สรุปสั้น
เซิร์ฟเวอร์ SharePoint แบบ on-premises ที่ไม่ได้รับการแพตช์ได้กลายเป็นเป้าหมายอันดับต้น ๆ ของกลุ่มผู้โจมตีที่มีความเชี่ยวชาญสูง ซึ่งใช้ช่องโหว่ที่เปิดเผยต่อสาธารณะแล้วเจาะเข้าระบบ ฝัง ransomware และทิ้ง backdoor ซ่อนไว้ภายในเครือข่าย การโจมตีเหล่านี้ไม่ใช่ปฏิบัติการฉวยโอกาสแบบเข้าทำลายเร็ว ๆ แต่เป็นแคมเปญหลายขั้นตอนที่วางแผนมาอย่างรอบคอบ ออกแบบให้ฝังตัวอยู่ในเครือข่ายให้นานที่สุดเท่าที่จะทำได้ โดยมักไม่กระตุ้นการแจ้งเตือนใด ๆ กลุ่มภัยคุกคามที่อยู่เบื้องหลังการโจมตีหลักถูกติดตามในชื่อ Storm-2603 ซึ่งเล็งเป้าเซิร์ฟเวอร์ SharePoint ที่มีช่องโหว่มาอย่างต่อเนื่องตั้งแต่กลางปี 2025 เป็นอย่างน้อย โดยใช้ช่องโหว่ CVE-2025-49706 และ CVE-2025-49704 เพื่อยึดจุดเริ่มต้น และยังพบร่องรอยการตรวจสอบช่องโหว่ CVE-2025-11371 ซึ่งเป็น unauthenticated local file inclusion ที่เปิดทางให้เข้าถึงไฟล์ระบบสำคัญ
นักวิเคราะห์จากทีม Microsoft Detection and Response Team หรือ DART ระบุขอบเขตทั้งหมดของการโจมตีหลังการสืบสวนอย่างละเอียด โดยพบว่าเหตุการณ์นี้มีความซับซ้อนเกินกว่าการติดตั้ง ransomware มาตรฐานทั่วไป เพราะมีกลุ่มผู้โจมตีถึง 2 กลุ่มที่แตกต่างกันปฏิบัติการอยู่ในสภาพแวดล้อมเดียวกันในเวลาเดียวกันเป๊ะ สิ่งที่ทำให้กรณีนี้ยากต่อการคลี่คลายเป็นพิเศษคือทั้งสองกลุ่มทำงานคู่ขนานกัน ไม่ใช่เรียงตามลำดับ ทำให้กิจกรรมของแต่ละกลุ่มบดบังกันและกัน เป็นเรื่องยากอย่างยิ่งที่ฝ่ายป้องกันจะมองเห็นภาพรวมทั้งหมด เหตุการณ์นี้เป็นส่วนหนึ่งของ Microsoft Cyberattack Series ฉบับที่ 9 และสะท้อนแนวโน้มที่เพิ่มขึ้นว่าเหตุการณ์ ransomware เป็นเพียงชั้นที่มองเห็นได้ของการบุกรุกที่ซับซ้อนกว่ามาก
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 24 มิถุนายน 2569 ว่า ทีม Microsoft DART ได้เปิดเผยผลการสืบสวนการโจมตีเซิร์ฟเวอร์ SharePoint on-premises ที่ไม่ได้รับการแพตช์ ซึ่งกลายเป็นเป้าหมายของกลุ่มภัยคุกคามที่มีความซับซ้อนสูง เมื่อเจาะเข้าเครือข่ายได้แล้ว กลุ่ม Storm-2603 ไม่รีรอที่จะตั้งฐานสำหรับการฝังตัวระยะยาว โดยติดตั้งเครื่องมือ Velociraptor ซึ่งเป็นเครื่องมือ forensic ที่ถูกกฎหมาย แล้วรันด้วยสิทธิ์ระบบสูงสุดเพื่อสำรวจสภาพแวดล้อมและเก็บข้อมูล จากนั้นสร้างช่องทางการเข้าถึงจากระยะไกลหลายช่องทางด้วย Cloudflare tunnels, Zoho Assist สำหรับการจัดการระยะไกล และ Visual Studio Code เพื่อสร้างการเชื่อมต่อ command-and-control แบบ SSH
