สรุปสั้น

หน่วยงานบังคับใช้กฎหมายนานาชาติจากเนเธอร์แลนด์ (NHCTU) แคนาดา (RCMP) สหรัฐฯ (FBI) และเยอรมนี (BKA) ร่วมมือในปฏิบัติการ Operation Endgame โดยการสนับสนุนของ Europol และ Eurojust ทำความสะอาดมัลแวร์ SocGholish จากเว็บไซต์ WordPress ที่ถูกโจมตี 14,971 แห่ง และปิด server กับ domain กว่า 106 รายการที่เชื่อมโยงกับกลุ่มอาชญากรไซเบอร์รัสเซีย Evil Corp มัลแวร์ SocGholish (หรือที่รู้จักในชื่อ FakeUpdates และ GhoLoader) เป็น JavaScript-based malware downloader ที่ถูกใช้ในการโจมตีตั้งแต่ปี 2560 โดยยึดเว็บไซต์ที่ถูกกฎหมายแล้วหลอกผู้เยี่ยมชมให้ดาวน์โหลด payload อันตรายที่ปลอมเป็นอัปเดตเบราว์เซอร์

นาย Maikel Rollman จากหน่วย National High Tech Crime Unit ของเนเธอร์แลนด์ ระบุว่าปฏิบัติการนี้ตัดการเข้าถึงระบบคอมพิวเตอร์ที่ติดมัลแวร์จากอาชญากรไซเบอร์ ป้องกันความเสียหายเพิ่มเติมต่อระบบดิจิทัลของประชาชน ธุรกิจ และองค์กรทั่วโลก รวมถึงลดความเสี่ยงที่ระบบเหล่านี้จะถูกใช้โจมตีโครงสร้างพื้นฐานสำคัญ และย้ำว่า “นี่เป็นเพียงจุดเริ่มต้นของปฏิบัติการต่อ SocGholish” ก่อนหน้านี้ Operation Endgame เคยปิด server ของ Rhadamanthys, VenomRAT, Elysium botnet กว่า 1,000 เครื่อง และทลายโครงสร้างพื้นฐานของ ransomware, DanaBot, IcedID, Pikabot, Trickbot, Smokeloader, Bumblebee และ SystemBC

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 18 มิถุนายน พ.ศ. 2569 ว่าหน่วยงานบังคับใช้กฎหมายนานาชาติร่วมมือในปฏิบัติการ Operation Endgame ทำความสะอาดมัลแวร์ SocGholish จากเว็บไซต์ WordPress ที่ถูกโจมตีเกือบ 15,000 แห่ง และปิด server กับ domain กว่า 100 รายการที่เชื่อมโยงกับ SocGholish botnet และกลุ่มอาชญากรไซเบอร์รัสเซีย Evil Corp ปฏิบัติการนี้ได้รับการสนับสนุนจาก Europol และ Eurojust โดยมีหน่วยงานจาก 4 ประเทศร่วมมือกัน ได้แก่ NHCTU (เนเธอร์แลนด์) RCMP (แคนาดา) FBI (สหรัฐฯ) และ BKA (เยอรมนี)

ตำรวจเนเธอร์แลนด์เป็นผู้ลบมัลแวร์และ backdoor ออกจากเว็บไซต์ที่ติดมัลแวร์ทั้งหมด 14,971 แห่ง พร้อมทั้งแนะนำเจ้าของเว็บไซต์ให้เปลี่ยน credential, เปิดใช้ multi-factor authentication, ลบบัญชี WordPress ที่ไม่รู้จัก และอัปเดต WordPress ให้เป็นเวอร์ชันล่าสุด นาย Maikel Rollman ระบุว่าปฏิบัติการนี้ตัดการเข้าถึงระบบที่ติดมัลแวร์จากอาชญากรไซเบอร์ ป้องกันความเสียหายเพิ่มเติมและลดความเสี่ยงที่ระบบเหล่านี้จะถูกใช้โจมตีโครงสร้างพื้นฐานสำคัญ ก่อนหน้านี้ในเดือนพฤศจิกายน 2568 Operation Endgame เคยปิด server ของ Rhadamanthys, VenomRAT และ Elysium botnet กว่า 1,000 เครื่อง รวมถึงทลายโครงสร้างพื้นฐานของ ransomware, เว็บไซต์ AVCheck, DanaBot, IcedID, Pikabot, Trickbot, Smokeloader, Bumblebee และ SystemBC

