361/68 (IT) ประจำวันพุธที่ 24 กันยายน 2568
บริษัทความมั่นคงปลอดภัยไซเบอร์ Silent Push เปิดเผยการค้นพบมัลแวร์ตัวใหม่ชื่อ CountLoader ที่ถูกใช้โดยกลุ่มอาชญากรไซเบอร์ของรัสเซียที่มีความเกี่ยวข้องกับ LockBit, BlackBasta และ Qilin โดยมัลแวร์ดังกล่าวทำหน้าที่เป็น Malware Loader หรือโปรแกรมที่ออกแบบมาเพื่อเป็นช่องทางเริ่มต้น (Initial Access) ในการติดตั้งมัลแวร์ชนิดอื่น ๆ รวมถึง Ransomware บนอุปกรณ์ที่ถูกโจมตี ถือเป็นเครื่องมือสำคัญของกลุ่มอาชญากรไซเบอร์ในการเจาะเครือข่ายก่อนขยายผลโจมตี
งานวิจัยระบุว่า CountLoader ถูกพัฒนาออกมา 3 เวอร์ชัน ได้แก่ .NET, PowerShell และ JScript โดยอาจถูกใช้ทั้งโดย Initial Access Brokers (IABs) ที่ขายสิทธิ์เข้าถึงระบบเครือข่ายให้กลุ่มอื่น หรือโดยพันธมิตรของกลุ่ม Ransomware โดยตรง ล่าสุดพบแคมเปญ Phishing ที่อาชญากรไซเบอร์ปลอมตัวเป็นตำรวจยูเครน ส่งอีเมลพร้อมไฟล์ PDF หลอกล่อให้เหยื่อดาวน์โหลดและติดตั้ง CountLoader เพื่อเปิดทางสู่การโจมตีขั้นต่อไป
ทั้งนี้ Silent Push พบว่า CountLoader เชื่อมโยงกับโดเมนมากกว่า 20 รายการ และมีการใช้เทคนิค Digital Watermark ที่ยืนยันความสัมพันธ์กับกลุ่ม LockBit, BlackBasta และ Qilin นอกจากนี้ หนึ่งในเวอร์ชันมัลแวร์ยังใช้ User Agent เลียนแบบเบราว์เซอร์ Yandex ซึ่งเป็น Search Engine ยอดนิยมในรัสเซีย ชี้ให้เห็นชัดเจนว่าผู้โจมตีเป็น Russian-speaking Threat Actors และแสดงเห็นการยกระดับยุทธวิธีของกลุ่ม Ransomware รัสเซียในการเจาะระบบและสร้างความเสียหายต่อเป้าหมาย
แหล่งข่าว https://hackread.com/fake-ukrainian-police-emails-countloader-malware-loader/
