135/68 (IT) ประจำวันพุธที่ 9 เมษายน 2568
นักวิจัยพบว่ากลุ่มแฮกเกอร์ ToddyCat ซึ่งคาดว่ามีความเชื่อมโยงกับจีน กำลังใช้ช่องโหว่ CVE-2024-11859 ในซอฟต์แวร์ป้องกันไวรัสของ ESET เพื่อโหลดและรันมัลแวร์แบบไม่ให้เหยื่อรู้ตัว ช่องโหว่ดังกล่าวซึ่งได้รับการแก้ไขแล้วเมื่อเดือนมกราคมที่ผ่านมา เกิดขึ้นเมื่อโปรแกรมค้นหาไฟล์ DLL ตามลำดับที่ไม่ปลอดภัย ทำให้ผู้โจมตีสามารถหลอกให้ระบบโหลดไฟล์ DLL ที่เป็นอันตรายจากโฟลเดอร์อื่นแทนที่ไฟล์ระบบปกติ Kaspersky เผยว่าพบช่องโหว่นี้ขณะวิเคราะห์ไฟล์ “version.dll” ที่ถูกซ่อนไว้ในโฟลเดอร์ชั่วคราวของอุปกรณ์ที่ถูกโจมตี ซึ่งแท้จริงแล้วเป็นมัลแวร์ใหม่ของ ToddyCat ที่ชื่อ TCESB
มัลแวร์ TCESB ออกแบบมาเพื่อรันโค้ดอันตรายแบบไม่ถูกตรวจจับ โดยมีฟังก์ชันปิดการแจ้งเตือนและกลไกความปลอดภัยในระดับเคอร์เนลของ Windows นอกจากนี้ยังมีข้อมูลที่เตรียมไว้ล่วงหน้าเพื่อปรับการโจมตีให้ตรงกับเวอร์ชันเคอร์เนลเป้าหมาย หากไม่พบข้อมูลที่ตรงกัน มัลแวร์จะดึงข้อมูลเพิ่มจากเซิร์ฟเวอร์ดีบักของ Microsoft โดย Kaspersky ระบุว่า TCESB เป็นเครื่องมือใหม่ที่กลุ่ม ToddyCat ไม่เคยใช้มาก่อน และมุ่งเน้นการโจมตีหน่วยงานรัฐและกลาโหมในภูมิภาคเอเชีย-แปซิฟิก
ในการโจมตีครั้งนี้ ToddyCat ยังใช้ช่องโหว่อีกจุดหนึ่งในไดรเวอร์ของ Dell (CVE-2021-36276) ที่เคยมีไว้สำหรับอัปเดตไดรเวอร์และ BIOS เพื่อเข้าไปจัดการในระดับเคอร์เนลโดยไม่ถูกตรวจพบ นักวิจัยจาก Kaspersky แนะนำให้องค์กรต่าง ๆ ทำการตรวจสอบเหตุการณ์ที่เกี่ยวข้องกับการติดตั้งไดรเวอร์ที่มีช่องโหว่ รวมถึงการโหลด debug symbol ของ Windows kernel ในเครื่องที่ไม่ควรมีการดีบักระบบ เพื่อป้องกันไม่ให้กลุ่มแฮ็กเกอร์อย่าง ToddyCat เข้าควบคุมระบบได้แบบลับ ๆ โดยที่ผู้ดูแลระบบไม่รู้ตัว
แหล่งข่าว https://www.darkreading.com/vulnerabilities-threats/toddycat-apt-eset-bug-silent-malware
