สรุปสั้น

เซิร์ฟเวอร์ SharePoint แบบ on-premises ที่ไม่ได้รับการแพตช์ได้กลายเป็นเป้าหมายอันดับต้น ๆ ของกลุ่มผู้โจมตีที่มีความเชี่ยวชาญสูง ซึ่งใช้ช่องโหว่ที่เปิดเผยต่อสาธารณะแล้วเจาะเข้าระบบ ฝัง ransomware และทิ้ง backdoor ซ่อนไว้ภายในเครือข่าย การโจมตีเหล่านี้ไม่ใช่ปฏิบัติการฉวยโอกาสแบบเข้าทำลายเร็ว ๆ แต่เป็นแคมเปญหลายขั้นตอนที่วางแผนมาอย่างรอบคอบ ออกแบบให้ฝังตัวอยู่ในเครือข่ายให้นานที่สุดเท่าที่จะทำได้ โดยมักไม่กระตุ้นการแจ้งเตือนใด ๆ กลุ่มภัยคุกคามที่อยู่เบื้องหลังการโจมตีหลักถูกติดตามในชื่อ Storm-2603 ซึ่งเล็งเป้าเซิร์ฟเวอร์ SharePoint ที่มีช่องโหว่มาอย่างต่อเนื่องตั้งแต่กลางปี 2025 เป็นอย่างน้อย โดยใช้ช่องโหว่ CVE-2025-49706 และ CVE-2025-49704 เพื่อยึดจุดเริ่มต้น และยังพบร่องรอยการตรวจสอบช่องโหว่ CVE-2025-11371 ซึ่งเป็น unauthenticated local file inclusion ที่เปิดทางให้เข้าถึงไฟล์ระบบสำคัญ

นักวิเคราะห์จากทีม Microsoft Detection and Response Team หรือ DART ระบุขอบเขตทั้งหมดของการโจมตีหลังการสืบสวนอย่างละเอียด โดยพบว่าเหตุการณ์นี้มีความซับซ้อนเกินกว่าการติดตั้ง ransomware มาตรฐานทั่วไป เพราะมีกลุ่มผู้โจมตีถึง 2 กลุ่มที่แตกต่างกันปฏิบัติการอยู่ในสภาพแวดล้อมเดียวกันในเวลาเดียวกันเป๊ะ สิ่งที่ทำให้กรณีนี้ยากต่อการคลี่คลายเป็นพิเศษคือทั้งสองกลุ่มทำงานคู่ขนานกัน ไม่ใช่เรียงตามลำดับ ทำให้กิจกรรมของแต่ละกลุ่มบดบังกันและกัน เป็นเรื่องยากอย่างยิ่งที่ฝ่ายป้องกันจะมองเห็นภาพรวมทั้งหมด เหตุการณ์นี้เป็นส่วนหนึ่งของ Microsoft Cyberattack Series ฉบับที่ 9 และสะท้อนแนวโน้มที่เพิ่มขึ้นว่าเหตุการณ์ ransomware เป็นเพียงชั้นที่มองเห็นได้ของการบุกรุกที่ซับซ้อนกว่ามาก

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 24 มิถุนายน 2569 ว่า ทีม Microsoft DART ได้เปิดเผยผลการสืบสวนการโจมตีเซิร์ฟเวอร์ SharePoint on-premises ที่ไม่ได้รับการแพตช์ ซึ่งกลายเป็นเป้าหมายของกลุ่มภัยคุกคามที่มีความซับซ้อนสูง เมื่อเจาะเข้าเครือข่ายได้แล้ว กลุ่ม Storm-2603 ไม่รีรอที่จะตั้งฐานสำหรับการฝังตัวระยะยาว โดยติดตั้งเครื่องมือ Velociraptor ซึ่งเป็นเครื่องมือ forensic ที่ถูกกฎหมาย แล้วรันด้วยสิทธิ์ระบบสูงสุดเพื่อสำรวจสภาพแวดล้อมและเก็บข้อมูล จากนั้นสร้างช่องทางการเข้าถึงจากระยะไกลหลายช่องทางด้วย Cloudflare tunnels, Zoho Assist สำหรับการจัดการระยะไกล และ Visual Studio Code เพื่อสร้างการเชื่อมต่อ command-and-control แบบ SSH

