217/68 (IT) ประจำวันอังคารที่ 17 มิถุนายน 2568
นักวิจัยจาก Symantec เปิดเผยการโจมตีล่าสุดในเดือนพฤษภาคม 2025 ที่กลุ่มแฮกเกอร์ “Fog Ransomware” เจาะระบบบริษัทการเงินแห่งหนึ่งในเอเชีย โดยใช้เครื่องมือทดสอบเจาะระบบ (pentesting tools) และซอฟต์แวร์มอนิเตอร์ที่ไม่ค่อยพบในปฏิบัติการเรียกค่าไถ่ทั่วไป อาทิ Syteca, GC2, Adaptix, และ Stowaway นอกจากนี้ยังพบว่าผู้โจมตีได้สร้างบริการพิเศษหลังปฏิบัติการเพื่อรักษาการเข้าถึงระบบอย่างต่อเนื่อง ซึ่งเป็นเทคนิคที่พบไม่บ่อยในแรนซัมแวร์ทั่วไป สะท้อนให้เห็นถึงแผนการระยะยาวที่มีการวางแผนอย่างรอบคอบ โดยผู้โจมตีซุ่มอยู่ในระบบเป้าหมายเป็นเวลาถึง 2 สัปดาห์ก่อนจะปล่อยมัลแวร์เข้ารหัสข้อมูล
จากการติดตามพฤติกรรมของ Fog Ransomware ซึ่งเริ่มมีความเคลื่อนไหวมาตั้งแต่เดือนพฤษภาคม 2024 พบว่ามีการปรับเปลี่ยนเทคนิคอย่างต่อเนื่อง โดยเริ่มจากการโจมตีผ่าน VPN ที่ถูกเจาะระบบ ต่อมาในปลายปี 2024 หันมาใช้ช่องโหว่ร้ายแรงในซอฟต์แวร์ Veeam VBR (CVE-2024-40711 คะแนนความรุนแรง CVSS 9.8) และในเดือนเมษายน 2025 เปลี่ยนวิธีการโจมตีเป็นผ่านอีเมล พร้อมโน้มน้าวเหยื่อให้ช่วยแพร่กระจายมัลแวร์เพื่อแลกกับการถอดรหัสฟรี นอกจากนี้ยังพบโน้ตเรียกค่าไถ่ที่มีเนื้อหาเชิงล้อเลียนองค์กร DOGE ของ Elon Musk สะท้อนให้เห็นถึงพฤติกรรมการโจมตีที่มีความซับซ้อนและจงใจสร้างความท้าทายให้กับผู้เสียหาย
แม้ยังไม่สามารถยืนยันได้ว่าการโจมตีครั้งล่าสุดเริ่มต้นจากจุดใด แต่นักวิจัยสันนิษฐานว่าอาจเกี่ยวข้องกับ Exchange Server ขององค์กรเป้าหมาย จุดที่น่าสนใจคือการเลือกใช้เครื่องมือควบคุมและขโมยข้อมูลที่ไม่ค่อยพบในวงการ เช่น GC2 ที่ใช้ Google Sheets และ SharePoint เป็นช่องทางสื่อสารกับเซิร์ฟเวอร์ควบคุม, Syteca สำหรับการสอดแนม, Stowaway สำหรับการส่งผ่านเครื่องมืออื่น, รวมถึงการใช้ Adaptix C2, FreeFileSync, MegaSync และ Process Watchdog ในการขโมยข้อมูลและรักษาการควบคุมระบบอย่างแนบเนียน นักวิเคราะห์เชื่อว่าการโจมตีนี้อาจมีเบื้องหลังเป็นปฏิบัติการสอดแนม โดยใช้แรนซัมแวร์เป็นเพียงเครื่องมือพรางสายตาและสร้างรายได้เสริมระหว่างการดำเนินภารกิจหลัก
แหล่งข่าว https://securityaffairs.com/178969/malware/unusual-toolset-used-in-recent-fog-ransomware-attack.html