เพื่อให้แน่ใจว่าจะไม่ถูกกำจัดได้ง่าย ผู้โจมตีได้สร้างบัญชี local และ domain administrator ใหม่ เพื่อให้ตัวเองมีสิทธิ์เข้าถึงเครือข่ายอย่างถาวร พวกเขายังโหลดไดรเวอร์ที่มีช่องโหว่ชื่อ NSecKrnl.sys เพื่อให้ได้สิทธิ์ระดับ kernel ที่ลึก ทำให้สามารถแก้ไขหน่วยความจำระบบและปิดเครื่องมือป้องกัน endpoint ได้ เทคนิคนี้เรียกว่า Bring Your Own Vulnerable Driver หรือ BYOVD ซึ่งเป็นวิธีโปรดในการปิดซอฟต์แวร์ความปลอดภัยโดยไม่กระตุ้นการแจ้งเตือนที่ชัดเจน ขณะเดียวกันยังมีกลุ่มผู้โจมตีที่สองที่ไม่ทราบชื่อปรากฏตัวอยู่ด้วย ซึ่งถูกระบุผ่านการ sideload DLL ที่เป็นอันตรายและ backdoor ที่ไม่ตรงกับวิธีการที่รู้จักของ Storm-2603 โดยกลุ่มนี้ได้ขโมยไฟล์ NTDS.dit ซึ่งเก็บ credential ของ Active Directory ทั้งหมด ด้วยการสร้างไฟล์บีบอัดชื่อ NTDS.zip บนอุปกรณ์สองเครื่องแยกกัน แล้วเคลื่อนตัวด้านข้างระหว่างอุปกรณ์ด้วย WinRM ซึ่งเป็นโปรโตคอลจัดการระยะไกลของ Windows ที่ถูกกฎหมาย
รายละเอียดช่องโหว่
ช่องโหว่หลักที่ถูกใช้ในการโจมตีคือ CVE-2025-49706 และ CVE-2025-49704 ซึ่งเป็นช่องโหว่ใน Microsoft SharePoint ที่เปิดเผยต่อสาธารณะแล้ว ใช้สำหรับการเข้าถึงเริ่มต้น (initial access) นอกจากนี้นักวิจัยยังพบกิจกรรมการตรวจสอบที่เชื่อมโยงกับ CVE-2025-11371 ซึ่งเป็นช่องโหว่ unauthenticated local file inclusion ที่เปิดทางให้ผู้โจมตีเข้าถึงไฟล์ระบบสำคัญ เช่น win.ini และ web.config และเจาะลึกเข้าไปในสภาพแวดล้อมของเหยื่อมากขึ้น เฉพาะการเชื่อมโยงข้อมูลข้าม identity, endpoint และกิจกรรมบนคลาวด์เท่านั้นที่นักสืบสวนจึงสามารถปะติดปะต่อ attack chain ทั้งหมดได้สำเร็จ จุดที่อันตรายเป็นพิเศษคือการใช้เทคนิค BYOVD ผ่านไดรเวอร์ NSecKrnl.sys เพื่อปิดระบบป้องกัน และการ sideload DLL ที่เป็นอันตรายอย่าง ulib.dll และ srvcli.dll เพื่อหลบเลี่ยงการตรวจจับ
ผลกระทบต่อไทย
องค์กรในประเทศไทยจำนวนมากยังคงใช้ Microsoft SharePoint Server แบบ on-premises เป็นระบบจัดการเอกสารและการทำงานร่วมกันภายในองค์กร โดยเฉพาะหน่วยงานราชการ สถาบันการเงิน และองค์กรขนาดใหญ่ที่มีนโยบายเก็บข้อมูลไว้ในระบบของตนเอง เซิร์ฟเวอร์ที่ไม่ได้รับการแพตช์อย่างทันท่วงทีจึงตกเป็นเป้าหมายโดยตรงของแคมเปญลักษณะนี้ ความเสี่ยงสำคัญคือการที่ผู้โจมตีสามารถขโมยไฟล์ NTDS.dit ซึ่งเก็บ credential ของผู้ใช้ทั้งโดเมน หากถูกขโมยไปได้จะเท่ากับการสูญเสียการควบคุม Active Directory ทั้งระบบ ทีมความมั่นคงปลอดภัยของไทยจึงควรตรวจสอบเซิร์ฟเวอร์ SharePoint ที่เปิดสู่อินเทอร์เน็ตเป็นการเร่งด่วน และเฝ้าระวังกิจกรรมการสร้างบัญชีผู้ดูแลใหม่หรือการใช้เครื่องมือ remote access ที่ผิดปกติ
