สรุปสั้น

นักวิจัยจากบริษัท ReliaQuest เปิดเผยกลุ่มภัยคุกคามใหม่ที่ไม่เคยมีรายงานมาก่อน ใช้ชื่อว่า OP-512 ซึ่งเชื่อมโยงกับจีนด้วยระดับความเชื่อมั่นปานกลางถึงสูง กลุ่มนี้มุ่งเป้าโจมตีเซิร์ฟเวอร์ Microsoft Internet Information Services (IIS) เพื่อฝัง web shell framework แบบสั่งทำพิเศษ 3 ตัว ใช้ในการจารกรรมข้อมูลองค์กร OP-512 เป็นกลุ่มที่ 4 ที่เชื่อมโยงจีนซึ่งโจมตี IIS ในรอบ 12 เดือนที่ผ่านมา ต่อจาก CL-STA-0048, DragonRank และ GhostRedirector ความแตกต่างสำคัญคือกลุ่มนี้ใช้เครื่องมือที่สร้างขึ้นเฉพาะ ไม่ใช่เครื่องมือสำเร็จรูปที่ใช้ซ้ำข้ามแคมเปญ ทำให้ระบบตรวจจับแบบเดิมที่ปรับจูนไว้สำหรับกลุ่มอื่นไม่สามารถจับได้

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 5 มิถุนายน พ.ศ. 2569 ว่า ReliaQuest ค้นพบกลุ่มภัยคุกคามใหม่ชื่อ OP-512 (OP ย่อมาจาก “opponent”) ที่มุ่งโจมตีเซิร์ฟเวอร์ IIS ของ Microsoft เพื่อวางระบบ web shell framework สำหรับจารกรรมข้อมูล กลุ่มนี้โจมตีองค์กรที่ภาคส่วนและภูมิศาสตร์สอดคล้องกับลำดับความสำคัญด้านข่าวกรองของจีน แม้จะยังไม่พบความเชื่อมโยงที่ชัดเจนกับกลุ่ม APT จีนที่รู้จัก แต่มีความใกล้เคียงทางยุทธวิธีกับ CL-STA-0048

ในเหตุการณ์ที่สังเกตพบ ผู้โจมตีเจาะเซิร์ฟเวอร์ IIS รุ่นเก่าที่ใช้ Windows Server 2016 กับ .NET Framework 4.0 ที่หมดอายุสนับสนุน มีหลักฐานว่ามีกิจกรรมก่อนหน้าบนเครื่องเดียวกันราว 75 วันก่อนเหตุการณ์หลัก โดยพบ DNS query ไปยังโดเมนของผู้โจมตี

รายละเอียดช่องโหว่

Web shell framework ของ OP-512 ประกอบด้วย web shell 3 ตัวที่ทำงานร่วมกัน ให้ผู้โจมตีสามารถจัดการไฟล์ สั่งรันคำสั่งผ่าน 2 ช่องทางอิสระ และมีระบบรายงานตำแหน่ง web shell กลับไปยังผู้โจมตีโดยอัตโนมัติผ่าน DNS query หรือ HTTP request

เทคนิคสำคัญที่ใช้คือ timestomping โดยสแกนไฟล์และโฟลเดอร์ย่อยรอบตำแหน่งที่วาง web shell คำนวณค่ามัธยฐานของ timestamp แล้วเขียนทับเวลาสร้างและแก้ไขของ web shell ให้ตรงกับค่านั้น ทำให้ดูเหมือนว่าไฟล์อยู่มานานแล้ว แต่ละ deployment ถูกสร้างขึ้นใหม่เฉพาะ และการเข้าถึงถูกจำกัดด้วยการควบคุมแบบ cryptographic

หลังวาง web shell สำเร็จ OP-512 ใช้ Potato Suite เพื่อยกระดับสิทธิ์เป็น SYSTEM จากนั้นรันคำสั่ง “whoami /priv” เพื่อยืนยันสิทธิ์

ผลกระทบต่อไทย

หน่วยงานราชการและองค์กรขนาดใหญ่ในไทยจำนวนมากยังคงใช้เซิร์ฟเวอร์ IIS สำหรับเว็บแอปพลิเคชันภายใน โดยเฉพาะระบบที่พัฒนาบน .NET Framework เก่า การที่ภูมิภาคเอเชียตะวันออกเฉียงใต้เป็นเป้าหมายหลักของกลุ่ม APT ที่เชื่อมโยงจีนหลายกลุ่ม ทำให้องค์กรไทยที่ใช้ IIS บน Windows Server รุ่นเก่าและ .NET Framework ที่หมดอายุสนับสนุนมีความเสี่ยงสูง เทคนิค timestomping ทำให้การตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลยากขึ้นมาก

คำแนะนำ

  • อัปเกรด Windows Server และ .NET Framework ให้เป็นเวอร์ชันที่ยังได้รับการสนับสนุน หยุดใช้ระบบที่หมด end-of-life
  • ตรวจสอบเซิร์ฟเวอร์ IIS ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต ค้นหา web shell ที่ผิดปกติในไดเรกทอรีอัปโหลด
  • เฝ้าระวัง DNS query ที่ผิดปกติออกจากเซิร์ฟเวอร์ IIS ซึ่งอาจเป็นสัญญาณของ self-reporting mechanism
  • ใช้ระบบตรวจจับที่วิเคราะห์พฤติกรรม ไม่พึ่งพา signature เพียงอย่างเดียว เนื่องจาก OP-512 สร้างเครื่องมือเฉพาะทุกครั้ง
  • ตรวจสอบความสมบูรณ์ของ timestamp ไฟล์บนเซิร์ฟเวอร์ เปรียบเทียบกับ MFT record เพื่อตรวจจับ timestomping

แหล่งอ้างอิง