55/69 (IT) ประจำวันพฤหัสบดีที่ 29 มกราคม 2569
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ออกมาเตือนว่า ช่องโหว่ความรุนแรงสูงในโปรแกรม WinRAR หมายเลข CVE-2025-8088 ยังคงถูกนำมาใช้โจมตีอย่างต่อเนื่องจากกลุ่มแฮกเกอร์หลากหลายประเภท ทั้งกลุ่มที่ได้รับการสนับสนุนจากรัฐและกลุ่มอาชญากรไซเบอร์ที่มุ่งหวังผลประโยชน์ทางการเงิน ช่องโหว่นี้เป็นลักษณะของการ “Path Traversal” ที่อาศัยเทคนิค Alternate Data Streams (ADS) เพื่อเขียนไฟล์อันตรายไปยังตำแหน่งใดก็ได้ในระบบ ผู้โจมตีเคยใช้วิธีดังกล่าวเพื่อฝังมัลแวร์ไว้ในโฟลเดอร์ Startup ของระบบปฏิบัติการ Windows ทำให้มัลแวร์สามารถทำงานซ้ำได้ทุกครั้งที่ผู้ใช้เปิดเครื่อง
บริษัท ESET ระบุว่าได้ตรวจพบการใช้ช่องโหว่นี้ตั้งแต่ช่วงต้นเดือนสิงหาคม 2025 โดยกลุ่ม RomCom ที่มีความเชื่อมโยงกับรัสเซียในลักษณะการโจมตีแบบ Zero-day ขณะที่รายงานล่าสุดจากทีม Google Threat Intelligence ชี้ว่าการโจมตีเริ่มต้นตั้งแต่กรกฎาคม 2025 และดำเนินกิจกรรมต่อเนื่องยาวนานจนถึงปี 2026 กลไกการโจมตีมักซ่อนไฟล์อันตรายไว้ใน ADS ของไฟล์ล่อ (decoy) ภายในไฟล์บีบอัด ผู้ใช้จะเห็นเอกสารทั่วไป เช่น PDF แต่เบื้องหลังมี ADS ที่บรรจุเพย์โหลดซ่อนอยู่ เมื่อเปิดไฟล์ WinRAR จะสกัดเพย์โหลดดังกล่าวออกมาโดยอาศัยการข้ามไดเรกทอรี และมักทิ้งไฟล์ประเภท LNK, HTA, BAT, CMD หรือสคริปต์ต่าง ๆ ที่ถูกตั้งค่าให้ทำงานทันทีเมื่อผู้ใช้ล็อกอินเข้าสู่ระบบ
Google ระบุว่ากลุ่มผู้โจมตีที่ใช้ช่องโหว่นี้มีทั้ง UNC4895 (RomCom/CIGAR) ที่ใช้โจมตียูเครนผ่านอีเมลฟิชชิ่ง, APT44 (FROZENBARENTS), TEMP.Armageddon (CARPATHIAN) ซึ่งยังพบกิจกรรมต่อเนื่องถึงปี 2026, กลุ่ม Turla (SUMMIT) รวมถึงกลุ่มที่เชื่อมโยงกับจีนซึ่งใช้เพื่อปล่อยมัลแวร์ POISONIVY นอกจากนี้ ประเด็นที่น่าจับตามองคือ การกลายเป็นสินค้าเชิงพาณิชย์ของภัยคุกคามทางไซเบอร์ โดยพบว่ากลุ่มผู้โจมตีเหล่านี้ไม่ได้พัฒนาเครื่องมือเอง แต่จัดซื้อชุดคำสั่งโจมตี (Exploit) จากผู้ค้าในตลาดมืด เช่น ผู้ขายนามแฝง zeroplayer ที่เสนอขายช่องโหว่ในราคาสูงถึง 80,000 – 300,000 ดอลลาร์สหรัฐฯ ซึ่งแนวโน้มนี้ ส่งผลให้กลุ่มแฮกเกอร์สามารถเข้าถึงเครื่องมือประสิทธิภาพสูงและระดมโจมตีเหยื่อที่ยังไม่ได้อัปเดตแพตช์ได้อย่างรวดเร็วและรุนแรงยิ่งขึ้น
