พบการโจมตีช่องโหว่ SimpleHelp RMM ติดตั้ง Djinn Stealer ขโมยข้อมูลสำคัญ

ยอดเข้าชม: 58 views

357/69 (IT) ประจำวันพุธที่ 1 กรกฎาคม 2569

นักวิจัยด้านความปลอดภัยเปิดเผย ผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ระดับ Critical หมายเลข CVE-2026-48558 ในซอฟต์แวร์บริหารจัดการและสนับสนุนระยะไกล SimpleHelp เพื่อโจมตีระบบที่ยังไม่ได้อัปเดต โดยหลังจากเจาะระบบสำเร็จ ผู้โจมตีจะติดตั้ง Djinn Stealer ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่รองรับ Windows, macOS และ Linux รวมถึงมัลแวร์ Taskweaver เพื่อใช้รักษาการเข้าถึงและดำเนินการโจมตีในขั้นตอนถัดไป

ช่องโหว่ดังกล่าวเปิดทางให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถสร้างบัญชี Technician ที่มีสิทธิ์สูงบนเซิร์ฟเวอร์ SimpleHelp และใช้เชื่อมต่อไปยังอุปกรณ์ปลายทางที่อยู่ภายใต้การจัดการ จากนั้นติดตั้ง Djinn Stealer เพื่อขโมยข้อมูลสำคัญ เช่น รหัสผ่าน คุกกี้ และข้อมูลจากเว็บเบราว์เซอร์ ขณะที่ Taskweaver ถูกใช้เพื่อดาวน์โหลดเพย์โหลดเพิ่มเติม รันคำสั่งจากระยะไกล และสร้างกลไกคงอยู่ในระบบ ทำให้ผู้โจมตีสามารถดำเนินการโจมตีต่อเนื่องได้

ผู้ดูแลระบบที่ใช้งาน SimpleHelp ควรเร่งอัปเดตเป็นเวอร์ชันที่ผู้พัฒนาแก้ไขแล้ว ตรวจสอบบัญชี Technician ที่ถูกสร้างขึ้นใหม่โดยไม่ได้รับอนุญาต ทบทวนบันทึกการเชื่อมต่อจากระยะไกล และตรวจสอบอุปกรณ์ปลายทางที่อยู่ภายใต้การจัดการเพื่อค้นหาพฤติกรรมที่อาจเกี่ยวข้องกับ Djinn Stealer หรือ Taskweaver เช่น การเข้าถึงข้อมูลจากเว็บเบราว์เซอร์ การสร้างโปรเซสผิดปกติ หรือการดาวน์โหลดเพย์โหลดเพิ่มเติม เพื่อจำกัดผลกระทบหากระบบถูกบุกรุกแล้ว

แหล่งข่าว : https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-simplehelp-flaw-deploy-new-djinn-infostealer-taskweaver-malware/