กลุ่ม APT28 มุ่งเป้าโจมตีหน่วยงานกลาโหมและขนส่งใน 9 ประเทศด้วยมัลแวร์ตัวใหม่ BeardShell และ NotDoor
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายงานการตรวจพบความเคลื่อนไหวที่น่าสงสัย ซึ่ง ถูกระบุว่าเป็น ปฏิบัติการของกลุ่มแฮกเกอร์ระดับสนับสนุนโดยรัฐ (State-sponsored) ที่รู้จักกันในชื่อ APT28 (หรือ Fancy Bear) โดยกลุ่มดังกล่าวได้อาศัยจังหวะเจาะช่องโหว่ความรุนแรงระดับวิกฤตของ Microsoft Office (รหัส CVE-2026-21509) ภายในเวลาไม่ถึง 48 ชั่วโมง หลังจากที่ Microsoft ได้ประกาศปล่อยแพตช์ความปลอดภัยฉุกเฉินออกมา
ข้อมูลจากบริษัทความปลอดภัย Trellix อ้างอิงหลักฐานทางเทคนิคโดยระบุด้วยความเชื่อมั่นในระดับสูง (High confidence) ว่าผู้ก่อเหตุมีความเชื่อมโยงกับกลุ่มแฮกเกอร์จากรัสเซีย โดยใช้วิธีการวิศวกรรมย้อนกลับ (Reverse-engineer) ตัวแพตช์เพื่อสร้างเครื่องมือโจมตี ซึ่งเป้าหมายหลักของปฏิบัติการนี้มุ่งเน้นไปที่หน่วยงานใน 9 ประเทศ โดยมีการระบุชื่อประเทศกลุ่มเป้าหมาย อาทิ โปแลนด์, สโลวีเนีย, ตุรกี, กรีซ, สหรัฐอาหรับเอมิเรตส์ (UAE), ยูเครน, โรมาเนีย และโบลิเวีย ซึ่งสัดส่วนการโจมตีแบ่งเป็นกระทรวงกลาโหม 40% และผู้ประกอบการด้านการขนส่ง 35%
รายงานยังเปิดเผยถึงการค้นพบเครื่องมือเจาะระบบ (Backdoor) ชนิดใหม่ 2 ตัว ที่ถูกนำมาใช้ในปฏิบัติการครั้งนี้ ได้แก่:
- BeardShell: มัลแวร์ที่ฝังตัวในกระบวนการของระบบ Windows เพื่อสร้างช่องทางลับในการเข้าถึงและเคลื่อนย้ายข้อมูล โดยทำงานบนหน่วยความจำเพื่อหลบเลี่ยงการตรวจสอบ
- NotDoor: สคริปต์ที่ทำงานร่วมกับ Outlook เพื่อดักจับข้อมูลอีเมลและส่งออกไปยังบัญชีภายนอกที่ผู้โจมตีเตรียมไว้
ทั้งนี้ ผู้เชี่ยวชาญได้ตั้งข้อสังเกตว่า การที่กลุ่มผู้โจมตีสามารถพัฒนาอาวุธไซเบอร์จากช่องโหว่ใหม่ได้ในเวลาอันรวดเร็ว ทำให้ระยะเวลาในการป้องกันระบบขององค์กรต่างๆ ลดน้อยลงอย่างมาก ซึ่งหน่วยงานที่เกี่ยวข้องควรเร่งดำเนินการอัปเดตระบบตามคำแนะนำของ Microsoft เพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้น
ที่มา: Ars Technica
Leave a Reply