สรุปสั้น

initial access broker หรือ IAB ที่เชื่อมโยงกับ ransomware หลายตระกูลกำลังใช้ remote access trojan ตัวใหม่ในการโจมตีช่วงล่าสุด ตามรายงานของทีม threat hunter จาก Symantec และ Carbon Black ของบริษัท Broadcom กลุ่มผู้โจมตีรายนี้ถูกติดตามในชื่อ Woodgnat และ KongTuke เคลื่อนไหวมาตั้งแต่เดือนพฤษภาคม 2024 เป็นอย่างน้อย และเป็นที่ทราบกันว่ามีความเชื่อมโยงกับกลุ่ม ransomware อย่าง Qilin, Interlock, Rhysida, Akira, 8Base และ Black Basta โดยเริ่มตั้งแต่เดือนเมษายน 2026 Woodgnat ได้นำ RAT ตัวใหม่ชื่อ Backdoor.Mistic มาใช้โจมตีเครือข่ายขององค์กรในหลายอุตสาหกรรม ทั้งการศึกษา ประกันภัย ไอที และบริการวิชาชีพ ก่อนหน้านี้กลุ่มดังกล่าวเคยถูกพบว่าใช้มัลแวร์ ModeloRAT ในการโจมตีองค์กรอื่น ๆ

นักวิจัยของ Broadcom ระบุว่า การเลือกเป้าหมายดูเหมือนจะเป็นแบบฉวยโอกาส โดยผู้โจมตีหว่านแหกว้างแล้วค่อยประเมินว่าจะขายสิทธิ์เข้าถึงองค์กรใดได้บ้าง แทนที่จะจดจ่อกับภาคส่วนใดภาคส่วนหนึ่ง มัลแวร์ Mistic ซึ่งยังถูกติดตามในชื่อ MLTBackdoor มอบความสามารถพื้นฐานให้ผู้โจมตี ทั้งการดาวน์โหลดและอัปโหลดไฟล์ การจัดการไฟล์ การสร้างโฟลเดอร์ และการรันโค้ด ผู้โจมตียังสามารถปรับความถี่ในการที่มัลแวร์ตรวจสอบคำสั่งใหม่ และสั่งให้มันยุติการทำงานตัวเองได้ Woodgnat นำ backdoor นี้มาใช้ในรูปแบบ DLL แล้วรันผ่านการ sideloading ในการโจมตีครั้งล่าสุด กลุ่มนี้ยังติดตั้ง credential stealer ควบคู่ไปกับ Mistic ด้วย

รายละเอียดข่าว

เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 24 มิถุนายน 2569 ว่า ทีม threat hunter ของบริษัท Broadcom ภายใต้แบรนด์ Symantec และ Carbon Black ได้เปิดเผยการค้นพบ RAT ตัวใหม่ชื่อ Backdoor.Mistic ที่ถูกใช้โดย initial access broker ชื่อ Woodgnat ซึ่งเป็นตัวกลางขายสิทธิ์เข้าถึงเครือข่ายให้กับกลุ่ม ransomware รายใหญ่หลายกลุ่ม เครื่องมือเพิ่มเติมที่พบในการบุกรุกครั้งนี้ ได้แก่ Curl, Reg.exe, Net (net.exe), PowerShell, Certutil และ WMIC (Windows Management Instrumentation) ซึ่งถูกใช้สำหรับการขโมยข้อมูล การจัดการ registry การจัดการทรัพยากรเครือข่าย การรันคำสั่ง การสำรวจระบบ การเคลื่อนตัวด้านข้าง การดาวน์โหลดไฟล์ และการติดตั้ง browser certificate

IAB รายนี้เป็นที่รู้จักในการกระจายมัลแวร์ผ่านเว็บไซต์ WordPress ที่ถูกเจาะ และอาศัยเทคนิค social engineering เพื่อล่อให้ผู้ใช้รันคำสั่งที่ผู้โจมตีจัดเตรียมไว้ รวมถึงเทคนิค ClickFix, FileFix และ CrashFix นักวิจัยของ Broadcom ระบุว่าในทุกกรณี เหยื่อจะถูกหลอกให้รันคำสั่ง PowerShell ที่ผู้โจมตีจัดเตรียมไว้ในที่สุด แม้การบุกรุกเริ่มต้นอาจเป็นแบบฉวยโอกาส แต่ผู้โจมตีจะทำการ profile เครื่องเพื่อประเมินมูลค่าและความน่าสนใจว่าจะขายสิทธิ์เข้าถึงได้หรือไม่ นอกจากนี้ตั้งแต่เดือนเมษายน 2026 กลุ่มผู้โจมตียังใช้การหลอกลวงในรูปแบบ helpdesk และ IT-support ที่ส่งผ่าน Microsoft Teams เพื่อโน้มน้าวให้เหยื่อรันโค้ดที่เป็นอันตราย

