สรุปสั้น
VerdantBamboo เป็นกลุ่ม APT ที่เชื่อมโยงกับรัฐบาลจีน ยังติดตามในชื่อ WARP PANDA และ UNC5221 มุ่งเป้าโจมตีอุปกรณ์ edge ที่ไม่สามารถติดตั้ง endpoint security ได้ตามปกติ เช่น storage appliance, NAS และ firewall บริษัท Volexity เพิ่งเปิดเผยการบุกรุกที่ซ่อนตัวอยู่ในเครือข่ายองค์กรแห่งหนึ่งนานกว่า 18 เดือน โดยใช้มัลแวร์หลักชื่อ BRICKSTORM และมัลแวร์สำรอง PLENET กับ AGENTPSD ที่ไม่เคยถูกบันทึกมาก่อน
ที่น่ากังวลเป็นพิเศษคือเมื่อถูกขับออก กลุ่มนี้กลับเข้ามาใหม่ผ่านช่องทางที่ต่างออกไปทันที — ใช้ credential ที่ขโมยมาเพื่อล็อกอินเข้า firewall โดยตรงและฝัง backdoor ใหม่บน Synology NAS แสดงถึงความสามารถในการปรับตัวสูง ยังไม่มีแพตช์แก้ไขทั่วไป ต้องอาศัยการตรวจสอบ network traffic และ file integrity
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 5 มิถุนายน พ.ศ. 2569 ว่า Volexity บริษัท threat intelligence และ incident response ได้เผยแพร่รายงานเรื่อง VerdantBamboo ที่บุกรุกเครือข่ายองค์กรนานกว่า 18 เดือนโดยไม่ถูกตรวจพบ จุดเริ่มต้นของการค้นพบคือการตรวจพบ network traffic ผิดปกติจาก virtual machine ที่ใช้ Linux บนเครือข่ายลูกค้า อุปกรณ์ดังกล่าวคือ Egnyte Storage Sync appliance ที่ออกแบบมาเพื่อ sync ไฟล์ขึ้นคลาวด์ แต่แทนที่จะเชื่อมต่อกับ Egnyte จริง กลับส่งข้อมูลออกไปยังโดเมนที่ผู้โจมตีควบคุม โดยซ่อนตัวหลัง Cloudflare IP และใช้ DNS-over-HTTPS ผ่าน Google 8.8.8.8 เพื่อหลบเลี่ยงการตรวจจับ การสืบสวนพบว่า VerdantBamboo ไม่ได้โจมตีเฉพาะองค์กรเป้าหมายโดยตรง แต่ยังบุกรุก Managed Services Provider (MSP) ของเหยื่อก่อน เพื่อขโมย credential และข้อมูล infrastructure ที่เปิดทางเข้าโดยข้ามการควบคุมความปลอดภัยมาตรฐาน

รายละเอียดช่องโหว่
BRICKSTORM คือมัลแวร์หลักของ VerdantBamboo เขียนด้วยภาษา Go และมีสถาปัตยกรรม modular ที่ช่วยให้ปรับแต่งการโจมตีสำหรับอุปกรณ์แต่ละประเภทได้ บน Egnyte appliance มัลแวร์ถูกวางไว้ใน /usr/sbin/ และใช้ sudo rule ที่ตั้งค่าผิดพลาดเพื่อยกระดับสิทธิ์ บน pfSense firewall ของ MSP พบ BRICKSTORM เวอร์ชัน FreeBSD ที่ obfuscate ด้วย gobfuscate และตั้งให้รันอัตโนมัติผ่านไฟล์ cron ที่แก้ไขแล้ว มัลแวร์สำรอง PLENET เป็น cross-platform backdoor ที่ compile จาก .NET Core ด้วย Native AOT เพื่อให้วิเคราะห์ยากขึ้น ส่วน AGENTPSD คือ Python reverse shell น้ำหนักเบาที่ใช้เป็น fallback หาก BRICKSTORM หยุดทำงาน เมื่อ Volexity พัฒนา fingerprint query บน Censys เพื่อติดตาม C2 server ของกลุ่มนี้ เซิร์ฟเวอร์ทั้งหมดก็ปิดตัวลงภายในไม่กี่วัน แสดงว่ากลุ่มนี้ตรวจพบการถูกสังเกตการณ์ได้
