกูลใหม่อย่าง PLENET (หรือ GRIMBOLT) และ AGENTPSD มาร่วมวงด้วยครับ

ย้อนรอยแผนการ เจาะผ่าน MSP สู่เหยื่อปลายทาง

จากการสืบสวนเหตุการณ์ (Incident Response) เมื่อช่วงปลายปี 2025 ที่ผ่านมา ทีมงานพบว่าแฮกเกอร์กลุ่มนี้ใช้วิธีการที่ฉลาดมากครับ

• ขั้นแรก: แฮกเกอร์แอบเจาะระบบของบริษัทผู้ให้บริการไอที (Managed Services Provider หรือ MSP) ที่เหยื่อใช้งานอยู่โดยฝังมัลแวร์ BRICKSTORM เวอร์ชัน BSD ไว้ที่ไฟล์วอลล์ pfSense ของ MSP
• ขั้นสอง: ใช้ช่องทางเชื่อมต่อจาก MSP เจาะเข้าสู่ระบบ Egnyte Storage Syne ขอบริษัทเหยื่อ โดยอาศัยช่องโหว่การยกระดับสิทธิ์ (Local Privilege Escalation) ซึ่งในเวลาต่อมาได้รับการแก้ไขแล้วในอัปเดตเวอร์ชัน 13.13 เมื่อมีนาคม 2026
• ขั้นสาม: แฮกเกอร์ใช้ระบบ Storage Sync ที่ถูกยึดนี้ ทำหน้าที่เป็น "Proxy" (ทางผ่าน) ผสมกับบัญชีผู้ใช้ที่ถูกขโมยมา เพื่อล็อกอินเข้าสู่ระบบ Microsoft 365 (M365) ของเหยื่อ เพื่อให้ทราฟฟิกดูเหมือนเป็นการใช้งานปกติภายในองค์กร และหลบเลี่ยงระบบตรวจจับ Conditional Access ของระบบคลาวน์ ซึ่งพบว่าแอบแฝงตัวอยู่นานกว่า 18 เดือนเลยทีเดียว

นอจากนี้ แม้ว่าทีมไอทีจะทำการกู้ระบบในรอบแรกไปแล้ว แฮกเกอร์ยังอุตส่าห์ย้อนกลับมาทางไฟร์วอลล์โดยใช้รหัสผู้ดูแลระบบ (Admin) ที่ขโมยไว้ เพื่อเข้ามาฝังมัลแวร์เพิ่มเติมในอุปกรณ์จัดเก็บข้อมูลบนเครือข่าย (Synology NAS) ผ่านทาง SSH อีกด้วยครับ

เปิดกล่องเครื่องมือมัลแวร์สุดอันตราย

สำหรับมัลแวร์ที่ตรวจพบในอุปกรณ์ NAS มีรายละเอียดที่น่าสนใจดังนี้ครับ

1. PLANET (หรือ GRIMBOLT): มัลแวร์ข้ามแพลตฟอร์มที่พัฒนาด้วย .NET Core และเป็น BRICKSTORM เวอร์ชันใหม่ที่คอมไพล์แบบ Native AOT (Ahead-of-Time) ความสามารถคือสั่งการควบคุมเครื่อง (Interactive Shell), รันคำสั่งทางไกล, จัดการไฟล์ และเปลี่ยนเซิร์ฟเวอร์ควบคุม (C2) ได้อย่างงยืดหยุ่น ซึ่งมัลแวร์ตัวนี้เคยมีประวัติถูกใช้โจมตีผ่านช่องโหว่ Zero-day ของ Dell RecoverPoint (CVE-2026-22769 ความรุนแรงระดับสูงสุด 10.0) มาตั้งแต่ปี 2024
2. AGENTPSD: มัลแวร์ประเภท Reverse Shell ที่เขียนด้วยภาษา Python คาดว่าแฮกเกอร์ใส่ไว้เป็น "แผนสำรอง" ในกรณีที่มัลแวร์หลักโดนลบหรือใช้งานไม่ได้

Volexity ระบุว่า: "VerdantBamboo เป็นกลุ่มแฮกเกอร์ที่มีความเชี่ยวชาญสูงมาก พวกเขาเลือกที่จะโจมตีและฝังตัวบนอุปกรณ์เฉพาะทาง (Appliances) ซึ่งมักจะเป็นจุดบอดที่ไม่สามารถติดตั้งซอฟต์แวร์ตรวจจับพฤติกรรม (EDR) ทั่วไปได้ แถมยังมีวินัยในเรื่องความปลอดภัยของตัวเองสูงมาก โดยจะใช้โดยเมนและ IP จำนวนน้อยมากต่อเหยื่อหนึ่งราย และตั้งชื่อมัลแวร์ให้เนียนไปกับแต่ละอุปกรณ์เพื่อไม่ให้ผิดสังเกต"

นี่เป็นอุทาหรณ์ที่สำคัญมากสำหรับองค์กรในยุคนี้ครับว่า การป้องกันแค่เครื่องคอมพิวเตอร์ทั่วไป (Endpoint) อาจไม่พออีกต่อไป เพราะอุปกรณ์เน็ตเวิร์ก, ไฟร์วอลล์ หรือระบบ Storage/NAS ต่างๆกำลังตกเป็นเป้าหมายหลักในการฝังตัวของแฮกเกอร์ระดับสูงครับ ยิ่งถ้าใครใช้บริการผ่าน MSP ยิ่งต้องตรวจสอบมาตรการความปลอดภัยร่วมกันให้เข้มวดขึ้นไปอีกขั้นครับ

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก