440/68 (IT) ประจำวันจันทร์ที่ 3 พฤศจิกายน 2568
นักวิจัยจาก Sophos รายงานว่ากลุ่มจารกรรมไซเบอร์ที่ชื่อ Bronze Butler (Tick) ได้ใช้ช่องโหว่แบบ Zero-Day ในซอฟต์แวร์ Motex Lanscope Endpoint Manager เพื่อแพร่กระจายมัลแวร์ Gokcpdoor เวอร์ชันใหม่สำหรับขโมยข้อมูลลับขององค์กรเป้าหมาย โดยช่องโหว่นี้ถูกระบุรหัสว่า CVE-2025-61932 ซึ่งเป็นช่องโหว่ด้านการตรวจสอบที่มาของคำขอ (Request Origin Verification Flaw) ที่เปิดทางให้ผู้โจมตีที่ไม่ได้ยืนยันตัวตนสามารถรันโค้ดใด ๆ บนเครื่องเป้าหมายได้ด้วยสิทธิ์ระดับ SYSTEM ผ่านแพ็กเกจที่ถูกสร้างขึ้นเป็นพิเศษ
Sophos พบว่าการโจมตีเกิดขึ้นตั้งแต่ช่วงกลางปี 2025 ก่อนที่ Motex จะออกแพตช์แก้ไขในวันที่ 20 ตุลาคม 2025 ต่อมา CISA ได้นำช่องโหว่นี้เข้ารายการ Known Exploited Vulnerabilities (KEV) และสั่งการให้หน่วยงานรัฐบาลสหรัฐฯ ดำเนินการอัปเดตภายในวันที่ 12 พฤศจิกายน 2025 รายงานระบุว่ากลุ่ม Bronze Butler ใช้ช่องโหว่ดังกล่าวติดตั้งมัลแวร์ Gokcpdoor เพื่อสร้างการเชื่อมต่อพร็อกซีไปยังเซิร์ฟเวอร์ควบคุม (C2) ของผู้โจมตี มัลแวร์เวอร์ชันล่าสุดได้ยกเลิกการใช้โปรโตคอล KCP และเพิ่มการสื่อสารแบบมัลติเพล็กซ์กับ C2 เพื่อเพิ่มความยืดหยุ่นในการควบคุมระยะไกล
Sophos ตรวจพบมัลแวร์สองรูปแบบ ได้แก่ ฝั่ง Server ที่รอการเชื่อมต่อบนพอร์ต 38000 และ 38002 และฝั่ง Client ที่เชื่อมต่อกับ C2 ที่ฝังไว้ล่วงหน้า โดยมัลแวร์ถูกโหลดผ่าน OAED Loader และฝังในโปรเซสที่ถูกต้องด้วยเทคนิค DLL Sideloading เพื่อหลบเลี่ยงการตรวจจับ กลุ่มผู้โจมตียังใช้เครื่องมืออย่าง goddi สำหรับดึงข้อมูลจาก Active Directory รวมถึงใช้ Remote Desktop และ 7-Zip เพื่อรวบรวมและส่งออกข้อมูล (Data Exfiltration) ไปยังบริการเก็บข้อมูลบนคลาวด์ เช่น io, LimeWire และ Piping Server ทั้งนี้ Sophos แนะนำให้องค์กรที่ใช้ Lanscope Endpoint Manager เร่งอัปเดตเป็นเวอร์ชันล่าสุดที่อุดช่องโหว่ CVE-2025-61932 โดยเร็วที่สุด เนื่องจากยังไม่มีวิธีบรรเทาหรือทางแก้ชั่วคราวอื่นนอกจากการแพตช์ระบบเท่านั้น
