345/69 (IT) ประจำวันพฤหัสบดีที่ 25 มิถุนายน 2569
นักวิจัยด้านความปลอดภัยเปิดเผยว่า กลุ่ม Initial Access Broker ที่ถูกติดตามในชื่อ Woodgnat หรือ KongTuke กำลังใช้มัลแวร์ Remote Access Trojan ตัวใหม่ชื่อ Mistic RAT ในการโจมตีองค์กรหลายอุตสาหกรรม โดยกลุ่มดังกล่าวถูกเชื่อมโยงกับการให้บริการเข้าถึงแก่กลุ่มแรนซัมแวร์หลายราย เช่น Qilin, Interlock, Rhysida, Akira, 8Base และ Black Basta
Mistic มีความสามารถทั่วไปของมัลแวร์ประเภท Backdoor เช่น ดาวน์โหลดและอัปโหลดไฟล์ จัดการไฟล์ สร้างโฟลเดอร์ และสั่งรันโค้ดบนเครื่องที่ติดมัลแวร์ได้ นอกจากนี้ ผู้โจมตียังสามารถปรับความถี่ที่มัลแวร์ใช้ตรวจสอบคำสั่งใหม่จากเซิร์ฟเวอร์ควบคุม และสั่งให้มัลแวร์ยุติการทำงานได้ โดยพบว่ามีการนำ Mistic ไปใช้ในรูปแบบ DLL และรันผ่านเทคนิค DLL sideloading เพื่อช่วยหลบเลี่ยงการตรวจจับ
รายงานระบุว่า กลุ่มดังกล่าวมักใช้เว็บไซต์ WordPress ที่ถูกบุกรุก และเทคนิค Social Engineering เพื่อหลอกให้เหยื่อรันคำสั่ง PowerShell ที่ผู้โจมตีเตรียมไว้ เช่น ClickFix, FileFix และ CrashFix รวมถึงเริ่มใช้ข้อความหลอกลวงผ่าน Microsoft Teams ในลักษณะ helpdesk หรือ IT support ตั้งแต่เดือนเมษายน 2026 องค์กรจึงควรเฝ้าระวังการรันคำสั่ง PowerShell ที่ผิดปกติ การใช้งานเครื่องมืออย่าง Curl, Certutil, WMIC, Reg.exe และ Net.exe ในบริบทที่ไม่สอดคล้องกับงานปกติ รวมถึงตรวจสอบพฤติกรรมที่อาจบ่งชี้การเข้าถึงระบบโดยไม่ได้รับอนุญาตหรือการเตรียมขายสิทธิ์เข้าถึงให้ผู้โจมตีรายอื่น
แหล่งข่าว https://www.securityweek.com/new-mistic-rat-opens-door-to-several-ransomware-families/