สรุปสั้น

บริษัท Microsoft ร่วมกับ Europol และพันธมิตรนานาชาติได้ทลายโครงสร้างพื้นฐานที่ใช้โดยปฏิบัติการมัลแวร์ Amadey และ StealC ในฐานะส่วนหนึ่งของ Operation Endgame ซึ่งเป็นปฏิบัติการที่มุ่งเป้าบริการอาชญากรรมไซเบอร์และกลุ่มแรนซัมแวร์ การปฏิบัติการบังคับใช้กฎหมายครั้งนี้มีหน่วยงานและพันธมิตรภาคเอกชนจากหลายประเทศเข้าร่วม ช่วยกันระบุและทลาย ยึด บล็อก หรือ sinkhole โครงสร้างพื้นฐานที่ผูกกับตระกูลมัลแวร์ทั้งสอง ตามข้อมูลของ Europol ปฏิบัติการนี้นำไปสู่การทลาย 326 เซิร์ฟเวอร์และ 142 โดเมน อีกทั้งผู้สืบสวนยังระบุคริปโตเคอร์เรนซีมูลค่ากว่า 41 ล้านยูโร (ราว 47 ล้านดอลลาร์สหรัฐ) ที่เชื่อมโยงกับกิจกรรมอาชญากรรม และกู้คืนข้อมูลรับรองที่ถูกขโมยได้ราว 27 ล้านรายการจากระบบที่ถูกบุกรุกกว่า 385,000 เครื่อง โดย Europol ระบุว่า “ด้วยการทลายเครื่องมือเหล่านี้พร้อมกัน ความร่วมมือระหว่างหน่วยงานบังคับใช้กฎหมายและภาคเอกชนได้เพิ่มแรงเสียดทานให้อาชญากรไซเบอร์ ทำให้การโจมตีประสบความสำเร็จ แพร่กระจาย หรือฟื้นตัวได้ยากขึ้น” ปฏิบัติการครั้งนี้ยังมุ่งเป้า SocGholish (FakeUpdates) ซึ่งเป็น malware loader ที่ติดเชื้อเหยื่อผ่านเว็บไซต์ที่ถูกบุกรุกซึ่งแสดงข้อความหลอกให้อัปเดตเบราว์เซอร์อีกด้วย

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 24 มิถุนายน พ.ศ. 2569 ว่า บริษัท Microsoft, Europol และพันธมิตรนานาชาติได้ร่วมกันทลายโครงสร้างพื้นฐานของมัลแวร์ Amadey และ StealC ในเฟสล่าสุดของ Operation Endgame โดยปฏิบัติการครั้งนี้รวมหน่วยงานบังคับใช้กฎหมายจากแคนาดา เดนมาร์ก เยอรมนี เนเธอร์แลนด์ สหราชอาณาจักร และสหรัฐอเมริกา โดยมี Europol และ Eurojust เป็นผู้ประสานงาน

การสนับสนุนจากภาคเอกชนมาจากบริษัท Microsoft, ESET, Proofpoint, IBM X-Force, Bitsight, Infoblox, Orange Cyberdefense, Shadowserver, Have I Been Pwned, Spamhaus และอื่น ๆ ตามที่ Europol ระบุ ปฏิบัติการนี้มุ่งเน้นการทลายโครงสร้างพื้นฐานอาชญากรรมไซเบอร์ที่ผู้โจมตีใช้เพื่อเข้าถึงระบบในเบื้องต้น ขโมยข้อมูลรับรอง และท้ายที่สุดติดตั้งแรนซัมแวร์หรือก่ออาชญากรรมทางการเงิน

มัลแวร์ Amadey และ StealC ถูกขายให้อาชญากรไซเบอร์ผ่านปฏิบัติการแบบ malware-as-a-service ที่ affiliate จ่ายเงินเพื่อเข้าถึงตัวสร้างมัลแวร์ แผงควบคุม การสนับสนุน และโครงสร้างพื้นฐาน โดยอาชญากรใช้ Amadey เพื่อยึดจุดยืนเริ่มต้นบนอุปกรณ์เหยื่อแล้วติดตั้งมัลแวร์เพิ่มเติม ส่วน StealC ใช้ขโมยข้อมูลรับรอง กระเป๋าคริปโต และข้อมูลอ่อนไหวอื่น ๆ ที่สามารถนำไปขายหรือใช้ประโยชน์ในการโจมตีแรนซัมแวร์ในภายหลัง

รายละเอียดปฏิบัติการ

Amadey เป็นบอตเน็ตมัลแวร์ที่ถูกใช้ทั้งโดยกลุ่มแรนซัมแวร์และกลุ่มแฮ็กเกอร์ที่รัฐหนุนหลังเพื่อเจาะเครือข่าย ขณะที่เมื่อไม่นานมานี้ StealC ถูกใช้อย่างแพร่หลายในการโจมตีแบบ ClickFix หลากหลายรูปแบบ เช่นวิดีโอสอนปลอมบน TikTok และการโจมตีแบบ FileFix ในการดำเนินคดีแพ่งที่บริษัท Microsoft ยื่นในสหรัฐ หน่วยอาชญากรรมดิจิทัล (Digital Crimes Unit) ของ Microsoft ระบุว่าได้ค้นพบโดเมนและที่อยู่ IP สั่งการและควบคุม (C2) ที่มุ่งร้ายกว่า 200 รายการซึ่งเชื่อมโยงกับ Amadey และ StealC และทำงานร่วมกับพันธมิตรเพื่อปิดโครงสร้างพื้นฐานผ่านคำสั่งศาล การยึดโดเมน การจดทะเบียน และการแจ้งผู้ให้บริการ

