213/69 (IT) ประจำวันจันทร์ที่ 20 เมษายน 2569
นักวิจัยจาก Sophos เปิดเผยการตรวจพบแคมเปญโจมตีของ Payouts King ransomware ซึ่งใช้เครื่องมือจำลองระบบ QEMU เพื่อสร้าง Virtual Machine (VM) แบบซ่อนอยู่ภายในเครื่องที่ถูกบุกรุก โดยใช้เป็นช่องทาง backdoor ผ่าน reverse SSH เพื่อรันมัลแวร์ เก็บไฟล์อันตราย และควบคุมระบบจากระยะไกล โดยหลบเลี่ยงการตรวจจับจากระบบ Endpoint Security ที่ไม่สามารถตรวจสอบภายใน VM ได้ โดย Sophos พบ 2 แคมเปญหลัก ได้แก่ STAC4713 ซึ่งเชื่อมโยงกับกลุ่ม GOLD ENCOUNTER และ STAC3725 ที่อาศัยช่องโหว่ CitrixBleed 2 (CVE-2025-5777) ในการเข้าถึงระบบ
ผู้โจมตีใช้หลายช่องทางในการเข้าถึงระบบเป้าหมาย เช่น การโจมตีผ่าน VPN ที่เปิดเผยสู่สาธารณะ การใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ และการหลอกพนักงานผ่าน Microsoft Teams ให้ติดตั้งเครื่องมือ Quick Assist เมื่อเข้าสู่ระบบได้ ผู้โจมตีจะสร้าง Scheduled Task เพื่อรัน VM แฝงในระดับ SYSTEM พร้อมตั้งค่า Port Forwarding และสร้าง SSH tunnel สำหรับควบคุมเครื่อง ภายใน VM มีการใช้ Alpine Linux และติดตั้งเครื่องมือ เช่น AdaptixC2, Chisel, BusyBox และ Rclone รวมถึงรวบรวมข้อมูลบัญชีและไฟล์สำคัญจาก Active Directory
Sophos ระบุว่า Payouts King มีพฤติกรรมบางส่วนคล้ายกับกลุ่ม Black Basta ในด้านวิธีเข้าถึงระบบและการหลอกลวงผู้ใช้งาน มัลแวร์ใช้เทคนิคขั้นสูงเพื่อหลบเลี่ยงการวิเคราะห์ สร้างความคงอยู่ในระบบ (Persistence) และเข้ารหัสข้อมูลด้วย AES-256 และ RSA-4096 เพื่อเรียกค่าไถ่ องค์กรควรเฝ้าระวังพฤติกรรมผิดปกติ เช่น การติดตั้ง QEMU โดยไม่ได้รับอนุญาต การพบ Scheduled Task ที่รันด้วยสิทธิ์ SYSTEM การทำ SSH tunnel ไปยังพอร์ตผิดปกติ และการทำงานของ VM แฝงภายในระบบ