คำแนะนำ
ทีม DART ให้คำแนะนำชัดเจนสำหรับองค์กรที่ต้องการเสริมความแข็งแกร่งของการป้องกัน โดยการแพตช์ระบบที่เปิดสู่อินเทอร์เน็ต โดยเฉพาะเซิร์ฟเวอร์ SharePoint ควรถือเป็นเรื่องเร่งด่วนอันดับแรก นอกเหนือจากการแพตช์ องค์กรควรปฏิบัติต่อบัญชีที่มีสิทธิ์สูงในฐานะพื้นผิวการโจมตีหลัก บังคับใช้การควบคุม identity อย่างเข้มงวด และเฝ้าระวังกิจกรรมการ sign-in ที่ผิดปกติอย่างใกล้ชิด การติดตั้งระบบป้องกัน endpoint บนทุกอุปกรณ์ การเก็บ telemetry ไว้ในจุดศูนย์กลาง และการตรวจสอบเครื่องมือ remote access อย่างสม่ำเสมอ ก็เป็นขั้นตอนสำคัญเช่นกัน ที่สำคัญแผนรับมือเหตุการณ์ (incident response plan) ควรถูกพัฒนาและทดสอบอย่างครบถ้วนก่อนการโจมตีจะเกิดขึ้น ไม่ใช่มาเร่งทำกลางวิกฤต
Indicators of Compromise (IoCs)
| ประเภท | Indicator | คำอธิบาย |
|---|---|---|
| Vulnerability | CVE-2025-49706 | ช่องโหว่ SharePoint ที่ Storm-2603 ใช้เข้าถึงเริ่มต้น |
| Vulnerability | CVE-2025-49704 | ช่องโหว่ SharePoint ที่ Storm-2603 ใช้เข้าถึงเริ่มต้น |
| Vulnerability | CVE-2025-11371 | ช่องโหว่ unauthenticated local file inclusion ใช้เข้าถึงไฟล์ระบบสำคัญ |
| File Name | NSecKrnl.sys | ไดรเวอร์ที่มีช่องโหว่ โหลดเพื่อใช้ BYOVD เข้าถึง kernel และปิดระบบป้องกัน |
| File Name | ulib.dll | DLL อันตรายใช้ sideload ผ่าน replace.exe บน Device A |
| File Name | srvcli.dll | DLL อันตรายไม่ได้เซ็น ทิ้งไว้ที่ %LOCALAPPDATA%\Temp และ C:\Users\Public\Documents |
| File Name | NTDS.zip | ไฟล์บีบอัดที่กลุ่มไม่ทราบชื่อสร้างขึ้น บรรจุ NTDS.dit ที่ขโมยมา |
| File Name | NTDS.dit | ฐานข้อมูล credential ของ Active Directory ที่เป็นเป้าหมายการขโมย |
| File Name | win.ini | ไฟล์ที่ถูกร้องขอระหว่างขั้นตอน reconnaissance/probing |
| File Name | web.config | ไฟล์ที่ถูกร้องขอระหว่าง probing บ่งชี้การทดสอบ local file inclusion |
หมายเหตุ: IP address และโดเมนถูก defang โดยเจตนา (เช่น [.]) เพื่อป้องกันการ resolve หรือสร้างไฮเปอร์ลิงก์โดยไม่ตั้งใจ ให้ re-fang เฉพาะในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM ขององค์กรเท่านั้น
