เตือนภัยกลุ่มแฮกเกอร์ UAT-7810 ใช้ยมัลแวร์ LONGLEASH พุ่งเป้าโจมตีเราเตอร์เพื่อสร้างเครือข่ายพรางตัว

ยอดเข้าชม: 52 views

373/69 (IT) ประจำวันพฤหัสบดีที่ 9 กรกฎาคม 2569

นักวิจัยด้านความมั่นคงปลอดภัยพบความเคลื่อนไหวของกลุ่มภัยคุกคามทางไซเบอร์ที่ชื่อ UAT-7810 ซึ่งกำลังพัฒนาชุดมัลแวร์ใหม่เพื่อขยายขีดความสามารถของเครือข่าย Operational Relay Box หรือ ORB โดยมุ่งเป้าโจมตีไปที่อุปกรณ์เครือข่ายที่เชื่อมต่อกับอินเทอร์เน็ต โดยเฉพาะเราเตอร์แบรนด์ Ruckus และ ASUS ที่ยังไม่ได้ติดตั้งการปรับปรุงความปลอดภัย ซึ่งเครือข่ายลักษณะนี้ถูกใช้เป็นโครงสร้างพื้นฐานตัวกลางให้กับกลุ่มภัยคุกคามระดับสูง (APT) กลุ่มอื่น ๆ เพื่อพรางการจราจรทางเครือข่ายให้ดูเหมือนเป็นการใช้งานจากแหล่งที่มาที่ถูกต้องภายในภูมิภาค ซึ่งช่วยให้ผู้โจมตีสามารถหลบเลี่ยงการตรวจจับและเพิ่มความซับซ้อนในการแกะรอยแหล่งที่มาได้อย่างมาก

ในรายละเอียดของการโจมตีพบว่า กลุ่ม UAT-7810 อาศัยการเจาะระบบผ่านช่องโหว่เดิมที่มีการเปิดเผยแล้ว แต่ยังไม่ได้รับการแก้ไข (n-day vulnerabilities) เช่น ช่องโหว่หมายเลข CVE-2020-22653, CVE-2020-22658 และ CVE-2023-25717 ในเราเตอร์ Ruckus รวมถึงช่องโหว่ CVE-2025-2492 ในเราเตอร์ ASUS AiCloud เพื่อเข้าถึงระบบ จากนั้นจะทำการติดตั้งมัลแวร์ตัวใหม่ที่ชื่อ LONGLEASH ซึ่งได้รับการพัฒนาให้มีความสามารถสูงขึ้น ครอบคลุมทั้งการเปิดช่องทางเพื่อเข้าควบคุมระบบ การเป็นพร็อกซีเพื่อควบคุมทิศทางข้อมูล การลบตัวเองโดยอัตโนมัติเมื่อพบพฤติกรรมที่น่าสงสัย และการทำหน้าที่เป็นศูนย์ควบคุมสั่งการย่อยเพื่อส่งต่อคำสั่งระหว่างโหนด นอกจากนี้ยังตรวจพบเครื่องมือสนับสนุนอื่น ๆ ได้แก่ backdoorระบบปฏิบัติการลินุกซ์ชื่อ DOGLEASH เครื่องมือบริหารจัดการไฟล์บนพื้นฐานภาษาจาวาชื่อ JARLEASH และโปรแกรม LEASHTEST ที่ผู้โจมตีใช้สำหรับทดสอบการทำงานของมัลแวร์บนอุปกรณ์ IOT เพื่อเตรียมการขยายฐานการโจมตี

เพื่อเป็นการลดความเสี่ยงและป้องกันผลกระทบจากภัยคุกคามดังกล่าว ผู้ดูแลระบบเครือข่ายและผู้ใช้งานทั่วไปควรเร่งตรวจสอบอุปกรณ์ที่อยู่ในการดูแล โดยเฉพาะอุปกรณ์เราเตอร์ที่ระบุในรายงาน ให้ได้รับการอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดเพื่ออุดช่องโหว่ที่ผู้โจมตีใช้เป็นช่องทางเข้าถึงระบบ นอกจากนี้องค์กรควรเพิ่มระดับการเฝ้าระวังความผิดปกติของการจราจรทางเครือข่าย และนำข้อมูล Indicators of Compromise หรือ IoCs จากรายงานมาปรับใช้ในระบบรักษาความปลอดภัย เพื่อตรวจสอบว่ามีอุปกรณ์ภายในเครือข่ายถูกบุกรุก หรือถูกใช้เป็นส่วนหนึ่งของโครงสร้างพื้นฐานแฝงตัวนี้หรือไม่ ซึ่งการดำเนินการเหล่านี้จะช่วยยับยั้งความเสียหายและเสริมสร้างความมั่นคงปลอดภัยของระบบในภาพรวมได้อย่างมีประสิทธิภาพ

แหล่งข่าว : https://www.bleepingcomputer.com/news/security/chinese-hackers-develop-longleash-malware-to-expand-orb-network/