ด่วน!! พบกลุ่มAmaranth Dragon ใช้ช่องโหว่ CVE-2025-8088 ในการโจมตีแบบมุ่งเป้ากับหน่วยงานต่าง ๆ

ผู้ใช้งานและผู้ดูแลระบบควรเพิ่มความระมัดระวัง และดำเนินการตรวจสอบระบบโดยทันที

รายละเอียดเหตุการณ์

จากรายงานการวิเคราะห์ของผู้เชี่ยวชาญด้าน Cyber Security พบว่า กลุ่มภัยคุกคามไซเบอร์ที่มีชื่อว่า Amaranth Dragon ได้ดำเนินการโจมตีทางไซเบอร์ในลักษณะการจารกรรมข้อมูล โดยอาศัยการใช้ประโยชน์จากช่องโหว่หมายเลข CVE-2025-8088 เพื่อเข้าถึงระบบและติดตั้งเครื่องมือสำหรับการจารกรรมข้อมูล

การโจมตีดังกล่าวมีลักษณะเป็นการโจมตีแบบมุ่งเป้า โดยมีเป้าหมายเป็นหน่วยงานหรือองค์กรที่มีความสำคัญในภูมิภาคเอเชีย รวมถึงในอาเซียนด้วย

•  รายละเอียดช่องโหว่ CVE-2025-8088 (CVSS Score 8.8 คะแนน) เป็นช่องโหว่ชนิด Path Traversal ที่ส่งผลกับโปรแกรม WinRAR บน Windows โดยผู้โจมตีสามารถสร้างไฟล์ RAR ที่ถูกออกแบบมาเป็นพิเศษ เพื่อเขียนไฟล์ไปยังตำแหน่งที่ผู้โจมตีกำหนดหรือตำแหน่งสำคัญของระบบ (เช่นโฟลเดอร์ Startup) เมื่อผู้ใช้งานเปิดหรือแตกไฟล์ดังกล่าว อาจนำไปสู่การเรียกใช้โค้ดอันตราย การฝังตัวของมัลแวร์ หรือการคงอยู่ในระบบโดยไม่ได้รับอนุญาต

1. พฤติกรรมการโจมตีที่ตรวจพบ

• ผู้โจมตีสร้างไฟล์บีบอัด (Archive) ที่ถูกออกแบบมาเป็นพิเศษ เพื่อใช้ประโยชน์จากช่องโหว่ CVE-2025-8088

• เมื่อผู้ใช้งานเปิดหรือแตกไฟล์ดังกล่าว โปรแกรมจะเขียนไฟล์ออกไปยังตำแหน่งที่ผู้โจมตีกำหนดไว้ในระบบ

• ไฟล์ที่ถูกเขียนลงอาจอยู่ในตำแหน่งที่มีการเรียกใช้งานอัตโนมัติ เช่น โฟลเดอร์ Startup หรือเส้นทางระบบ

• พฤติกรรมดังกล่าวอาจนำไปสู่การเรียกใช้โค้ดอันตราย การฝังตัวของมัลแวร์ หรือการคงอยู่ในระบบโดยไม่ได้รับอนุญาต

2. ผลิตภัณฑ์/ระบบที่ได้รับผลกระทบ

• ระบบที่มีการใช้งานซอฟต์แวร์ WinRAR เวอร์ชัน 7.12 และก่อนหน้า

• เครื่องผู้ใช้งานที่เปิดไฟล์ Archive จากแหล่งที่ไม่น่าเชื่อถือ

หมายเหตุ

เหตุการณ์ครั้งนี้เป็นการโจมตีที่อาศัยช่องโหว่ด้านความปลอดภัยร่วมกับเทคนิคการโจมตีขั้นสูง ไม่ใช่เหตุการณ์โจมตีแบบสุ่มทั่วไป ผู้ดูแลระบบควรให้ความสำคัญเป็นพิเศษ โดยเฉพาะในหน่วยงานที่มีข้อมูลสำคัญหรือมีบทบาทเชิงยุทธศาสตร์

3. แนวทางการป้องกัน

• ดำเนินการอัปเดตหรือติดตั้ง ซอฟต์แวร์ WinRAR เป็นเวอร์ชัน 7.13 ขึ้นไป โดยเร่งด่วน

• ตรวจสอบ Log ของระบบและเครือข่าย เพื่อค้นหาพฤติกรรมผิดปกติ

• เสริมมาตรการป้องกันด้วยระบบ Endpoint Protection / EDR / Anti Virus

4. มาตรการชั่วคราว (กรณียังไม่สามารถอัปเดตได้ทันที)

• เฝ้าระวังพฤติกรรมผิดปกติของระบบอย่างใกล้ชิด

• จำกัดการเชื่อมต่อออกไปยังปลายทางที่ไม่จำเป็นผ่านอุปกรณ์ Firewall

• แยกเครื่องหรือระบบต้องสงสัยออกจากเครือข่ายชั่วคราว หากพบความผิดปกติ

ข้อแนะนำเพิ่มเติม

ขอแนะนำให้องค์กรและผู้ดูแลระบบติดตามข้อมูลจากผู้ผลิตซอฟต์แวร์และหน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์อย่างต่อเนื่อง พร้อมดำเนินการประเมินความเสี่ยงและปรับปรุงมาตรการป้องกันอย่างสม่ำเสมอ

อ้างอิง

https://dg.th/4d1umhvfl2

https://dg.th/tx931uw7el