Google เตือนมัลแวร์จีนหลอกหลอนเครือข่ายนานปี

Google เตือนว่ามัลแวร์ที่เชื่อมโยงกับจีนอาจซ่อนตัวอยู่ในเครือข่ายของบริษัทต่างๆ อย่างน้อยอีก 2 ปีข้างหน้า

Google เตือนมัลแวร์จีนหลอกหลอนเครือข่ายนานปี

เมื่อวันพุธที่ผ่านมา กลุ่มข่าวกรองภัยคุกคามของ Google ได้รายงานว่ากำลังติดตามมัลแวร์ประตูหลังที่ชื่อ BRICKSTORM ซึ่งถูกแฮกเกอร์ใช้เพื่อรักษาการเข้าถึงองค์กรและบริษัทในสหรัฐอเมริกา โดยเฉลี่ย 393 วัน หน่วยงานด้านความมั่นคงทางไซเบอร์ของ Google ซึ่งคือ Mandiant ได้ตอบสนองต่อการบุกรุกเหล่านี้ตั้งแต่เดือนมีนาคม 2568

การโจมตีเหล่านี้มุ่งเป้าไปที่อุตสาหกรรมหลากหลาย โดยเฉพาะบริการทางกฎหมาย ผู้ให้บริการ Software-as-a-Service (SaaS) ผู้ให้บริการ Business Process Outsourcing (BPO) และบริษัทเทคโนโลยี จากหลักฐานการสืบสวนของ Google ชี้ว่ากลุ่มกฎหมายถูกเล็งเพื่อข้อมูลที่เกี่ยวข้องกับความมั่นคงแห่งชาติสหรัฐฯ และการค้าสากล ผู้ให้บริการ SaaS ถูกใช้เป็นประตูทางเข้าถึงลูกค้า ส่วนบริษัทเทคโนโลยีถูกเล็งเพื่อวิเคราะห์ทรัพย์สินทางปัญญา รวมถึงซอร์สโค้ด ซึ่งอาจช่วยค้นหาช่องโหว่ด้านความมั่นคงอื่นๆ

ภัยคุกคามที่ยาวนานจาก BRICKSTORM

“มูลค่าของเป้าหมายเหล่านี้เกินกว่าการจารกรรมทั่วไป อาจให้ข้อมูลสำหรับพัฒนา zero-day และสร้างจุดยึดสำหรับเข้าถึงเหยื่อ下游” รายงานระบุ Zero-day คือช่องโหว่ในซอฟต์แวร์หรือฮาร์ดแวร์ที่นักพัฒนายังไม่รู้จัก ทำให้ไม่มีเวลาแพตช์ก่อนถูกโจมตี

กิจกรรมนี้ส่วนใหญ่เชื่อมโยงกับกลุ่มที่ Google ระบุว่า UNC5221 พร้อมกับกลุ่มอื่นๆ ที่เกี่ยวข้องกับจีนอย่างใกล้ชิด

แฮกเกอร์เหล่านี้หลบหนีการตรวจจับได้นานเพราะติดตั้ง BRICKSTORM ในระบบที่ไม่สามารถรัน Endpoint Detection and Response (EDR) หรือซอฟต์แวร์ป้องกันไวรัสแบบดั้งเดิมได้ เช่น คอมพิวเตอร์และสมาร์ทโฟน

แทนที่จะเป็นแบบนั้น พวกเขามุ่งเป้าไปที่อุปกรณ์เครือข่าย เช่น เราเตอร์ ไฟร์วอลล์ เกตเวย์ความมั่นคงอีเมล พวกเขายังเล็งที่ตัวจัดการเครื่องเสมือนและโฮสต์ ตามรายงาน UNC5221 มุ่งเป้า VMware vCenter และ ESXi hosts อย่างต่อเนื่อง

• บริการทางกฎหมาย: เพื่อข้อมูลความมั่นคงและการค้า
• SaaS: เป็นทางเข้าถึงลูกค้า
• BPO: จุดยึดสำหรับการบุกรุก
• เทคโนโลยี: วิเคราะห์ IP และช่องโหว่

เพื่อช่วยองค์กรตรวจจับมัลแวร์ Mandiant ได้ปล่อยสแกนเนอร์ฟรีที่ค้นหากิจกรรม BRICKSTORM โดยค้นหาคำสั่งและแพทเทิร์น hex ที่เป็นเอกลักษณ์ของประตูหลังนี้ ตามที่ Google กล่าว

Charles Carmakal ผู้บริหารเทคโนโลยีของ Mandiant Consulting บอกกับThe Registerว่าเขาคาดว่าจะได้ยินเกี่ยวกับภัยคุกคามไซเบอร์นี้ไปอีกนาน

“เมื่อบริษัทต่างๆ สแกนระบบมากขึ้น เราคาดว่าจะได้ยินเกี่ยวกับแคมเปญนี้ในอีก 1-2 ปี” Carmakal กล่าว “ไม่มีข้อสงสัยว่าบริษัทจะใช้เครื่องมือนี้และพบการบุกรุกที่กำลังเกิดขึ้นหรือในอดีต”

Carmakal ยังบอกกับCybersecurity Diveว่าในช่วง 2 ปีนี้ “สิ่งใหม่ๆ จะปรากฏ” เกี่ยวกับการโจมตี เมื่อเหยื่อรายงานการละเมิดมากขึ้น

Google เตือนมัลแวร์จีนหลอกหลอนเครือข่ายนานปี นี่คือภัยคุกคามที่องค์กรต้องระวัง โดยเฉพาะในอุตสาหกรรมที่ถูกเล็ง การใช้เครื่องมือสแกนจาก Mandiant เป็นก้าวแรกที่ดีในการปกป้องระบบของคุณ

องค์กรควรตรวจสอบเครือข่ายทันทีเพื่อป้องกันความเสียหายระยะยาว และอัปเดตมาตรการความมั่นคงให้ทันสมัย ลองใช้สแกนเนอร์ฟรีก่อนที่สายเกินไป

ที่มา – Google Warns That China-Linked Malware Will Haunt Networks for YearsHackers were able to maintain access to their victims for an average 393 days.