เพื่อให้แน่ใจว่าจะไม่ถูกกำจัดได้ง่าย ผู้โจมตีได้สร้างบัญชี local และ domain administrator ใหม่ เพื่อให้ตัวเองมีสิทธิ์เข้าถึงเครือข่ายอย่างถาวร พวกเขายังโหลดไดรเวอร์ที่มีช่องโหว่ชื่อ NSecKrnl.sys เพื่อให้ได้สิทธิ์ระดับ kernel ที่ลึก ทำให้สามารถแก้ไขหน่วยความจำระบบและปิดเครื่องมือป้องกัน endpoint ได้ เทคนิคนี้เรียกว่า Bring Your Own Vulnerable Driver หรือ BYOVD ซึ่งเป็นวิธีโปรดในการปิดซอฟต์แวร์ความปลอดภัยโดยไม่กระตุ้นการแจ้งเตือนที่ชัดเจน ขณะเดียวกันยังมีกลุ่มผู้โจมตีที่สองที่ไม่ทราบชื่อปรากฏตัวอยู่ด้วย ซึ่งถูกระบุผ่านการ sideload DLL ที่เป็นอันตรายและ backdoor ที่ไม่ตรงกับวิธีการที่รู้จักของ Storm-2603 โดยกลุ่มนี้ได้ขโมยไฟล์ NTDS.dit ซึ่งเก็บ credential ของ Active Directory ทั้งหมด ด้วยการสร้างไฟล์บีบอัดชื่อ NTDS.zip บนอุปกรณ์สองเครื่องแยกกัน แล้วเคลื่อนตัวด้านข้างระหว่างอุปกรณ์ด้วย WinRM ซึ่งเป็นโปรโตคอลจัดการระยะไกลของ Windows ที่ถูกกฎหมาย

รายละเอียดช่องโหว่

ช่องโหว่หลักที่ถูกใช้ในการโจมตีคือ CVE-2025-49706 และ CVE-2025-49704 ซึ่งเป็นช่องโหว่ใน Microsoft SharePoint ที่เปิดเผยต่อสาธารณะแล้ว ใช้สำหรับการเข้าถึงเริ่มต้น (initial access) นอกจากนี้นักวิจัยยังพบกิจกรรมการตรวจสอบที่เชื่อมโยงกับ CVE-2025-11371 ซึ่งเป็นช่องโหว่ unauthenticated local file inclusion ที่เปิดทางให้ผู้โจมตีเข้าถึงไฟล์ระบบสำคัญ เช่น win.ini และ web.config และเจาะลึกเข้าไปในสภาพแวดล้อมของเหยื่อมากขึ้น เฉพาะการเชื่อมโยงข้อมูลข้าม identity, endpoint และกิจกรรมบนคลาวด์เท่านั้นที่นักสืบสวนจึงสามารถปะติดปะต่อ attack chain ทั้งหมดได้สำเร็จ จุดที่อันตรายเป็นพิเศษคือการใช้เทคนิค BYOVD ผ่านไดรเวอร์ NSecKrnl.sys เพื่อปิดระบบป้องกัน และการ sideload DLL ที่เป็นอันตรายอย่าง ulib.dll และ srvcli.dll เพื่อหลบเลี่ยงการตรวจจับ

