206/68 (IT) ประจำวันจันทร์ที่ 9 มิถุนายน 2568
นักวิจัยจาก Cisco Talos พบมัลแวร์ตัวใหม่ชื่อ PathWiper ที่ถูกใช้ในการโจมตีแบบเจาะจง (targeted attacks) ต่อโครงสร้างพื้นฐานสำคัญของประเทศยูเครน โดยมีเป้าหมายเพื่อทำลายข้อมูลและหยุดการดำเนินงานของระบบที่เกี่ยวข้อง โดยผู้โจมตีได้ใช้เครื่องมือควบคุม endpoint ที่ถูกต้องตามกฎหมายในการปล่อย payload ซึ่งบ่งชี้ว่าได้สิทธิ์ระดับผู้ดูแลระบบ (admin access) ผ่านการเจาะระบบมาก่อนหน้านี้
PathWiper ถูกเปรียบเทียบว่าเป็นเวอร์ชันใหม่ของ HermeticWiper ซึ่งเคยใช้โจมียูเครนโดยกลุ่ม Sandworm ที่มีความเชื่อมโยงกับรัสเซีย โดย PathWiper เริ่มทำงานผ่าน batch file บน Windows ที่เปิดใช้ VBScript ที่เป็นอันตราย (uacinstall.vbs) ซึ่งปล่อยและรัน payload หลักชื่อว่า sha256sum.exe การทำงานของมัลแวร์เลียนแบบเครื่องมือผู้ดูแลระบบเพื่อลดโอกาสในการตรวจจับ โดยมันจะสแกนไดรฟ์ทั้งหมด (ทั้งแบบ local, network และ dismounted) จากนั้นจะใช้ Windows API ในการ dismount volume แล้วเริ่มทำลายโครงสร้าง NTFS ที่สำคัญ เช่น MBR, $MFT, $LogFile และ $Boot ด้วยการเขียนข้อมูลสุ่มลงไป ทำให้ระบบไม่สามารถบูตหรือกู้คืนได้
การโจมตีนี้ไม่มีการเรียกค่าไถ่หรือข้อเรียกร้องทางการเงิน แสดงให้เห็นว่าเป้าหมายหลักคือ การทำลายและหยุดชะงักการดำเนินงานเท่านั้น โดย Cisco Talos ได้เผยแพร่ hash ของไฟล์และกฎ Snort เพื่อช่วยให้องค์กรสามารถตรวจจับและบล็อกการโจมตีก่อนที่จะเกิดความเสียหาย ทั้งนี้ PathWiper เป็นหนึ่งในมัลแวร์ประเภท data wiper หลายตัวที่ถูกใช้ในการทำสงครามไซเบอร์กับยูเครน เช่น DoubleZero, CaddyWiper, IsaacWiper, WhisperGate และ AcidRain ซึ่งล้วนถูกเชื่อมโยงกับกลุ่มภัยคุกคามจากรัฐรัสเซีย
