สรุปสั้น
กลุ่มภัยคุกคามจากจีนที่ถูกติดตามในชื่อ UNC6508 บุกรุกเซิร์ฟเวอร์ REDCap ของสถาบันวิจัยทางการแพทย์ในอเมริกาเหนือ โดยฝังมัลแวร์ชื่อ InfiniteRed ที่พัฒนาขึ้นมาโดยเฉพาะสำหรับระบบ REDCap ซึ่งเป็นแพลตฟอร์มที่ใช้กันอย่างแพร่หลายในงานวิจัยทางการแพทย์และวิทยาศาสตร์ การโจมตีเริ่มขึ้นตั้งแต่เดือนกันยายน 2023 และดำเนินต่อเนื่องนานกว่า 1 ปีจนถึงพฤศจิกายน 2025 โดยไม่ถูกตรวจพบ ผู้โจมตีใช้เทคนิคใหม่ที่ไม่เคยพบในกลุ่มจารกรรมจีนมาก่อน คือการใช้ฟีเจอร์ content compliance ของเครื่องมือองค์กรบนคลาวด์เพื่อส่งข้อมูลออกผ่านอีเมลอัตโนมัติ
บริษัท Google Threat Intelligence Group (GTIG) ซึ่งเป็นผู้ค้นพบแคมเปญนี้ได้แจ้งเตือนหลายองค์กรในสหรัฐฯ และแคนาดาที่ถูกแฮ็กด้วยมัลแวร์ InfiniteRed โดยเป้าหมายครอบคลุมงานวิจัยหลากหลายสาขาตั้งแต่การค้นพบสารออกฤทธิ์ระดับโมเลกุล การทดลองยาทางคลินิก ไปจนถึงนโยบายสาธารณสุขและความพร้อมทางทหาร
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 15 มิถุนายน พ.ศ. 2569 ว่านักวิจัยจาก Google Threat Intelligence Group (GTIG) ค้นพบแคมเปญจารกรรมไซเบอร์ของกลุ่มภัยคุกคามจีน UNC6508 ที่โจมตีเซิร์ฟเวอร์ REDCap เวอร์ชันเก่าที่มีช่องโหว่ แม้จะไม่สามารถระบุช่องทางการบุกรุกเริ่มต้นได้อย่างแน่ชัด แต่พบว่าผู้โจมตีสำรวจ (probe) เซิร์ฟเวอร์ REDCap ที่เปิดเผยต่ออินเทอร์เน็ตและใช้เวอร์ชันที่ล้าสมัย
หลังจากเข้าถึงระบบได้ประมาณ 3 เดือน ผู้โจมตีติดตั้งมัลแวร์ InfiniteRed ซึ่งประกอบด้วย 3 โมดูล ได้แก่ โมดูลรักษาการเข้าถึง (persistence/update) โมดูลขโมย credential และแบ็กดอร์ โดยซ่อนส่วนประกอบไว้โดยการ trojanize ไฟล์ระบบของเซิร์ฟเวอร์ โมดูลขโมย credential จะดักจับชื่อผู้ใช้และรหัสผ่านจากหน้าล็อกอิน REDCap แล้วเข้ารหัสเก็บในตาราง database ของ REDCap เอง ส่วนแบ็กดอร์รับคำสั่งผ่าน HTTP cookie ทำให้ผู้โจมตีสามารถรันคำสั่ง shell อัปโหลด/ดาวน์โหลดไฟล์ รัน SQL query ดึง credential ที่ขโมยไว้ และเรียกดูข้อมูลระบบได้
เทคนิคที่โดดเด่นที่สุดในแคมเปญนี้คือการใช้ฟีเจอร์ content compliance rules ที่มีอยู่ในเครื่องมือองค์กรบนคลาวด์เพื่อส่งข้อมูลออก หลังได้สิทธิ์ผู้ดูแลระบบ UNC6508 สร้างกฎชื่อ “Patroit” ที่สแกนข้อมูลในองค์กรตามคำสำคัญที่เกี่ยวกับงานวิจัยทางการแพทย์ เทคโนโลยีขั้นสูง หัวข้อทางทหาร และนโยบายภูมิรัฐศาสตร์ เมื่อพบข้อมูลที่ตรงกันจะส่งสำเนาลับ (BCC) ไปยังอีเมล Gmail ที่ควบคุมโดยผู้โจมตีโดยอัตโนมัติ ด้านความปลอดภัยในการปฏิบัติการ (OPSEC) กลุ่มนี้ใช้โครงสร้างพื้นฐาน residential proxy ในสหรัฐฯ เราเตอร์ที่ถูกแฮ็ก VPS และโครงสร้างพื้นฐานเฉพาะสำหรับส่งข้อมูลออก

