331/68 (IT) ประจำวันพุธที่ 10 กันยายน 2568
รายงานล่าสุดจาก Fortinet เปิดเผยถึงการโจมตีทางไซเบอร์ครั้งใหม่ที่ใช้มัลแวร์ที่ชื่อ MostereRAT (Mostere Remote Access Trojan) ซึ่งถูกออกแบบมาเพื่อแฝงตัวและเข้าควบคุมคอมพิวเตอร์ระบบ Windows ของเหยื่ออย่างแนบเนียนในระยะยาว มัลแวร์ตัวนี้มีจุดเด่นอยู่ที่การใช้ภาษาโปรแกรมที่แปลกใหม่ การปิดการทำงานของโปรแกรมรักษาความปลอดภัย และการใช้ซอฟต์แวร์ที่ถูกกฎหมายเพื่อควบคุมระบบของเหยื่อ ซึ่งนับว่าเป็นการยกระดับกลยุทธ์ของอาชญากรไซเบอร์ไปอีกขั้น โดยในรายงานระบุว่า มัลแวร์ MostereRAT สามารถทำงานในระดับ “TrustedInstaller” ซึ่งเป็นระดับที่สูงกว่าผู้ดูแลระบบ ทำให้สามารถแก้ไขไฟล์และตั้งค่าความปลอดภัยของระบบได้อย่างอิสระ นอกจากนี้ยังสามารถดาวน์โหลดและติดตั้งเครื่องมือควบคุมระยะไกลที่ถูกกฎหมายอย่าง AnyDesk และ TightVNC เพื่อเข้าควบคุมเครื่องได้โดยไม่ถูกตรวจจับ
การโจมตีครั้งนี้เริ่มจากการส่งอีเมล Phishing ที่ปลอมแปลงเป็นอีเมลธุรกิจทั่วไป เพื่อล่อให้ผู้ใช้ Windows คลิกลิงก์ที่นำไปสู่เว็บไซต์อันตราย ซึ่งเว็บไซต์ดังกล่าวจะดาวน์โหลดไฟล์เอกสาร Word ที่มีไฟล์เก็บถาวรแนบมา เมื่อเหยื่อเปิดไฟล์ Word นี้ ก็จะเป็นการเปิดทางให้มัลแวร์ MostereRAT เข้าสู่ระบบและเริ่มต้นติดตั้งตัวเองอย่างเงียบ ๆ โดยหนึ่งในเทคนิคที่ทำให้ MostereRAT ตรวจจับได้ยากคือการเขียนด้วยภาษาโปรแกรม Easy Programming Language (EPL) ซึ่งไม่ค่อยมีใครใช้ ทำให้เครื่องมือรักษาความปลอดภัยหลายตัวไม่สามารถวิเคราะห์และตรวจจับมัลแวร์นี้ได้ และเมื่อติดตั้งเสร็จ มัลแวร์จะเริ่มภารกิจหลักในการปิดการทำงานของโปรแกรม Anti-Virus และ EDR (Endpoint Detection and Response) กว่า 10 ยี่ห้อ เช่น Windows Defender, Kaspersky, McAfee และ Norton เป็นต้น โดยใช้เทคนิคที่ลอกเลียนแบบมาจากเครื่องมือทดสอบช่องโหว่ (Red Teaming Tool) อย่าง EDRSilencer
ผู้เชี่ยวชาญจาก Fortinet ชี้ว่าการออกแบบมัลแวร์ MostereRAT สะท้อนให้เห็นถึงเป้าหมายที่มุ่งเน้นการควบคุมระบบของเหยื่อในระยะยาว เพื่อขโมยข้อมูลสำคัญและใช้ทรัพยากรของเครื่องอย่างเต็มที่ ทางด้าน James Maude ผู้บริหารจาก BeyondTrust ได้ให้ความเห็นเพิ่มเติมว่า ถึงแม้ว่า MostereRAT จะใช้เทคนิคที่ซับซ้อน แต่ก็ยังคงใช้รูปแบบการโจมตีแบบเดิม ๆ ที่อาศัยช่องโหว่จากผู้ใช้งานที่มีสิทธิ์มากเกินไป ดังนั้น การป้องกันที่สำคัญที่สุดคือการ จำกัดสิทธิ์ผู้ดูแลระบบ (Local Administrator Privileges) ของผู้ใช้งาน เพราะจะช่วยลดพื้นที่การโจมตีและจำกัดความเสียหายหากเกิดการติดมัลแวร์ นอกจากนี้ องค์กรควรบล็อกหรือตรวจสอบการใช้เครื่องมือควบคุมระยะไกลที่ไม่ได้รับอนุญาต ซึ่งอาชญากรไซเบอร์มักใช้เป็นช่องทางในการเข้าถึงระบบอย่างต่อเนื่อง เพื่อลดความเสี่ยงจากการโจมตีในลักษณะนี้
แหล่งข่าว https://www.darkreading.com/cyberattacks-data-breaches/mostererat-blocks-security-tools
