67/69 (IT) ประจำวันพุธที่ 4 กุมภาพันธ์ 2569
หน่วยงาน CERT-UA ของยูเครน ตรวจพบการโจมตีทางไซเบอร์ครั้งใหม่จากกลุ่มแฮกเกอร์ APT28 หรือ Fancy Bear ที่มีความเชื่อมโยงกับรัสเซีย โดยครั้งนี้แฮกเกอร์ได้พุ่งเป้าไปที่หน่วยงานรัฐบาลและองค์กรในยุโรป ผ่านการส่งอีเมลหลอกลวง (Phishing) ที่แนบไฟล์เอกสาร Microsoft Word อันตราย ซึ่งใช้หัวข้อเกี่ยวกับ “การปรึกษาหารือของ EU COREPER ในยูเครน” และแอบอ้างเป็นศูนย์อุตุนิยมวิทยายูเครน เพื่อหลอกให้เหยื่อหลงเชื่อและเปิดไฟล์ดังกล่าว
สิ่งที่น่ากังวลคือการโจมตีนี้ใช้ประโยชน์จากช่องโหว่ CVE-2026-21509 ซึ่งเป็นช่องโหว่ระดับ Zero-day ใน Microsoft Office ที่ Microsoft เพิ่งจะออกแพตช์ฉุกเฉินไปเมื่อปลายเดือนมกราคม 2026 ที่ผ่านมา โดยจากการวิเคราะห์ข้อมูล Metadata พบว่าคนร้ายสร้างเอกสารอันตรายนี้ขึ้นมาเพียง 1 วันหลังจากที่มีการแจ้งเตือนเรื่องช่องโหว่เท่านั้น แสดงให้เห็นถึงความรวดเร็วในการปรับตัวของกลุ่มแฮกเกอร์เพื่อเจาะระบบที่ยังไม่ได้รับการอัปเดต
กระบวนการฝังมัลแวร์นั้นมีความซับซ้อน โดยเมื่อเหยื่อเปิดไฟล์จะมีการใช้เทคนิค COM Hijacking เพื่อรันไฟล์ DLL อันตราย และดึงคำสั่ง (Shellcode) ที่ซ่อนอยู่ในไฟล์ภาพเพื่อติดตั้งเฟรมเวิร์กมัลแวร์ที่ชื่อว่า COVENANT ซึ่งจะเชื่อมต่อไปยังบริการคลาวด์อย่าง Filen (filen.io) เพื่อควบคุมเครื่องของเหยื่อจากระยะไกล ผู้เชี่ยวชาญจึงแนะนำให้ทุกองค์กรเร่งอัปเดต Microsoft Office (เวอร์ชัน 2016 จนถึง Microsoft 365) เป็นเวอร์ชันล่าสุดทันที หากยังไม่สามารถอัปเดตได้ ควรเปิดใช้งานโหมด Protected View เพื่อเป็นเกราะป้องกันเบื้องต้น