วิธีการโจมตี
มัลแวร์ InfiniteRed ออกแบบมาเฉพาะสำหรับระบบ REDCap โดยมี 3 ส่วนประกอบหลักทำงานร่วมกัน ส่วนแรกคือโมดูล persistence ที่ฝังตัวในไฟล์ระบบของ REDCap ทำให้ยากต่อการตรวจจับและสามารถอัปเดตตัวเองได้ ส่วนที่สองคือ credential harvester ที่ดักจับข้อมูลล็อกอินจากหน้าเว็บ REDCap โดยเข้ารหัสและเก็บไว้ในตาราง database ของ REDCap เอง ทำให้การตรวจสอบจากภายนอกเป็นเรื่องยาก
ส่วนที่สามคือแบ็กดอร์ที่ใช้ HTTP cookie เป็นช่องทางรับคำสั่ง ซึ่งเป็นเทคนิคที่หลบเลี่ยงการตรวจจับได้ดี เนื่องจาก cookie เป็นส่วนหนึ่งของ traffic ปกติ ความสามารถของแบ็กดอร์ครอบคลุมตั้งแต่การรันคำสั่ง shell การจัดการไฟล์ การรัน SQL query ไปจนถึงการลบร่องรอย credential ที่ขโมยไว้
สิ่งที่ถือเป็นเทคนิคใหม่สำหรับกลุ่มจารกรรมจีนคือการใช้ content compliance rules เป็นช่องทางส่งข้อมูลออก (exfiltration) โดยกฎที่ตั้งไว้จะทำงานอัตโนมัติและส่งข้อมูลที่ตรงเงื่อนไขผ่านอีเมล BCC ไปยังบัญชีที่ควบคุมโดยผู้โจมตี วิธีนี้แทบไม่ทิ้งร่องรอยในระบบ เพราะใช้ฟีเจอร์ที่มีอยู่แล้วในระบบ (living off the land)
ผลกระทบต่อไทย
แพลตฟอร์ม REDCap ถูกใช้อย่างแพร่หลายในสถาบันวิจัยทางการแพทย์ทั่วโลก รวมถึงโรงพยาบาลและมหาวิทยาลัยในประเทศไทยที่มีงานวิจัยทางคลินิก สถาบันที่ใช้ REDCap เวอร์ชันเก่าหรือเปิดเผยต่ออินเทอร์เน็ตอาจตกเป็นเป้าหมายของแคมเปญเดียวกัน นอกจากนี้ข้อมูลวิจัยทางการแพทย์ของไทย โดยเฉพาะที่เกี่ยวข้องกับโรคเขตร้อนและสมุนไพร ถือเป็นเป้าหมายที่มีมูลค่าสูงสำหรับกลุ่มจารกรรมทางเศรษฐกิจ องค์กรวิจัยไทยควรตรวจสอบเวอร์ชัน REDCap ที่ใช้งานอยู่โดยเร่งด่วน
คำแนะนำ
- อัปเกรด REDCap เป็นเวอร์ชันล่าสุดทันทีและลบ deployment เก่าที่ไม่ใช้งาน
- เปิดใช้ MFA/2SV สำหรับบัญชีที่มีสิทธิ์สูงทุกบัญชี
- ใช้ Device Bound Session Credentials (DBSC) เพื่อป้องกันการขโมย session
- ตรวจสอบ content compliance rules ที่มีอยู่ในระบบว่ามีกฎแปลกปลอมหรือไม่
- สแกนระบบด้วย YARA rules และ IoCs ที่ Google เผยแพร่ในรายงาน
- ตรวจสอบ traffic ขาออกที่ผิดปกติ โดยเฉพาะอีเมล BCC ไปยังบัญชีภายนอก
