กลุ่มแฮกเกอร์จีนโจมตีช่องโหว่ Check Point แพร่กระจาย ShadowPad และ Ransomware

ในช่วงไม่กี่เดือนที่ผ่านมา มีการค้นพบการโจมตีทางไซเบอร์ที่เชื่อมโยงกับกลุ่มแฮกเกอร์จีน โดยพวกเขาได้ใช้ช่องโหว่ในผลิตภัณฑ์ของ Check Point เพื่อเข้าถึงระบบเครือข่ายองค์กรและปล่อยมัลแวร์ ShadowPad รวมถึงแรนซัมแวร์อันตราย การโจมตีครั้งนี้ส่งผลกระทบต่อองค์กรหลายแห่ง โดยเฉพาะในยุโรป ซึ่งแสดงให้เห็นถึงแนวโน้มที่เพิ่มขึ้นของการใช้มัลแวร์ขั้นสูงในการเจาะระบบความปลอดภัย

รายละเอียดของช่องโหว่ที่ถูกโจมตี (CVE-2024-24919)

ช่องโหว่ที่ถูกใช้ในการโจมตีครั้งนี้คือ CVE-2024-24919 ซึ่งได้รับคะแนน CVSS 7.5 (จัดอยู่ในระดับความร้ายแรงสูง) โดยผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อขโมยข้อมูลรับรองผู้ใช้และเข้าถึง VPN ขององค์กรผ่านบัญชีที่ถูกต้อง

วิธีการโจมตี

  1. เจาะระบบผ่านช่องโหว่ – กลุ่มแฮกเกอร์ใช้ช่องโหว่เพื่อดึงข้อมูลรับรองผู้ใช้จากระบบเครือข่ายที่ใช้ผลิตภัณฑ์ของ Check Point
  2. เคลื่อนที่ในระบบเครือข่าย (Lateral Movement) – ใช้ข้อมูลที่ขโมยมาเพื่อเข้าถึงเซิร์ฟเวอร์และคอมพิวเตอร์เครื่องอื่น ๆ ผ่าน Remote Desktop Protocol (RDP)
  3. ติดตั้งมัลแวร์ ShadowPad – ใช้ไฟล์ที่ดูเหมือนไม่เป็นอันตราย (Logger.exe) เพื่อโหลด DLL Hijacking และฝังมัลแวร์ลงในระบบ
  4. ปล่อยแรนซัมแวร์ NailaoLocker – มัลแวร์ที่เข้ารหัสไฟล์สำคัญขององค์กร ทำให้เหยื่อต้องจ่ายค่าไถ่เพื่อกู้คืนข้อมูล

ShadowPad มัลแวร์ขั้นสูงที่ถูกใช้งาน

ShadowPad เป็นมัลแวร์ที่ถูกใช้โดยกลุ่มแฮกเกอร์จีนมาตั้งแต่ปี 2015 และได้รับการพัฒนาให้ซับซ้อนมากขึ้นในช่วงหลายปีที่ผ่านมา ShadowPad มีความสามารถดังนี้
  • ซ่อนตัวจากการตรวจจับ – ใช้เทคนิค anti-debugging เพื่อป้องกันการถูกวิเคราะห์
  • สร้างช่องโหว่แบบถาวร (Backdoor) – เปิดให้ผู้โจมตีสามารถเข้าถึงระบบในอนาคต
  • เชื่อมต่อกับเซิร์ฟเวอร์ควบคุมระยะไกล (C2 Server) – ส่งข้อมูลกลับไปยังกลุ่มแฮกเกอร์

NailaoLocker แรนซัมแวร์ที่ใช้เรียกค่าไถ่

หลังจากการติดตั้ง ShadowPad แล้ว ผู้โจมตียังใช้แรนซัมแวร์ NailaoLocker ซึ่งพัฒนาด้วย ภาษา C++ และมีพฤติกรรมดังนี้
  • เข้ารหัสไฟล์ในระบบ และเปลี่ยนนามสกุลไฟล์เป็น “.locked”
  • ทิ้งข้อความเรียกค่าไถ่ และแจ้งให้เหยื่อติดต่อผ่าน Proton Mail หรือชำระเงินผ่าน Bitcoin

วิธีป้องกันการโจมตี

องค์กรที่ใช้ผลิตภัณฑ์ของ Check Point ควรดำเนินการป้องกันทันทีเพื่อลดความเสี่ยง
  • อัปเดตแพตช์ความปลอดภัย – ติดตั้งการแก้ไขล่าสุดของ Check Point เพื่อปิดช่องโหว่ CVE-2024-24919
  • เปิดใช้งาน Multi-Factor Authentication (MFA) – ป้องกันไม่ให้ผู้โจมตีสามารถใช้บัญชี VPN ที่ถูกขโมยได้
  • ตรวจสอบกิจกรรมที่ผิดปกติในเครือข่าย – ใช้ระบบตรวจจับการบุกรุก (IDS/IPS) เพื่อเฝ้าระวังการเคลื่อนไหวของแฮกเกอร์
  • ฝึกอบรมพนักงานเกี่ยวกับภัยคุกคามไซเบอร์ – สร้างความตระหนักเกี่ยวกับฟิชชิ่งและการใช้รหัสผ่านที่ปลอดภัย

สรุป

การโจมตีครั้งนี้เป็นตัวอย่างที่ชัดเจนของภัยคุกคามที่องค์กรต้องเผชิญ โดยเฉพาะเมื่อมีการใช้ช่องโหว่ซอฟต์แวร์เพื่อเจาะระบบ องค์กรที่ใช้ผลิตภัณฑ์ของ Check Point ควรอัปเดตระบบทันที และดำเนินมาตรการรักษาความปลอดภัยที่เข้มงวดขึ้น เพื่อป้องกันการโจมตีจากกลุ่มแฮกเกอร์ระดับสูง

ปกป้ององค์กรของคุณจากภัยคุกคามไซเบอร์!

หากคุณต้องการคำแนะนำเพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยไซเบอร์ ติดต่อผู้เชี่ยวชาญเพื่อรับคำปรึกษาและแนวทางปฏิบัติที่เหมาะสม อย่าปล่อยให้ธุรกิจของคุณตกเป็นเป้าหมาย!