515/68 (IT) ประจำวันอังคารที่ 9 ธันวาคม 2568
หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์ได้ออกประกาศเตือนเกี่ยวกับมัลแวร์ BRICKSTORM ซึ่งเป็นแบ็กดอร์ขั้นสูงที่พัฒนาด้วยภาษา Go มุ่งเป้าโจมตีหน่วยงานภาครัฐและภาคอุตสาหกรรมเทคโนโลยีสารสนเทศ โดยมีรายงานว่ากลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐ (State-sponsored) ใช้เครื่องมือนี้แทรกซึมและฝังตัวอยู่ในเครือข่ายเป้าหมายเป็นระยะเวลานานเพื่อจารกรรมข้อมูล โดยพบการเคลื่อนไหวอย่างต่อเนื่องตั้งแต่เดือนเมษายน 2024 จนถึงปัจจุบัน
การโจมตีของ BRICKSTORM มุ่งเน้นไปที่แพลตฟอร์มบริหารจัดการระบบเสมือนอย่าง VMware vSphere และ vCenter โดยตรง แทนการโจมตีที่ระบบปฏิบัติการหรือแอปพลิเคชันทั่วไป การเข้าถึงในระดับโครงสร้างพื้นฐานดังกล่าวเปิดโอกาสให้ผู้โจมตี หลีกเลี่ยงกลไกป้องกันระดับ Endpoint และเข้าควบคุมทรัพยากรภายในระบบเสมือนได้ เช่น การขโมย Snapshot ของเครื่องเสมือนเพื่อดึงข้อมูลรหัสผ่าน หรือการสร้างเครื่องเสมือนลับขึ้นภายในระบบเพื่อใช้เป็นฐานปฏิบัติการจารกรรมข้อมูล
กลไกการทำงานของ BRICKSTORM ถูกออกแบบมาเพื่อความคงทนในการฝังตัว (Persistence) โดยสามารถติดตั้งตัวเองใหม่ได้โดยอัตโนมัติเมื่อถูกยุติการทำงาน และใช้การเข้ารหัสข้อมูลหลายชั้นเพื่ออำพรางการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2) ผู้เชี่ยวชาญเตือนการโจมตีในลักษณะดังกล่าวสะท้อนแนวโน้มภัยคุกคามที่ขยับเป้าหมายสู่ระดับโครงสร้างพื้นฐานของระบบเสมือน องค์กรควรตรวจสอบระบบด้วยตัวชี้วัดการบุกรุก (IOCs) ที่เผยแพร่ และเฝ้าระวังบัญชีผู้ใช้ระดับสูง (Service Accounts) ซึ่งอาจถูกนำไปใช้เป็นช่องทางขยายการโจมตีภายในเครือข่าย
แหล่งข่าว https://hackread.com/chinese-state-hackers-brickstorm-vmware-systems/
