สรุปสั้น

VerdantBamboo เป็นกลุ่ม APT ที่เชื่อมโยงกับรัฐบาลจีน ยังติดตามในชื่อ WARP PANDA และ UNC5221 มุ่งเป้าโจมตีอุปกรณ์ edge ที่ไม่สามารถติดตั้ง endpoint security ได้ตามปกติ เช่น storage appliance, NAS และ firewall บริษัท Volexity เพิ่งเปิดเผยการบุกรุกที่ซ่อนตัวอยู่ในเครือข่ายองค์กรแห่งหนึ่งนานกว่า 18 เดือน โดยใช้มัลแวร์หลักชื่อ BRICKSTORM และมัลแวร์สำรอง PLENET กับ AGENTPSD ที่ไม่เคยถูกบันทึกมาก่อน

ที่น่ากังวลเป็นพิเศษคือเมื่อถูกขับออก กลุ่มนี้กลับเข้ามาใหม่ผ่านช่องทางที่ต่างออกไปทันที — ใช้ credential ที่ขโมยมาเพื่อล็อกอินเข้า firewall โดยตรงและฝัง backdoor ใหม่บน Synology NAS แสดงถึงความสามารถในการปรับตัวสูง ยังไม่มีแพตช์แก้ไขทั่วไป ต้องอาศัยการตรวจสอบ network traffic และ file integrity

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 5 มิถุนายน พ.ศ. 2569 ว่า Volexity บริษัท threat intelligence และ incident response ได้เผยแพร่รายงานเรื่อง VerdantBamboo ที่บุกรุกเครือข่ายองค์กรนานกว่า 18 เดือนโดยไม่ถูกตรวจพบ จุดเริ่มต้นของการค้นพบคือการตรวจพบ network traffic ผิดปกติจาก virtual machine ที่ใช้ Linux บนเครือข่ายลูกค้า อุปกรณ์ดังกล่าวคือ Egnyte Storage Sync appliance ที่ออกแบบมาเพื่อ sync ไฟล์ขึ้นคลาวด์ แต่แทนที่จะเชื่อมต่อกับ Egnyte จริง กลับส่งข้อมูลออกไปยังโดเมนที่ผู้โจมตีควบคุม โดยซ่อนตัวหลัง Cloudflare IP และใช้ DNS-over-HTTPS ผ่าน Google 8.8.8.8 เพื่อหลบเลี่ยงการตรวจจับ การสืบสวนพบว่า VerdantBamboo ไม่ได้โจมตีเฉพาะองค์กรเป้าหมายโดยตรง แต่ยังบุกรุก Managed Services Provider (MSP) ของเหยื่อก่อน เพื่อขโมย credential และข้อมูล infrastructure ที่เปิดทางเข้าโดยข้ามการควบคุมความปลอดภัยมาตรฐาน

VerdantBamboo APT BRICKSTORM malware firewall NAS

รายละเอียดช่องโหว่

BRICKSTORM คือมัลแวร์หลักของ VerdantBamboo เขียนด้วยภาษา Go และมีสถาปัตยกรรม modular ที่ช่วยให้ปรับแต่งการโจมตีสำหรับอุปกรณ์แต่ละประเภทได้ บน Egnyte appliance มัลแวร์ถูกวางไว้ใน /usr/sbin/ และใช้ sudo rule ที่ตั้งค่าผิดพลาดเพื่อยกระดับสิทธิ์ บน pfSense firewall ของ MSP พบ BRICKSTORM เวอร์ชัน FreeBSD ที่ obfuscate ด้วย gobfuscate และตั้งให้รันอัตโนมัติผ่านไฟล์ cron ที่แก้ไขแล้ว มัลแวร์สำรอง PLENET เป็น cross-platform backdoor ที่ compile จาก .NET Core ด้วย Native AOT เพื่อให้วิเคราะห์ยากขึ้น ส่วน AGENTPSD คือ Python reverse shell น้ำหนักเบาที่ใช้เป็น fallback หาก BRICKSTORM หยุดทำงาน เมื่อ Volexity พัฒนา fingerprint query บน Censys เพื่อติดตาม C2 server ของกลุ่มนี้ เซิร์ฟเวอร์ทั้งหมดก็ปิดตัวลงภายในไม่กี่วัน แสดงว่ากลุ่มนี้ตรวจพบการถูกสังเกตการณ์ได้

