สรุปสั้น

บริษัทด้านความปลอดภัย Oasis Security เปิดเผยปฏิบัติการจารกรรมไซเบอร์ที่เชื่อมโยงกับ รัฐบาลมาเลเซีย ซึ่งดำเนินการมา หลายปี โดยไม่ถูกตรวจจับ ผู้โจมตีใช้โครงสร้าง Command and Control (C2) ที่ออกแบบมาเพื่อหลบหลีกเครื่องมือสแกนทั่วไป โดยเซิร์ฟเวอร์ C2 ตอบสนองแตกต่างกันขึ้นอยู่กับว่าใครเป็นผู้เชื่อมต่อ และบางเซิร์ฟเวอร์เข้าถึงได้เฉพาะผ่านเส้นทางหรือโปรโตคอลที่กำหนดเท่านั้น นักวิจัยยังพบว่าผู้โจมตีใช้บริการ Cloudflare ในการพักมัลแวร์และหน้า phishing โดยอาศัยความน่าเชื่อถือของแพลตฟอร์มคลาวด์ชื่อดังเพื่อหลบหลีกระบบกรองของเป้าหมาย โครงสร้างพื้นฐานมีความเชื่อมโยงกับเครือข่ายที่เกี่ยวข้องกับรัฐบาลมาเลเซีย และมีรูปแบบที่สอดคล้องกับปฏิบัติการจารกรรมของรัฐ หลักฐานบ่งชี้ว่าระบบถูกหมุนเวียน ปรับเปลี่ยน และบำรุงรักษาอย่างต่อเนื่อง ไม่ใช่แค่แคมเปญระยะสั้น

รายละเอียดข่าว

เว็บไซต์ HackRead รายงานเมื่อวันที่ 18 พฤษภาคม พ.ศ. 2569 ว่า Oasis Security ค้นพบปฏิบัติการจารกรรมไซเบอร์ที่เชื่อมโยงกับรัฐบาลมาเลเซีย โดยใช้โครงสร้าง Command and Control (C2) ที่ซ่อนตัวมาเป็นเวลาหลายปี นักวิจัยระบุว่าปฏิบัติการนี้ถูกออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับจากเครื่องมือสแกนอินเทอร์เน็ตทั่วไป โดยจำกัดการเปิดเผยของระบบ backend โครงสร้างพื้นฐานมีความเชื่อมโยงกับเครือข่ายที่เกี่ยวข้องกับรัฐบาลมาเลเซีย และแสดงรูปแบบที่มักพบในปฏิบัติการจารกรรมที่ได้รับการสนับสนุนจากรัฐ Oasis Security ไม่ได้เปิดเผยชื่อผู้ปฏิบัติการโดยตรง แต่ระบุว่าหลักฐานสอดคล้องกับยุทธวิธีของแคมเปญสอดแนมที่รัฐสนับสนุน ในขณะเดียวกัน นักวิจัยยังพบว่ากลุ่มผู้โจมตีใช้บริการจัดเก็บข้อมูลและ Content Delivery ของ Cloudflare เพื่อพักมัลแวร์และหน้า phishing โดยอาศัยความน่าเชื่อถือที่ผู้ใช้มีต่อแพลตฟอร์มคลาวด์ชื่อดัง ทำให้ทราฟฟิกจากผู้ให้บริการเหล่านี้มีโอกาสถูกบล็อกน้อยกว่า นักวิจัยระบุว่ากลุ่มผู้โจมตีหลายกลุ่มกำลังเปลี่ยนจากการใช้โครงสร้างพื้นฐานถาวรไปเป็น storage buckets ชั่วคราว โดเมนที่เชื่อมกับ CDN และบริการโฮสติ้งระยะสั้นที่สามารถเปลี่ยนใหม่ได้ภายในไม่กี่นาทีหากถูกลบ

วิธีการโจมตี

ปฏิบัติการจารกรรมนี้ใช้เทคนิคหลายชั้นเพื่อหลบหลีกการตรวจจับ:

  • เซิร์ฟเวอร์ C2 แบบเลือกตอบสนอง — เซิร์ฟเวอร์บางตัวตอบสนองแตกต่างกันขึ้นอยู่กับว่าใครเชื่อมต่อเข้ามา ทำให้การสแกนอินเทอร์เน็ตทั่วไปไม่สามารถระบุตัวเซิร์ฟเวอร์ได้
  • จำกัดเส้นทางการเข้าถึง — เซิร์ฟเวอร์บางตัวเข้าถึงได้เฉพาะผ่านเส้นทางหรือโปรโตคอลเฉพาะเท่านั้น ซึ่งเพิ่มความยากในการตรวจจับ
  • ใช้ Cloudflare เป็นที่พักมัลแวร์ — อัปโหลดไฟล์มัลแวร์และหน้า phishing ไปยังบริการ storage ของ Cloudflare เพื่อให้ผ่านระบบกรองที่ไว้วางใจทราฟฟิกจากผู้ให้บริการคลาวด์รายใหญ่
  • หมุนเวียนโครงสร้างพื้นฐานอย่างสม่ำเสมอ — ใช้ storage buckets ชั่วคราว โดเมนที่เชื่อมกับ CDN และบริการโฮสติ้งระยะสั้นที่เปลี่ยนได้ภายในไม่กี่นาที ลดค่าใช้จ่ายในการดำเนินการและเพิ่มความต่อเนื่อง
  • เน้นการรวบรวมข้อมูลข่าวกรอง — เป้าหมายหลักคือการสอดแนมเพื่อรวบรวมข่าวกรอง โดยพบหลักฐานว่ามีการส่งไฟล์ที่ถูกขโมยไปยัง Cloudflare storage ที่ผู้โจมตีควบคุม

ผลกระทบต่อไทย

ปฏิบัติการจารกรรมที่เชื่อมโยงกับรัฐบาลมาเลเซียมีนัยสำคัญต่อไทยและอาเซียนโดยตรง มาเลเซียเป็นประเทศเพื่อนบ้านที่มีความสัมพันธ์ทั้งด้านเศรษฐกิจ การเมือง และความมั่นคงกับไทยอย่างใกล้ชิด หากรัฐบาลมาเลเซียมีขีดความสามารถด้านจารกรรมไซเบอร์ในระดับนี้ หน่วยงานรัฐ องค์กรด้านความมั่นคง และหน่วยงานที่เกี่ยวข้องกับนโยบายภูมิภาคของไทยอาจตกเป็นเป้าหมายได้ นอกจากนี้ เทคนิคการใช้ Cloudflare เป็นที่พักมัลแวร์เป็นแนวโน้มที่น่ากังวล เพราะหลายองค์กรในไทยไม่ได้บล็อกทราฟฟิกจากผู้ให้บริการคลาวด์รายใหญ่ ทำให้มัลแวร์ที่พักบนแพลตฟอร์มเหล่านี้มีโอกาสหลุดผ่านระบบกรองได้สูง

คำแนะนำ

  • ตรวจสอบ outbound connections ไปยังบริการ cloud storage อย่างละเอียด ไม่ควรเชื่อถือทราฟฟิกเพียงเพราะมาจากผู้ให้บริการคลาวด์ชื่อดัง
  • ใช้ behavioral analytics และตรวจ outbound ไปยัง Cloudflare Workers/R2 ที่ผิดปกติ
  • บล็อกหรือจำกัดการอัปโหลดไฟล์ไปยัง cloud storage จาก endpoint ที่ไม่จำเป็น
  • แยก segment สำหรับระบบที่เก็บข้อมูลนโยบาย/ความมั่นคง

แหล่งอ้างอิง