399/68 (IT) ประจำวันอังคารที่ 14 ตุลาคม 2568
กลุ่มผู้ไม่หวังดีที่มีชื่อรหัสว่า Storm-2603 หรือที่รู้จักในชื่อ CL-CRI-1040 และ Gold Salem ถูกพบว่านำ Velociraptor ซึ่งเป็นเครื่องมือ Open-Source ด้านการพิสูจน์หลักฐานดิจิทัลและการตอบสนองต่อเหตุการณ์ (DFIR) ที่ผู้เชี่ยวชาญด้านความปลอดภัยนิยมใช้ มาดัดแปลงให้กลายเป็นอาวุธเพื่อใช้ในการโจมตีด้วยแรนซัมแวร์ จากรายงานของ Cisco Talos พบว่าแฮกเกอร์กลุ่มนี้ได้เจาะเข้าระบบของเหยื่อผ่านช่องโหว่บน SharePoint ที่เรียกว่า “ToolShell” จากนั้นจึงติดตั้ง Velociraptor เวอร์ชันเก่าที่มีช่องโหว่ด้านความปลอดภัย (CVE-2025-6264) เพื่อยกระดับสิทธิ์ของตนเองให้กลายเป็นผู้ดูแลระบบสูงสุด และเข้าควบคุมเครื่องเป้าหมายได้อย่างสมบูรณ์ ก่อนจะปล่อยมัลแวร์เรียกค่าไถ่ตระกูลดังอย่าง Warlock, LockBit และล่าสุดคือ Babuk ซึ่งนับเป็นครั้งแรกที่พบว่ากลุ่ม Storm-2603 มีความเกี่ยวข้องกับแรนซัมแวร์ Babuk
ขั้นตอนการโจมตีของแฮกเกอร์กลุ่มนี้มีความซับซ้อนและเป็นระบบอย่างยิ่ง หลังจากที่สามารถยกระดับสิทธิ์ในระบบได้แล้ว พวกเขาจะเคลื่อนที่ไปในเครือข่ายของเหยื่อ (Lateral Movement) โดยใช้เครื่องมืออย่าง Smbexec เพื่อสั่งรันโปรแกรมจากระยะไกล จากนั้นจะทำการแก้ไขนโยบายความปลอดภัยของระบบ (Group Policy Objects) เพื่อปิดการทำงานของโปรแกรมแอนติไวรัสและระบบป้องกันต่างๆ เพื่อหลบเลี่ยงการตรวจจับ ก่อนที่จะเริ่มขโมยข้อมูลสำคัญออกไปและทำการเข้ารหัสไฟล์เพื่อเรียกค่าไถ่ในขั้นตอนสุดท้าย ทางด้าน Rapid7 ซึ่งเป็นผู้ดูแลพัฒนา Velociraptor หลังจากการเข้าซื้อกิจการในปี 2021 ได้ออกมาชี้แจงว่า เหตุการณ์นี้ไม่ใช่เกิดจากช่องโหว่ของตัวซอฟต์แวร์โดยตรง แต่เป็นการนำเครื่องมือที่ถูกกฎหมายไปใช้ในทางที่ผิด ซึ่งเป็นรูปแบบการโจมตีที่พบเห็นได้บ่อยครั้ง เมื่อเครื่องมือสำหรับผู้ดูแลระบบตกไปอยู่ในมือของผู้ไม่หวังดี
สิ่งที่น่าจับตามองที่สุดคือ หลักฐานหลายอย่างบ่งชี้ว่ากลุ่ม Storm-2603 อาจมีความเชื่อมโยงกับ กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน เนื่องจากพวกเขาสามารถเข้าถึงช่องโหว่ “ToolShell” ได้ตั้งแต่ยังไม่ถูกเปิดเผยต่อสาธารณะ (Zero-day) นอกจากนี้ ยังพบร่องรอยที่น่าสนใจ เช่น กระบวนการพัฒนาโค้ดที่เป็นระบบและรวดเร็ว (สามารถเพิ่มฟีเจอร์ใหม่ได้ใน 48 ชั่วโมง), มีการใช้เทคนิคซ่อนร่องรอยอย่างมืออาชีพ (Operational Security), และช่วงเวลาที่ใช้ในการคอมไพล์โค้ดมัลแวร์มักจะตรงกับเขตเวลาของประเทศจีน (China Standard Time) พฤติกรรมเหล่านี้สะท้อนให้เห็นถึงระเบียบวินัย ทรัพยากร และศักยภาพในการเข้าถึงข้อมูลระดับสูง ซึ่งแตกต่างจากกลุ่มอาชญากรไซเบอร์ที่ฉวยโอกาสทั่วไปอย่างชัดเจน และบ่งชี้ว่าอาจเป็นปฏิบัติการที่มีองค์กรขนาดใหญ่และอาจมีรัฐบาลอยู่เบื้องหลัง มากกว่าจะเป็นกลุ่มอาชญากรรมไซเบอร์ทั่วไป
แหล่งข่าว https://thehackernews.com/2025/10/hackers-turn-velociraptor-dfir-tool.html
