139/69 (IT) ประจำวันพุธที่ 11 มีนาคม 2569
ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ตรวจพบการแพร่ระบาดของมัลแวร์ตัวใหม่ในชื่อ A0Backdoor ซึ่งมีพฤติกรรมมุ่งเป้าไปที่พนักงานในองค์กรกลุ่มสถาบันการเงินและด้านสาธารณสุขระดับโลก โดยแฮกเกอร์จะใช้วิธีแนบเนียนด้วยการส่งอีเมลขยะ (Spam) จำนวนมากเข้าไปก่อกวนเหยื่อก่อน จากนั้นจะสวมรอยเป็นเจ้าหน้าที่ฝ่าย IT ของบริษัทติดต่อกลับไปหาพนักงานผ่านทาง Microsoft Teams เพื่อทำทีว่าต้องการให้ความช่วยเหลือในการจัดการอีเมลขยะเหล่านั้น โดยอาศัยเทคนิค Social Engineering สร้างความเชื่อใจเพื่อหลอกให้เหยื่อเปิดโปรแกรม Quick Assist เพื่อให้คนร้ายสามารถควบคุมเครื่องจากระยะไกลได้โดยง่าย
เมื่อได้รับสิทธิ์เข้าถึงเครื่องเหยื่อแล้ว คนร้ายจะทำการติดตั้งเครื่องมืออันตรายผ่านไฟล์ MSI ที่มี Digitally Signed เพื่อตบตาการตรวจสอบความปลอดภัย โดยใช้เทคนิค DLL Sideloading ด้วยการใช้ไฟล์ระบบของ Microsoft ที่เชื่อถือได้มาโหลดไลบรารีอันตราย (เช่น hostfxr.dll) เข้าสู่หน่วยความจำ มัลแวร์จะทำการถอดรหัส Shellcode และตรวจสอบสภาพแวดล้อม (Sandbox Detection) เพื่อป้องกันการถูกวิเคราะห์จากผู้เชี่ยวชาญ นอกจากนี้ยังมีการสร้าง Thread จำนวนมหาศาลเพื่อทำให้โปรแกรมตรวจสอบ (Debugger) ค้างหรือทำงานผิดปกติ ก่อนจะปลดปล่อย Payload หลักอย่าง A0Backdoor ที่ถูกเข้ารหัสด้วยอัลกอริทึม AES ออกมาทำงานในขั้นตอนสุดท้าย
ความน่ากลัวของ A0Backdoor คือการอำพรางการสื่อสารกับเซิร์ฟเวอร์ควบคุม ผ่านทราฟฟิก DNS (Domain Name System) โดยเลือกใช้ MX Records (ซึ่งปกติใช้สำหรับการส่งอีเมล) แทนที่จะเป็น TXT Records แบบเดิมที่ระบบเฝ้าระวังส่วนใหญ่มักจะดักจับได้ เทคนิคนี้ช่วยให้มัลแวร์สามารถส่งข้อมูลที่เข้ารหัสและรับคำสั่งจากคนร้ายได้อย่างแนบเนียนโดยไม่ผิดสังเกต ทั้งนี้ นักวิจัยจาก BlueVoyant คาดการณ์ว่า แคมเปญนี้เป็นการวิวัฒนาการทางเทคนิคของกลุ่มแรนซัมแวร์ชื่อดังอย่าง BlackBasta ที่ปรับเปลี่ยนวิธีการเพื่อหลีกเลี่ยงการตรวจจับในปัจจุบัน