421/68 (IT) ประจำวันศุกร์ที่ 24 ตุลาคม 2568
ทีมนักวิจัยจาก Darktrace เปิดเผยถึงกลุ่ม APT ที่มีความเชื่อมโยงกับจีนที่ชื่อ Salt Typhoon (หรือที่รู้จักในชื่อ Earth Estries, FamousSparrow, GhostEmperor, UNC5807, RedMike) ได้เจาะระบบบริษัท Telecom รายใหญ่ในยุโรปเมื่อเดือนกรกฎาคม 2025 โดยอาศัยการโจมตีช่องโหว่ Citrix NetScaler Gateway เพื่อใช้เป็นจุดเริ่มต้นในการเข้าถึงระบบ โดยการโจมตีดังกล่าวเริ่มต้นด้วยการ Exploit อุปกรณ์ Citrix NetScaler Gateway ก่อน Pivot ไปยัง Citrix Virtual Delivery Agent (VDA) hosts ผ่าน SoftEther VPN Endpoint เพื่อปกปิดเส้นทางการโจมตี ขณะที่ Darktrace ตรวจพบว่าผู้โจมตีได้ติดตั้ง SNAPPYBEE (หรือ Deed RAT) ผ่านเทคนิค DLL Sideloading โดยใช้ Executable ของซอฟต์แวร์ Antivirus ที่ถูกต้องตามกฎหมาย เช่น Norton, Bkav และ IObit เพื่อหลบเลี่ยงการตรวจจับ พร้อมทั้งใช้ LightNode VPS เป็น Command & Control (C2) และสื่อสารผ่าน HTTP รวมถึงโปรโตคอล TCP ที่ไม่ทราบชื่อ โดยปลอมการร้องขอ POST ให้เหมือนการใช้งาน Internet Explorer
รายงานยังระบุว่า C2 Domain อย่าง aar.gandhibludtric[.]com (38.54.63[.]75) มีความเชื่อมโยงโดยตรงกับ Salt Typhoon และจากการวิเคราะห์พฤติกรรม, เครื่องมือ และโครงสร้างพื้นฐาน พบความสอดคล้องกับรูปแบบการโจมตีของกลุ่มนี้อย่างชัดเจน เหตุการณ์ดังกล่าวแสดงให้เห็นว่า การป้องกันแบบ Signature-based Security เพียงอย่างเดียวอาจไม่เพียงพอ โดยองค์กรจำเป็นต้องใช้ระบบที่ตรวจจับพฤติกรรมผิดปกติได้แบบ Real-time เพื่อหยุดยั้งการโจมตีขั้นสูง (Advanced Persistent Threat – APT)
Darktrace ยืนยันว่าระบบ AI ของบริษัทสามารถตรวจจับและลดการโจมตีได้ทันเวลาก่อนที่ผู้โจมตีจะยกระดับการเข้าถึง ขณะที่ผู้เชี่ยวชาญประเมินด้วยความเชื่อมั่นในระดับปานกลางว่ากลุ่ม Salt Typhoon/Earth Estries อยู่เบื้องหลังการโจมตีในครั้งนี้ ซึ่งย้ำถึงศักยภาพและความลับในการปฏิบัติการไซเบอร์ที่สนับสนุนโดยรัฐ
