100/69 (IT) ประจำวันพฤหัสบดีที่ 19 กุมภาพันธ์ 2569
นักวิจัยด้านความปลอดภัยจาก Mandiant และ Google Threat Intelligence Group (GTIG) เปิดเผยการตรวจพบกลุ่มแฮกเกอร์ “UNC6201” ได้ทำการลอบโจมตีโดยใช้ช่องโหว่ระดับวิกฤต (Zero-day) บนซอฟต์แวร์ Dell RecoverPoint for Virtual Machines ซึ่งเป็นโซลูชันสำหรับสำรองและกู้คืนระบบ VMware โดยช่องโหว่ดังกล่าว (รหัส CVE-2026-22769) มีสาเหตุมาจากการใช้รหัสผ่านที่ถูกฝังมาในระบบ (Hardcoded Credentials) ช่วยให้ผู้โจมตีที่เข้าถึงเครือข่ายได้สามารถยึดสิทธิ์ระดับสูงสุด (Root) และแฝงตัวอยู่ในระบบปฏิบัติการหลักได้อย่างถาวร ซึ่งมีการตรวจพบร่องรอยการโจมตีลักษณะนี้มาตั้งแต่ช่วงกลางปี 2024
ในการปฏิบัติการครั้งนี้ กลุ่มผู้ไม่หวังดีได้นำมัลแวร์ตัวใหม่ที่ชื่อว่า “Grimbolt” มาใช้งาน ซึ่งถูกเขียนขึ้นด้วยภาษา C# และใช้เทคนิคการคอมไพล์รูปแบบใหม่ที่ทำให้มัลแวร์ทำงานได้รวดเร็วและวิเคราะห์ได้ยากกว่าเดิม นอกจากนี้ยังพบการใช้เทคนิคใหม่ที่เรียกว่า “Ghost NICs” หรือการสร้างพอร์ตเครือข่ายเสมือนชั่วคราวบนเซิร์ฟเวอร์ VMware ESXi เพื่อใช้ในการเคลื่อนที่ภายในเครือข่าย (Lateral Movement) อย่างแนบเนียน เทคนิคนี้ช่วยให้กลุ่มแฮกเกอร์สามารถหลบเลี่ยงระบบตรวจจับความปลอดภัยทั่วไป (EDR) และมุ่งเป้าไปยังโครงสร้างพื้นฐานเสมือนที่มักขาดการเฝ้าระวังอย่างเข้มงวดเมื่อเทียบกับเครื่องคอมพิวเตอร์ทั่วไป
จากการวิเคราะห์พบว่ากลุ่ม UNC6201 มีความเชื่อมโยงกับกลุ่มแฮกเกอร์ Silk Typhoon ที่เคยมีประวัติโจมตีหน่วยงานรัฐและภาคธุรกิจเทคโนโลยีในหลายประเทศมาก่อน ทั้งนี้ Dell ได้ออกคำแนะนำด้านความปลอดภัยอย่างเร่งด่วน โดยขอให้องค์กรที่ใช้ซอฟต์แวร์ Dell RecoverPoint for Virtual Machines ดำเนินการอัปเกรดเป็นเวอร์ชัน 6.0.3.1 HF1 หรือสูงกว่า หรือทำตามแนวทางแก้ไขตามที่ระบุในรายงานความปลอดภัยของบริษัททันที เพื่อปิดช่องโหว่และป้องกันความเสี่ยงจากการถูกจารกรรมข้อมูลในระยะยาว
