คำเตือนด่วน! กลุ่มแฮ็กเกอร์จีน UAT-8099 บุกเซิร์ฟเวอร์ IIS ในไทยและเอเชีย แพร่ BadIIS มัลแวร์สาย SEO ตัวร้าย

โลกไซเบอร์ในปี 2026 เริ่มต้นด้วยความตึงเครียด เมื่อนักวิจัยจาก Cisco Talos ได้ออกมาเปิดโปงแคมเปญโจมตีครั้งใหญ่ของกลุ่มแฮ็กเกอร์ที่มีความเชื่อมโยงกับจีนในชื่อ UAT-8099 โดยเป้าหมายหลักในครั้งนี้อยู่ที่เซิร์ฟเวอร์ Internet Information Services (IIS) ทั่วเอเชีย โดยเฉพาะใน ประเทศไทย และเวียดนามที่โดนโจมตีอย่างหนักหน่วง เพื่อใช้เป็นฐานในการทำ SEO Fraud หรือการหลอกลวงผ่านผลการค้นหาบน Search Engine

UAT-8099 คือใคร? และทำไมต้องกังวล?

กลุ่ม UAT-8099 เป็นกลุ่มอาชญากรไซเบอร์ที่เริ่มมีบทบาทชัดเจนตั้งแต่ช่วงปลายปี 2025 พวกเขาเชี่ยวชาญการเจาะระบบเซิร์ฟเวอร์เพื่อติดตั้งมัลแวร์ BadIIS ซึ่งทำหน้าที่เป็นตัวกลางในการควบคุมผลการค้นหาของ Google, Bing และ Yahoo เพื่อผลักดันเว็บไซต์ผิดกฎหมายหรือเว็บหลอกลวงให้ขึ้นอันดับต้นๆ

ความน่ากลัวของกลุ่มนี้คือการเปลี่ยนกลยุทธ์จากเดิมที่โจมตีแบบหว่านแห มาเป็นการเน้นเจาะจงภูมิภาคเอเชียตะวันออกเฉียงใต้ โดยมีการพัฒนา BadIIS สายพันธุ์ใหม่ที่ชื่อว่า asdSearchEngine ซึ่งออกแบบมาเพื่อจัดการกับผู้ใช้ภาษาไทยโดยเฉพาะ!

เจาะลึกกลยุทธ์การโจมตี แยบยลและตรวจจับยาก

แฮ็กเกอร์กลุ่มนี้ไม่ได้ใช้เพียงแค่มัลแวร์ธรรมดา แต่ใช้เครื่องมือระดับ Red Team เพื่อหลบเลี่ยงการตรวจสอบของ Cyber Security โดยมีขั้นตอนดังนี้:

  • Initial Access: เริ่มจากการหาช่องโหว่บนเซิร์ฟเวอร์ IIS โดยเฉพาะช่องโหว่ในการอัปโหลดไฟล์ (File Upload) หรือการตั้งค่าความปลอดภัยที่อ่อนแอ

  • Persistence: สร้างบัญชีผู้ใช้ลับชื่อ "admin$" หรือ "mysql$" เพื่อซ่อนตัวอยู่ในระบบในระยะยาวแม้จะมีการลบมัลแวร์ออกไปแล้ว

  • Defense Evasion: ใช้เครื่องมืออย่าง CnCrypt Protect เพื่อซ่อนไฟล์มัลแวร์ และ Sharp4RemoveLog เพื่อลบประวัติการโจมตี (Event Logs) ออกจาก Windows

  • Remote Control: ติดตั้ง GotoHTTP เพื่อรีโมทเข้ามาควบคุมเซิร์ฟเวอร์ได้ตลอดเวลาผ่าน PowerShell

BadIIS asdSearchEngine มัลแวร์ที่จ้องเล่นงานคนไทย

ความน่าสนใจของมัลแวร์ตัวนี้คือความสามารถในการแยกแยะเหยื่อ:

  1. ถ้าเป็น Crawler ของ Google: มัลแวร์จะส่งเนื้อหาที่เป็น SEO Fraud ให้เก็บข้อมูลเพื่อให้เว็บไซต์เป้าหมายของแฮ็กเกอร์ติดอันดับดีขึ้น

  2. ถ้าเป็นผู้ใช้ทั่วไป (ภาษาไทย): มัลแวร์จะฉีดรหัส JavaScript เพื่อ Redirect หรือส่งผู้ใช้ไปยังเว็บไซต์อันตรายหรือเว็บการพนันทันที โดยตรวจสอบจาก "Accept-Language: th" ในเบราว์เซอร์ของผู้ใช้

คำถามที่พบบ่อยเกี่ยวกับมัลแวร์ BadIIS และ UAT-8099

  • ถาม: เซิร์ฟเวอร์ IIS ของฉันเสี่ยงไหม?

