81/69 (IT) ประจำวันอังคารที่ 10 กุมภาพันธ์ 2569
นักวิจัยจาก eSentire รายงานการตรวจพบมัลแวร์ Prometei Botnet แฝงตัวอยู่บน Windows Server ของบริษัทก่อสร้างแห่งหนึ่งในสหราชอาณาจักรเมื่อเดือนมกราคม 2026 โดยผู้ไม่หวังดีสามารถเข้าระบบได้ผ่านช่องทาง Remote Desktop Protocol (RDP) ที่มีการตั้งค่ารหัสผ่านที่คาดเดาง่ายหรือใช้รหัสผ่านเริ่มต้น (Default Passwords) แม้เป้าหมายของ Prometei คือการใช้ทรัพยากรเครื่องเหยื่อเพื่อลักลอบขุดเหรียญดิจิทัล Monero แต่การวิเคราะห์พบว่ามัลแวร์ยังมีความสามารถในการขโมยรหัสผ่านและควบคุมเครื่องจากระยะไกลได้
เมื่อมัลแวร์ฝังตัวในระบบสำเร็จ จะทำการติดตั้ง Service ชื่อ UPlugPlay และสร้างไฟล์ sqhost.exe เพื่อให้ทำงานต่อเนื่องทุกครั้งที่เริ่มระบบ จากนั้นดาวน์โหลดเพย์โหลดหลัก zsvc.exe และใช้เครื่องมือ Mimikatz เพื่อดึงรหัสผ่านภายในเครือข่าย โดยสื่อสารผ่านเครือข่าย TOR เพื่อลดโอกาสถูกตรวจจับ นอกจากนี้ยังพบเทคนิคหลบเลี่ยงการวิเคราะห์ในสภาพแวดล้อมจำลอง (Sandbox Bypass) โดยค้นหาไฟล์เฉพาะในระบบ หากไม่ตรงตามเงื่อนไข มัลแวร์จะทำกิจกรรมลวง (Decoy) ให้พฤติกรรมดูคล้ายระบบทั่วไป เพื่อลดโอกาสถูกวิเคราะห์พฤติกรรม
อีกพฤติกรรมที่น่าสนใจของ Prometei คือการทำตัวเป็นผู้เช่าขี้หวง (Jealous Tenant) โดยดาวน์โหลดเครื่องมือชื่อ netdefender.exe เพื่อกีดกันไม่ให้แฮกเกอร์รายอื่นเข้ามาแย่งทรัพยากรเครื่องเหยื่อ และสงวนสิทธิ์การใช้งานไว้เพียงผู้เดียว เพื่อป้องกันภัยคุกคามนี้ ผู้เชี่ยวชาญแนะนำให้องค์กรยกเลิกการใช้รหัสผ่านเริ่มต้น เปลี่ยนมาใช้รหัสผ่านที่รัดกุม เปิดใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) และอัปเดตซอฟต์แวร์เพื่อลดความเสี่ยงก่อนถูกมัลแวร์ยึดครองระบบ
แหล่งข่าว https://hackread.com/uk-construction-firm-prometei-botnet-windows-server/