ผลกระทบต่อไทย

VerdantBamboo มุ่งเป้าองค์กรในภาคพลังงาน เทคโนโลยี และภาครัฐ ซึ่งล้วนเป็นเป้าหมายที่มีอยู่ในประเทศไทยและภูมิภาคอาเซียน อุปกรณ์ที่ถูกใช้เป็นจุดเจาะ เช่น pfSense firewall, Synology NAS และ storage appliance ต่างๆ เป็นที่นิยมในองค์กรขนาดกลางและ SME ของไทย เนื่องจากราคาประหยัดและติดตั้งง่าย อุปกรณ์เหล่านี้มักไม่ถูกตรวจสอบเหมือนเซิร์ฟเวอร์หลัก และหลายองค์กรยังคงเปิด port ให้เข้าถึงได้จากอินเทอร์เน็ตโดยตรง นอกจากนี้การโจมตีผ่าน MSP ก็เป็นภัยคุกคามที่ตรงกับบริบทไทย เนื่องจากองค์กรขนาดกลางจำนวนมากพึ่งพา MSP ในการดูแลระบบ IT

คำแนะนำ

ห้ามเปิด management interface ของ firewall, NAS และ appliance ให้เข้าถึงได้จากอินเทอร์เน็ตโดยตรงโดยเด็ดขาด ต้องใช้ VPN หรือ Zero Trust access เท่านั้น ตรวจสอบ sudo rule บนอุปกรณ์ Linux ทั้งหมดว่าไม่มี permission chain ที่ไม่ตั้งใจ สำหรับอุปกรณ์ที่ติดตั้ง EDR ไม่ได้ ควรใช้ network traffic monitoring เพื่อตรวจจับการสื่อสารผิดปกติ ตรวจสอบ cron file และ startup script ของอุปกรณ์ทุกตัวเป็นประจำ ตรวจสอบว่าช่องโหว่บน Egnyte Storage Sync (แพตช์แล้วใน v13.13) ได้รับการอัปเดตแล้ว และอัปเดต pfSense รวมถึง Synology DSM ให้เป็นเวอร์ชันล่าสุด

IoCs

ประเภทค่าคำอธิบาย
File Nameegnyte_host_monitor_clientAGENTPSD malware binary (ELF, 6.4MB)
SHA256ee41e06ed96182ce80cd4544a6abd5d7719c4a5c0e5ddb266a83842d39b99b0aAGENTPSD sample
File NameluserputBRICKSTORM บน Egnyte Storage Sync (ELF, 5.6MB)
SHA25640d264cf9c73923932c3dfd52d20f46ff602be3fea8dc6ecc71aca46e6067bf5BRICKSTORM (Egnyte) sample
File NameblacklistBRICKSTORM FreeBSD บน pfSense (ELF, 5.6MB)
SHA256f70abe93112637d3ec2f6c5e058ccac0307ebf63e496f38588cbfc17a8f8a264BRICKSTORM (pfSense) sample
File Nameovs-dbctlPLENET malware บน Synology NAS (ELF, 2.5MB)
SHA256eb141a43958802727a6c813452450c10b92704bea4474ee5fd87c0a1be326e2ePLENET sample
IP Address8.8.8.8Google DNS ที่ BRICKSTORM ใช้สำหรับ DNS-over-HTTPS C2 resolution
Censys Querybanner_hash_sha256: e28a96f983b8605decd2ac1db16ebad5fa741a6aa4e585a38ade0e5ad7d6cec0Fingerprint ใช้ค้นหา BRICKSTORM C2 servers

แหล่งอ้างอิง