    • ตอบ: หากคุณใช้ IIS และไม่มีการอัปเดต Patch ความปลอดภัยอย่างสม่ำเสมอ หรือมีการเปิดฟีเจอร์ File Upload โดยไม่มีการตรวจสอบ ถือว่ามีความเสี่ยงสูงมากครับ

  • ถาม: จะรู้ได้อย่างไรว่าถูกโจมตี?

    • ตอบ: ตรวจสอบบัญชีผู้ใช้แปลกๆ ที่มีสัญลักษณ์ "$" ต่อท้าย เช่น admin$ หรือ mysql$ และสังเกต Log การเชื่อมต่อ VPN ที่ไม่คุ้นเคย

  • ถาม: วิธีป้องกันที่ดีที่สุดคืออะไร?

    • ตอบ: อัปเดต Patch เซิร์ฟเวอร์ให้เป็นปัจจุบัน, ใช้ บริการด้านความปลอดภัยไซเบอร์ เพื่อตรวจสอบช่องโหว่ และตั้งค่า Firewall ให้เข้มงวด

การโจมตีของ UAT-8099 เป็นสัญญาณเตือนว่าธุรกิจที่ใช้เซิร์ฟเวอร์ของตัวเองต้องยกระดับความปลอดภัยให้เท่าทันเล่ห์เหลี่ยมของแฮ็กเกอร์ สมัครรับข่าวสารเพื่ออัพเดทเทรนด์ใหม่ๆ ด้านความปลอดภัยได้ที่เว็บไซต์ของเรา หรือ แชร์บทความนี้ให้เพื่อน ที่ดูแลระบบ IT เพื่อป้องกันก่อนจะสายเกินไป! คุณมีความเห็นอย่างไรกับเรื่องนี้? แสดงความคิดเห็นว่าคุณชอบส่วนไหน หรืออยากให้เราเจาะลึกเครื่องมือตัวไหนเป็นพิเศษด้านล่างได้เลยครับ

🛡️ ปกป้องธุรกิจของคุณด้วยมาตรฐานสูงสุดจาก BLOG TTT-WEBSITE

ในยุคที่กลุ่มแฮ็กเกอร์อย่าง UAT-8099 จ้องเล่นงานเซิร์ฟเวอร์ในไทย ความปลอดภัยของข้อมูลคือหัวใจสำคัญ BLOG TTT-WEBSITE พร้อมเป็นเกราะป้องกันให้ธุรกิจของคุณด้วยบริการระดับมืออาชีพ:

  • ยกระดับความปลอดภัยและระบบเซิร์ฟเวอร์:

    • บริการด้านความปลอดภัยไซเบอร์ จัดการไวรัส สแปม: ตรวจสอบและกำจัดมัลแวร์ BadIIS และป้องกันการบุกรุก

    • บริการคลาวด์เซิร์ฟเวอร์ (Cloud Server): ย้ายระบบสู่คลาวด์ที่ได้มาตรฐานความปลอดภัยสูง

    • บริการติดตั้ง LINUX Cloud Server: ทางเลือกที่ปลอดภัยและเสถียรกว่าสำหรับการทำเว็บธุรกิจ

  • บริการรับทำและดูแลเว็บไซต์ครบวงจร:

    • รับทำเว็บไซต์ธุรกิจ องค์กร บริษัท: ออกแบบโครงสร้างที่ปลอดภัยจากแฮ็กเกอร์ตั้งแต่ต้น

    • รับทำเว็บไซต์ WordPress, Elementor Pro, WooCommerce, Wix: พัฒนาด้วยมาตรฐานโค้ดที่ทันสมัย

    • บริการดูแลเว็บไซต์ และ บริการบทความเนื้อหาเว็บไซต์: ดูแลให้เว็บทำงานได้ไหลลื่นตลอด 24 ชม.

  • การตลาดดิจิทัลที่ยั่งยืน:

    • บริการรับทำ SEO & AEO AI Search: ดันอันดับเว็บไซต์ด้วยวิธีที่ถูกต้อง (White Hat) ไม่ต้องเสี่ยงกับการถูกมัลแวร์ SEO เล่นงาน

🚀 อย่ารอให้ธุรกิจตกเป็นเป้าหมาย! ปรึกษาผู้เชี่ยวชาญด้าน รับพัฒนาระบบ และ รับจัดการฐานข้อมูล ได้ที่ [BLOG TTT-WEBSITE] เพื่อวางรากฐานดิจิทัลที่ปลอดภัยและแข็งแกร่งที่สุดให้กับบริษัทของคุณวันนี้!