ผลกระทบต่อไทย
VerdantBamboo มุ่งเป้าองค์กรในภาคพลังงาน เทคโนโลยี และภาครัฐ ซึ่งล้วนเป็นเป้าหมายที่มีอยู่ในประเทศไทยและภูมิภาคอาเซียน อุปกรณ์ที่ถูกใช้เป็นจุดเจาะ เช่น pfSense firewall, Synology NAS และ storage appliance ต่างๆ เป็นที่นิยมในองค์กรขนาดกลางและ SME ของไทย เนื่องจากราคาประหยัดและติดตั้งง่าย อุปกรณ์เหล่านี้มักไม่ถูกตรวจสอบเหมือนเซิร์ฟเวอร์หลัก และหลายองค์กรยังคงเปิด port ให้เข้าถึงได้จากอินเทอร์เน็ตโดยตรง นอกจากนี้การโจมตีผ่าน MSP ก็เป็นภัยคุกคามที่ตรงกับบริบทไทย เนื่องจากองค์กรขนาดกลางจำนวนมากพึ่งพา MSP ในการดูแลระบบ IT
คำแนะนำ
ห้ามเปิด management interface ของ firewall, NAS และ appliance ให้เข้าถึงได้จากอินเทอร์เน็ตโดยตรงโดยเด็ดขาด ต้องใช้ VPN หรือ Zero Trust access เท่านั้น ตรวจสอบ sudo rule บนอุปกรณ์ Linux ทั้งหมดว่าไม่มี permission chain ที่ไม่ตั้งใจ สำหรับอุปกรณ์ที่ติดตั้ง EDR ไม่ได้ ควรใช้ network traffic monitoring เพื่อตรวจจับการสื่อสารผิดปกติ ตรวจสอบ cron file และ startup script ของอุปกรณ์ทุกตัวเป็นประจำ ตรวจสอบว่าช่องโหว่บน Egnyte Storage Sync (แพตช์แล้วใน v13.13) ได้รับการอัปเดตแล้ว และอัปเดต pfSense รวมถึง Synology DSM ให้เป็นเวอร์ชันล่าสุด
IoCs
| ประเภท | ค่า | คำอธิบาย |
|---|---|---|
| File Name | egnyte_host_monitor_client | AGENTPSD malware binary (ELF, 6.4MB) |
| SHA256 | ee41e06ed96182ce80cd4544a6abd5d7719c4a5c0e5ddb266a83842d39b99b0a | AGENTPSD sample |
| File Name | luserput | BRICKSTORM บน Egnyte Storage Sync (ELF, 5.6MB) |
| SHA256 | 40d264cf9c73923932c3dfd52d20f46ff602be3fea8dc6ecc71aca46e6067bf5 | BRICKSTORM (Egnyte) sample |
| File Name | blacklist | BRICKSTORM FreeBSD บน pfSense (ELF, 5.6MB) |
| SHA256 | f70abe93112637d3ec2f6c5e058ccac0307ebf63e496f38588cbfc17a8f8a264 | BRICKSTORM (pfSense) sample |
| File Name | ovs-dbctl | PLENET malware บน Synology NAS (ELF, 2.5MB) |
| SHA256 | eb141a43958802727a6c813452450c10b92704bea4474ee5fd87c0a1be326e2e | PLENET sample |
| IP Address | 8.8.8.8 | Google DNS ที่ BRICKSTORM ใช้สำหรับ DNS-over-HTTPS C2 resolution |
| Censys Query | banner_hash_sha256: e28a96f983b8605decd2ac1db16ebad5fa741a6aa4e585a38ade0e5ad7d6cec0 | Fingerprint ใช้ค้นหา BRICKSTORM C2 servers |