วิธีการโจมตี

SocGholish เป็น JavaScript-based malware downloader ที่ถูกใช้ในการโจมตีตั้งแต่ปี 2560 โดยยึดเว็บไซต์ที่ถูกกฎหมาย ส่วนใหญ่เป็น WordPress แล้วฝัง JavaScript อันตรายที่แสดงหน้าอัปเดตเบราว์เซอร์ปลอมเมื่อผู้เยี่ยมชมเข้าถึง เมื่อผู้ใช้ติดตั้งอัปเดตปลอม มัลแวร์จะเปิดการเชื่อมต่อไปยังเซิร์ฟเวอร์ของผู้โจมตี ทำให้ผู้โจมตีเข้าถึงระบบที่ติดมัลแวร์ได้ SocGholish ยังถูกใช้เป็นช่องทางแพร่กระจายมัลแวร์ตระกูลอื่น ได้แก่ Dridex, DoppelPaymer, Empire, Koadic, Chtonic และ Azorult

การที่ SocGholish มุ่งเป้า WordPress เป็นหลักทำให้มีผลกระทบกว้างขวาง เพราะ WordPress เป็น CMS ที่ใช้งานมากที่สุดในโลก เว็บไซต์ที่ถูกยึดมักไม่ทราบว่าตนเองถูกโจมตี เพราะมัลแวร์ทำงานในฝั่งผู้เยี่ยมชมเท่านั้น ทำให้เว็บไซต์ที่ถูกกฎหมายกลายเป็นช่องทางแพร่กระจายมัลแวร์โดยไม่รู้ตัว

ผลกระทบต่อไทย

WordPress เป็น CMS ที่ใช้งานอย่างแพร่หลายในไทย ทั้งเว็บไซต์องค์กร ร้านค้าออนไลน์ สื่อ และหน่วยงานรัฐ หากเว็บไซต์ WordPress ของไทยถูกฝัง SocGholish ผู้เยี่ยมชมเว็บไซต์จะเสี่ยงต่อการดาวน์โหลดมัลแวร์โดยไม่รู้ตัว แม้ปฏิบัติการนี้จะทำความสะอาดไปเกือบ 15,000 เว็บไซต์แล้ว แต่นาย Rollman ย้ำว่านี่เป็นเพียงจุดเริ่มต้น หมายความว่ายังมีเว็บไซต์อีกจำนวนมากที่อาจยังติดมัลแวร์อยู่ ผู้ดูแลเว็บไซต์ WordPress ในไทยควรตรวจสอบระบบของตนเองโดยเร็ว

คำแนะนำ

ผู้ดูแลเว็บไซต์ WordPress ควรตรวจสอบไฟล์ JavaScript ที่ผิดปกติในเว็บไซต์ เปลี่ยน credential ทั้งหมด เปิดใช้ multi-factor authentication ลบบัญชี WordPress ที่ไม่รู้จัก และอัปเดต WordPress core, theme และ plugin ให้เป็นเวอร์ชันล่าสุด ควรใช้ web application firewall และ security plugin เช่น Wordfence หรือ Sucuri เพื่อตรวจจับและป้องกันการฝังโค้ดอันตราย ผู้ใช้ทั่วไปควรระวังหน้าอัปเดตเบราว์เซอร์ที่แสดงบนเว็บไซต์ทั่วไป เพราะเบราว์เซอร์จริงจะอัปเดตผ่านการตั้งค่าภายในตัวเองเท่านั้น ไม่ผ่านหน้าเว็บ

แหล่งอ้างอิง