ตามคำฟ้องของ Microsoft ข้อมูลรับรองที่ถูกขโมยผ่าน StealC มักถูกขายในตลาดมืดและผ่านนายหน้าการเข้าถึงเบื้องต้น (initial-access brokers หรือ IAB) ก่อนถูกนำไปใช้โดยผู้โจมตีรายอื่นเพื่อเจาะเครือข่าย ขโมยข้อมูล และติดตั้งแรนซัมแวร์ บริษัทระบุว่ามัลแวร์ทั้งสองตระกูลเชื่อมโยงกับอุปกรณ์ที่ติดเชื้อมากกว่า 140,000 เครื่องในช่วงสองสัปดาห์แรกของเดือนพฤษภาคม พ.ศ. 2569 เพียงช่วงเดียว ด้านบริษัท ESET ระบุว่าได้ช่วยปฏิบัติการด้วยการระบุและทลายโครงสร้างพื้นฐานของมัลแวร์ทั้งสองตระกูล โดยรายงานว่าปฏิบัติการกระทบโดเมนราว 50 รายการและเซิร์ฟเวอร์ C2 ที่ใช้งานอยู่เกือบ 200 เครื่อง ขณะที่ Proofpoint และ IBM X-Force ก็มีส่วนสนับสนุนข่าวกรองและการวิเคราะห์มัลแวร์ ส่วนบริษัท Bitsight ช่วยระบุและวิเคราะห์โครงสร้างพื้นฐานที่เกี่ยวข้อง ช่วยให้ผู้สืบสวนทำแผนที่เซิร์ฟเวอร์และโครงสร้าง C2 ที่ผู้โจมตีใช้ ทั้งนี้การทลายครั้งนี้เป็นเฟสล่าสุดของ Operation Endgame ซึ่งก่อนหน้านี้เคยทลายตระกูลมัลแวร์อื่น เช่น DanaBot, Bumblebee, Rhadamanthys, VenomRAT, Elysium และ SmokeLoader มาแล้ว อย่างไรก็ตาม หากไม่มีการจับกุมเกิดขึ้น ผู้โจมตีมักจะสร้างโครงสร้างพื้นฐานขึ้นใหม่เพื่อเปิดการโจมตีรอบใหม่ได้

ผลกระทบต่อไทย

แม้ Operation Endgame จะนำโดยหน่วยงานในยุโรปและอเมริกาเหนือ แต่มัลแวร์ Amadey และ StealC เป็นเครื่องมือที่อาชญากรไซเบอร์ใช้โจมตีเหยื่อทั่วโลกรวมถึงประเทศไทย โดยเฉพาะ StealC ที่ถูกใช้อย่างแพร่หลายในแคมเปญ ClickFix และ FileFix ซึ่งเป็นเทคนิคที่พบการโจมตีผู้ใช้ในไทยอย่างต่อเนื่อง ข้อมูลรับรองที่ถูกขโมยจากเครื่องในไทยอาจเป็นส่วนหนึ่งของ 27 ล้านรายการที่ถูกกู้คืน องค์กรและผู้ใช้ไทยควรถือโอกาสนี้ตรวจสอบว่าข้อมูลรับรองของตนรั่วไหลหรือไม่ผ่านบริการอย่าง Have I Been Pwned และเปลี่ยนรหัสผ่านที่อาจถูกขโมย ขณะเดียวกันต้องตระหนักว่าการทลายครั้งนี้ไม่ได้หมายความว่าภัยจะหมดไป เพราะหากไม่มีการจับกุมตัวผู้กระทำผิด กลุ่มอาชญากรมักกลับมาตั้งโครงสร้างใหม่ได้

คำแนะนำ

ผู้ใช้และองค์กรในไทยควรตรวจสอบว่าอีเมลหรือข้อมูลรับรองของตนปรากฏในข้อมูลที่รั่วไหลหรือไม่ และเปลี่ยนรหัสผ่านทันทีหากสงสัยว่าถูกขโมย พร้อมเปิดใช้การยืนยันตัวตนหลายปัจจัย (MFA) ในทุกบัญชีสำคัญ ควรระมัดระวังการโจมตีแบบ ClickFix และ FakeUpdates โดยไม่คัดลอกคำสั่งไปวางใน Run/PowerShell ตามที่หน้าเว็บแนะนำ และไม่กดอัปเดตเบราว์เซอร์ผ่านป็อปอัปบนเว็บไซต์ ทีมความปลอดภัยควรตรวจสอบ log หาการเชื่อมต่อกับโดเมน C2 ที่เกี่ยวข้องกับ Amadey/StealC ติดตั้ง EDR ที่ตรวจจับพฤติกรรม infostealer และฝึกอบรมพนักงานให้รู้เท่าทันเทคนิควิศวกรรมสังคมรูปแบบใหม่

แหล่งอ้างอิง