สรุปสั้น
บริษัทด้านความปลอดภัย Oasis Security เปิดเผยปฏิบัติการจารกรรมไซเบอร์ที่เชื่อมโยงกับ รัฐบาลมาเลเซีย ซึ่งดำเนินการมา หลายปี โดยไม่ถูกตรวจจับ ผู้โจมตีใช้โครงสร้าง Command and Control (C2) ที่ออกแบบมาเพื่อหลบหลีกเครื่องมือสแกนทั่วไป โดยเซิร์ฟเวอร์ C2 ตอบสนองแตกต่างกันขึ้นอยู่กับว่าใครเป็นผู้เชื่อมต่อ และบางเซิร์ฟเวอร์เข้าถึงได้เฉพาะผ่านเส้นทางหรือโปรโตคอลที่กำหนดเท่านั้น นักวิจัยยังพบว่าผู้โจมตีใช้บริการ Cloudflare ในการพักมัลแวร์และหน้า phishing โดยอาศัยความน่าเชื่อถือของแพลตฟอร์มคลาวด์ชื่อดังเพื่อหลบหลีกระบบกรองของเป้าหมาย โครงสร้างพื้นฐานมีความเชื่อมโยงกับเครือข่ายที่เกี่ยวข้องกับรัฐบาลมาเลเซีย และมีรูปแบบที่สอดคล้องกับปฏิบัติการจารกรรมของรัฐ หลักฐานบ่งชี้ว่าระบบถูกหมุนเวียน ปรับเปลี่ยน และบำรุงรักษาอย่างต่อเนื่อง ไม่ใช่แค่แคมเปญระยะสั้น
รายละเอียดข่าว
เว็บไซต์ HackRead รายงานเมื่อวันที่ 18 พฤษภาคม พ.ศ. 2569 ว่า Oasis Security ค้นพบปฏิบัติการจารกรรมไซเบอร์ที่เชื่อมโยงกับรัฐบาลมาเลเซีย โดยใช้โครงสร้าง Command and Control (C2) ที่ซ่อนตัวมาเป็นเวลาหลายปี นักวิจัยระบุว่าปฏิบัติการนี้ถูกออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับจากเครื่องมือสแกนอินเทอร์เน็ตทั่วไป โดยจำกัดการเปิดเผยของระบบ backend โครงสร้างพื้นฐานมีความเชื่อมโยงกับเครือข่ายที่เกี่ยวข้องกับรัฐบาลมาเลเซีย และแสดงรูปแบบที่มักพบในปฏิบัติการจารกรรมที่ได้รับการสนับสนุนจากรัฐ Oasis Security ไม่ได้เปิดเผยชื่อผู้ปฏิบัติการโดยตรง แต่ระบุว่าหลักฐานสอดคล้องกับยุทธวิธีของแคมเปญสอดแนมที่รัฐสนับสนุน ในขณะเดียวกัน นักวิจัยยังพบว่ากลุ่มผู้โจมตีใช้บริการจัดเก็บข้อมูลและ Content Delivery ของ Cloudflare เพื่อพักมัลแวร์และหน้า phishing โดยอาศัยความน่าเชื่อถือที่ผู้ใช้มีต่อแพลตฟอร์มคลาวด์ชื่อดัง ทำให้ทราฟฟิกจากผู้ให้บริการเหล่านี้มีโอกาสถูกบล็อกน้อยกว่า นักวิจัยระบุว่ากลุ่มผู้โจมตีหลายกลุ่มกำลังเปลี่ยนจากการใช้โครงสร้างพื้นฐานถาวรไปเป็น storage buckets ชั่วคราว โดเมนที่เชื่อมกับ CDN และบริการโฮสติ้งระยะสั้นที่สามารถเปลี่ยนใหม่ได้ภายในไม่กี่นาทีหากถูกลบ
วิธีการโจมตี
ปฏิบัติการจารกรรมนี้ใช้เทคนิคหลายชั้นเพื่อหลบหลีกการตรวจจับ:
- เซิร์ฟเวอร์ C2 แบบเลือกตอบสนอง — เซิร์ฟเวอร์บางตัวตอบสนองแตกต่างกันขึ้นอยู่กับว่าใครเชื่อมต่อเข้ามา ทำให้การสแกนอินเทอร์เน็ตทั่วไปไม่สามารถระบุตัวเซิร์ฟเวอร์ได้
- จำกัดเส้นทางการเข้าถึง — เซิร์ฟเวอร์บางตัวเข้าถึงได้เฉพาะผ่านเส้นทางหรือโปรโตคอลเฉพาะเท่านั้น ซึ่งเพิ่มความยากในการตรวจจับ
- ใช้ Cloudflare เป็นที่พักมัลแวร์ — อัปโหลดไฟล์มัลแวร์และหน้า phishing ไปยังบริการ storage ของ Cloudflare เพื่อให้ผ่านระบบกรองที่ไว้วางใจทราฟฟิกจากผู้ให้บริการคลาวด์รายใหญ่
- หมุนเวียนโครงสร้างพื้นฐานอย่างสม่ำเสมอ — ใช้ storage buckets ชั่วคราว โดเมนที่เชื่อมกับ CDN และบริการโฮสติ้งระยะสั้นที่เปลี่ยนได้ภายในไม่กี่นาที ลดค่าใช้จ่ายในการดำเนินการและเพิ่มความต่อเนื่อง
- เน้นการรวบรวมข้อมูลข่าวกรอง — เป้าหมายหลักคือการสอดแนมเพื่อรวบรวมข่าวกรอง โดยพบหลักฐานว่ามีการส่งไฟล์ที่ถูกขโมยไปยัง Cloudflare storage ที่ผู้โจมตีควบคุม
ผลกระทบต่อไทย
ปฏิบัติการจารกรรมที่เชื่อมโยงกับรัฐบาลมาเลเซียมีนัยสำคัญต่อไทยและอาเซียนโดยตรง มาเลเซียเป็นประเทศเพื่อนบ้านที่มีความสัมพันธ์ทั้งด้านเศรษฐกิจ การเมือง และความมั่นคงกับไทยอย่างใกล้ชิด หากรัฐบาลมาเลเซียมีขีดความสามารถด้านจารกรรมไซเบอร์ในระดับนี้ หน่วยงานรัฐ องค์กรด้านความมั่นคง และหน่วยงานที่เกี่ยวข้องกับนโยบายภูมิภาคของไทยอาจตกเป็นเป้าหมายได้ นอกจากนี้ เทคนิคการใช้ Cloudflare เป็นที่พักมัลแวร์เป็นแนวโน้มที่น่ากังวล เพราะหลายองค์กรในไทยไม่ได้บล็อกทราฟฟิกจากผู้ให้บริการคลาวด์รายใหญ่ ทำให้มัลแวร์ที่พักบนแพลตฟอร์มเหล่านี้มีโอกาสหลุดผ่านระบบกรองได้สูง
คำแนะนำ
- ตรวจสอบ outbound connections ไปยังบริการ cloud storage อย่างละเอียด ไม่ควรเชื่อถือทราฟฟิกเพียงเพราะมาจากผู้ให้บริการคลาวด์ชื่อดัง
- ใช้ behavioral analytics และตรวจ outbound ไปยัง Cloudflare Workers/R2 ที่ผิดปกติ
- บล็อกหรือจำกัดการอัปโหลดไฟล์ไปยัง cloud storage จาก endpoint ที่ไม่จำเป็น
- แยก segment สำหรับระบบที่เก็บข้อมูลนโยบาย/ความมั่นคง
