184/69 (IT) ประจำวันพุธที่ 1 เมษายน 2569
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จาก Blackpoint ได้ตรวจพบมัลแวร์ตัวใหม่ที่มีชื่อว่า RoadK1ll ซึ่งเป็นเครื่องมือประเภท Node.js implant ที่ถูกออกแบบมาเพื่อทำหน้าที่เป็นตัวกลาง หรือ Relay Point ในการขยายวงการโจมตี (Pivot) ภายในเครือข่ายที่ถูกเจาะรวบไปแล้ว โดยมัลแวร์ตัวนี้มีลักษณะเด่นที่สามารถทำงานได้อย่างเงียบเชียบเพื่อพรางตัวไปกับการรับส่งข้อมูลปกติในเครือข่าย หน้าที่หลักของมันคือการเปลี่ยนเครื่องที่ติดเชื้อให้กลายเป็นจุดเชื่อมต่อที่แฮกเกอร์สามารถควบคุมได้ เพื่อใช้เป็นบันไดก้าวไปสู่ระบบภายใน ส่วนงานสำคัญ หรือเซ็กเมนต์ของเครือข่ายที่ปกติแล้วจะถูกปิดกั้นการเข้าถึงจากอินเทอร์เน็ตภายนอกอย่างสิ้นเชิง
ในเชิงเทคนิค RoadK1ll ไม่ได้รอรับการเชื่อมต่อจากภายนอก ซึ่งมักจะถูก Firewall บล็อกเอาไว้ แต่จะใช้วิธีสร้างการเชื่อมต่อขาออก ไปยังเซิร์ฟเวอร์ของแฮกเกอร์ผ่านโปรโตคอล WebSocket แทน เพื่อสร้าง Tunnel สำหรับส่งต่อทราฟฟิก TCP ตามคำสั่ง โดยอาศัยสิทธิ์ความเชื่อถือภายในเครือข่ายของเครื่องที่ถูกยึดเป็นตัวผ่านด่านตรวจความปลอดภัยรอบนอก มัลแวร์นี้รองรับคำสั่งพื้นฐานที่จำเป็นครบถ้วน เช่น การเปิดการเชื่อมต่อใหม่ การส่งข้อมูลดิบ และการตรวจสอบสถานะการเชื่อมต่อ ซึ่งช่วยให้แฮกเกอร์สามารถควบคุมและสื่อสารกับเครื่องเป้าหมายหลายเครื่องพร้อมกันผ่าน Tunnel เพียงแห่งเดียว
แม้ว่า RoadK1ll จะไม่มีกลไกการฝังตัวแบบถาวร (Persistence) ผ่านวิธีการดั้งเดิมอย่างการแก้ไข Registry หรือการตั้งเวลาทำงาน (Scheduled Tasks) และจะทำงานเฉพาะในช่วงที่ Process ยังรันอยู่เท่านั้น แต่แฮกเกอร์ได้ใส่ระบบ Re-connection ที่ชาญฉลาดมาให้ เพื่อคอยกู้คืนการเชื่อมต่อ WebSocket โดยอัตโนมัติหาก Tunnel มีปัญหา ช่วยให้รักษาสถานะการเข้าถึงระบบไว้ได้นานที่สุดโดยไม่สร้างความผิดปกติให้กับ Threat Hunters สังเกตเห็นได้ง่าย ซึ่งนักวิเคราะห์มองว่านี่คือการยกระดับการเขียนมัลแวร์ที่ทันสมัยและมีความยืดหยุ่นสูง องค์กรต่าง ๆ จึงควรเฝ้าระวังการเชื่อมต่อขาออกที่ผิดปกติและตรวจสอบหา Indicators of Compromise (IoC) เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นจากการถูกเจาะระบบในเชิงลึก