วิธีการโจมตี

Mistic ถูกนำมาใช้ในรูปแบบ DLL และรันผ่านเทคนิค DLL sideloading ซึ่งอาศัยการที่โปรแกรมที่ถูกกฎหมายโหลดไลบรารีที่เป็นอันตรายแทนตัวจริง ทำให้หลบเลี่ยงการตรวจจับได้ดีกว่าการรันไฟล์ปฏิบัติการตรง ๆ จุดเริ่มต้นของการโจมตีอาศัย social engineering เป็นหลัก โดยเทคนิค ClickFix จะหลอกให้เหยื่อคัดลอกและวางคำสั่ง PowerShell ลงในหน้าต่าง Run เองด้วยการอ้างว่าเป็นการแก้ปัญหาหรือยืนยันตัวตน ส่วน FileFix และ CrashFix เป็นรูปแบบต่อยอดที่ใช้กลไกคล้ายกัน เมื่อเหยื่อรันคำสั่งแล้ว มัลแวร์จะถูกติดตั้งและเริ่ม profile เครื่องเพื่อประเมินว่าควรขายสิทธิ์เข้าถึงให้กลุ่ม ransomware ใด การใช้ Microsoft Teams เป็นช่องทางหลอกลวงแบบ helpdesk ถือเป็นแนวโน้มใหม่ที่อันตราย เพราะพนักงานมักไว้วางใจข้อความที่ดูเหมือนมาจากทีมสนับสนุนภายในองค์กร

ผลกระทบต่อไทย

รูปแบบการโจมตีของ Woodgnat ที่ใช้ ClickFix และการหลอกผ่าน Microsoft Teams เป็นภัยที่กระทบองค์กรไทยโดยตรง เนื่องจาก Microsoft Teams เป็นแพลตฟอร์มสื่อสารหลักขององค์กรไทยจำนวนมาก และพนักงานมักไม่ระแวงข้อความที่อ้างว่ามาจากฝ่าย IT support เทคนิค ClickFix ที่หลอกให้ผู้ใช้คัดลอกคำสั่งไปวางเองก็เป็นวิธีที่ข้ามผ่านระบบป้องกันได้ง่าย เพราะอาศัยการกระทำของผู้ใช้แทนการเจาะช่องโหว่ทางเทคนิค ที่น่ากังวลคือ Woodgnat เป็นเพียงตัวกลางที่ขายสิทธิ์เข้าถึงต่อให้กลุ่ม ransomware รายใหญ่อย่าง Qilin, Akira และ Black Basta ดังนั้นการติดมัลแวร์ Mistic เพียงเครื่องเดียวอาจนำไปสู่การถูกเข้ารหัสเรียกค่าไถ่ทั้งองค์กรในเวลาต่อมา องค์กรไทยจึงควรอบรมพนักงานให้รู้เท่าทันการหลอกลวงแบบ ClickFix และเฝ้าระวังการใช้ PowerShell ที่ผิดปกติ

คำแนะนำ

องค์กรควรให้ความรู้แก่พนักงานเกี่ยวกับเทคนิค ClickFix, FileFix และ CrashFix ที่หลอกให้คัดลอกและวางคำสั่งลงในหน้าต่าง Run หรือ Terminal โดยย้ำว่าฝ่าย IT จะไม่ขอให้ผู้ใช้รันคำสั่ง PowerShell ผ่านข้อความแชต ควรเฝ้าระวังและจำกัดการใช้ PowerShell ในเครื่องผู้ใช้ทั่วไป รวมถึงตรวจสอบการเรียกใช้เครื่องมือ living-off-the-land อย่าง Certutil, WMIC, Reg.exe และ Net.exe ที่อาจถูกใช้ในทางมิชอบ ควรจำกัดสิทธิ์การโหลด DLL และเฝ้าระวังพฤติกรรม DLL sideloading รวมทั้งตรวจสอบข้อความที่อ้างว่ามาจาก helpdesk ผ่าน Microsoft Teams อย่างรอบคอบ การมีระบบ EDR ที่ตรวจจับพฤติกรรมและการแบ่งเครือข่าย (network segmentation) จะช่วยจำกัดความเสียหายหากเครื่องใดเครื่องหนึ่งถูกเจาะและถูกขายต่อให้กลุ่ม ransomware

แหล่งอ้างอิง