390/68 (IT) ประจำวันพุธที่ 8 ตุลาคม 2568
Microsoft ออกมาเปิดเผยว่ากลุ่มอาชญากรรมไซเบอร์ที่ติดตามในชื่อ Storm-1175 ได้เริ่มใช้ช่องโหว่ความรุนแรงระดับสูงสุด (CVSS Score 10.0) ในซอฟต์แวร์โอนถ่ายไฟล์ GoAnywhere MFT (Managed File Transfer) ของบริษัท Fortra เพื่อดำเนินการโจมตีด้วยแรนซัมแวร์ตระกูล Medusa มาเกือบหนึ่งเดือนแล้ว ช่องโหว่นี้มีหมายเลขคือ CVE-2025-10035 เป็นปัญหาจากการที่ระบบประมวลผลข้อมูลที่ไม่ได้เชื่อถือ (deserialization of untrusted data) ในส่วนของ License Servlet ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้ได้จากระยะไกลด้วยความซับซ้อนต่ำและไม่ต้องมีการโต้ตอบจากผู้ใช้งาน ซึ่งเป็นภัยคุกคามที่รุนแรงอย่างยิ่งต่อองค์กรที่ใช้เครื่องมือนี้
กลุ่ม Storm-1175 เป็นเครือข่ายที่เกี่ยวข้องกับแรนซัมแวร์ Medusa ได้เริ่มใช้ช่องโหว่ Zero-day นี้ตั้งแต่ช่วงวันที่ 10-11 กันยายน 2568 เพื่อเข้าถึงระบบในขั้นต้น จากนั้นได้ติดตั้งเครื่องมือการจัดการและตรวจสอบจากระยะไกล (RMM tools) เช่น SimpleHelp และ MeshAgent เพื่อรักษาการเข้าถึงอย่างต่อเนื่อง หลังจากนั้นผู้โจมตีจะดำเนินการสแกนเครือข่าย ค้นหาข้อมูลผู้ใช้และระบบ และเคลื่อนที่ไปในเครือข่ายเพื่อเข้าถึงระบบอื่น ๆ โดยใช้เครื่องมืออย่าง Microsoft Remote Desktop Connection (mtsc.exe) และยังมีการใช้โปรแกรม Rclone เพื่อขโมยไฟล์ออกไปภายนอก ก่อนจะติดตั้งแรนซัมแวร์ Medusa เพื่อเข้ารหัสข้อมูลของเหยื่อในขั้นตอนสุดท้ายของการโจมตี
เพื่อป้องกันการโจมตีของแรนซัมแวร์ Medusa ที่มุ่งเป้ามายังเซิร์ฟเวอร์ GoAnywhere MFT ทั้งไมโครซอฟท์และ Fortra ได้ออกมาแนะนำให้ผู้ดูแลระบบดำเนินการอัปเกรดซอฟต์แวร์ GoAnywhere MFT ให้เป็นเวอร์ชันล่าสุดโดยทันที ซึ่ง Fortra ได้ออกแพตช์แก้ไขช่องโหว่นี้ไปแล้วตั้งแต่วันที่ 18 กันยายนที่ผ่านมา นอกจากนี้ Fortra ยังแนะนำให้ลูกค้าตรวจสอบไฟล์บันทึก (log files) ของตนเพื่อหาสัญญาณของการถูกโจมตี โดยเฉพาะอย่างยิ่งการค้นหาสตริงข้อผิดพลาด “SignedObject.getObject” ในข้อมูล Stack Trace เพื่อระบุว่าอินสแตนซ์ของตนได้รับผลกระทบหรือไม่ การดำเนินการอย่างรวดเร็วเป็นสิ่งสำคัญยิ่งในการลดความเสี่ยงจากการถูกโจมตีครั้งนี้