ผลกระทบต่อไทย

องค์กรในประเทศไทยจำนวนมากยังคงใช้ Microsoft SharePoint Server แบบ on-premises เป็นระบบจัดการเอกสารและการทำงานร่วมกันภายในองค์กร โดยเฉพาะหน่วยงานราชการ สถาบันการเงิน และองค์กรขนาดใหญ่ที่มีนโยบายเก็บข้อมูลไว้ในระบบของตนเอง เซิร์ฟเวอร์ที่ไม่ได้รับการแพตช์อย่างทันท่วงทีจึงตกเป็นเป้าหมายโดยตรงของแคมเปญลักษณะนี้ ความเสี่ยงสำคัญคือการที่ผู้โจมตีสามารถขโมยไฟล์ NTDS.dit ซึ่งเก็บ credential ของผู้ใช้ทั้งโดเมน หากถูกขโมยไปได้จะเท่ากับการสูญเสียการควบคุม Active Directory ทั้งระบบ ทีมความมั่นคงปลอดภัยของไทยจึงควรตรวจสอบเซิร์ฟเวอร์ SharePoint ที่เปิดสู่อินเทอร์เน็ตเป็นการเร่งด่วน และเฝ้าระวังกิจกรรมการสร้างบัญชีผู้ดูแลใหม่หรือการใช้เครื่องมือ remote access ที่ผิดปกติ

คำแนะนำ

ทีม DART ให้คำแนะนำชัดเจนสำหรับองค์กรที่ต้องการเสริมความแข็งแกร่งของการป้องกัน โดยการแพตช์ระบบที่เปิดสู่อินเทอร์เน็ต โดยเฉพาะเซิร์ฟเวอร์ SharePoint ควรถือเป็นเรื่องเร่งด่วนอันดับแรก นอกเหนือจากการแพตช์ องค์กรควรปฏิบัติต่อบัญชีที่มีสิทธิ์สูงในฐานะพื้นผิวการโจมตีหลัก บังคับใช้การควบคุม identity อย่างเข้มงวด และเฝ้าระวังกิจกรรมการ sign-in ที่ผิดปกติอย่างใกล้ชิด การติดตั้งระบบป้องกัน endpoint บนทุกอุปกรณ์ การเก็บ telemetry ไว้ในจุดศูนย์กลาง และการตรวจสอบเครื่องมือ remote access อย่างสม่ำเสมอ ก็เป็นขั้นตอนสำคัญเช่นกัน ที่สำคัญแผนรับมือเหตุการณ์ (incident response plan) ควรถูกพัฒนาและทดสอบอย่างครบถ้วนก่อนการโจมตีจะเกิดขึ้น ไม่ใช่มาเร่งทำกลางวิกฤต

Indicators of Compromise (IoCs)

ประเภทIndicatorคำอธิบาย
VulnerabilityCVE-2025-49706ช่องโหว่ SharePoint ที่ Storm-2603 ใช้เข้าถึงเริ่มต้น
VulnerabilityCVE-2025-49704ช่องโหว่ SharePoint ที่ Storm-2603 ใช้เข้าถึงเริ่มต้น
VulnerabilityCVE-2025-11371ช่องโหว่ unauthenticated local file inclusion ใช้เข้าถึงไฟล์ระบบสำคัญ
File NameNSecKrnl.sysไดรเวอร์ที่มีช่องโหว่ โหลดเพื่อใช้ BYOVD เข้าถึง kernel และปิดระบบป้องกัน
File Nameulib.dllDLL อันตรายใช้ sideload ผ่าน replace.exe บน Device A
File Namesrvcli.dllDLL อันตรายไม่ได้เซ็น ทิ้งไว้ที่ %LOCALAPPDATA%\Temp และ C:\Users\Public\Documents
File NameNTDS.zipไฟล์บีบอัดที่กลุ่มไม่ทราบชื่อสร้างขึ้น บรรจุ NTDS.dit ที่ขโมยมา
File NameNTDS.ditฐานข้อมูล credential ของ Active Directory ที่เป็นเป้าหมายการขโมย
File Namewin.iniไฟล์ที่ถูกร้องขอระหว่างขั้นตอน reconnaissance/probing
File Nameweb.configไฟล์ที่ถูกร้องขอระหว่าง probing บ่งชี้การทดสอบ local file inclusion

หมายเหตุ: IP address และโดเมนถูก defang โดยเจตนา (เช่น [.]) เพื่อป้องกันการ resolve หรือสร้างไฮเปอร์ลิงก์โดยไม่ตั้งใจ ให้ re-fang เฉพาะในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM ขององค์กรเท่านั้น

แหล่งอ้างอิง