สรุปสั้น

การค้นหาคำว่า “ManageEngine OpManager” ซึ่งเป็นเครื่องมือตรวจสอบเครือข่ายยอดนิยม บน Bing กลายเป็นจุดเริ่มต้นของการโจมตีด้วยแรนซัมแวร์เต็มรูปแบบ ผู้โจมตีใช้เทคนิค search engine optimization poisoning หรือ SEO poisoning เพื่อดันลิงก์ดาวน์โหลดปลอมขึ้นไปอยู่ในผลการค้นหาของ Bing หลอกให้ผู้ดูแลระบบไอทีติดตั้งมัลแวร์ที่ปลอมตัวเป็นซอฟต์แวร์ถูกต้องตามกฎหมาย เหตุการณ์นี้สะท้อนว่าพฤติกรรมค้นหาข้อมูลตามปกติในชีวิตประจำวันสามารถกลายเป็นประตูตรงสู่การถูกยึดครองเครือข่ายทั้งหมดได้

การโจมตีเริ่มต้นเมื่อผู้ใช้ค้นหา “ManageEngine OpManager” บน Bing แล้วถูกนำไปยังโดเมนปลอมที่เลียนแบบเว็บไซต์จริงแทนที่จะไปถึงเว็บไซต์ต้นฉบับ จากนั้นดาวน์โหลดตัวติดตั้ง MSI ที่ฝัง trojan ไว้ สิ่งที่ตามมาคือการบุกรุกหลายวันที่ดำเนินไปอย่างมีขั้นตอนและจบลงด้วยการปล่อยแรนซัมแวร์ Akira เข้ารหัสทั้งเครือข่ายของเหยื่อ นักวิเคราะห์จาก The DFIR Report ได้บันทึกการบุกรุกครั้งนี้ไว้ในรายงานเทคนิคโดยละเอียดที่เผยแพร่เมื่อวันที่ 29 มิถุนายน 2569 ร่วมกับทีม Swisscom B2B CSIRT ซึ่งระบุว่าผู้โจมตีใช้เครื่องมือหลักสองตัวคือมัลแวร์ BumbleBee และ beacon ของ AdaptixC2 เพื่อคงการเข้าถึงและเคลื่อนที่อย่างอิสระภายในเครือข่ายของเหยื่อ ตลอดกระบวนการผู้โจมตีทำงานอย่างมีระบบ ตั้งแต่สร้างบัญชี admin ปลอม ติดตั้งซอฟต์แวร์ remote access เป็น Windows service ไปจนถึงดึงฐานข้อมูล Active Directory ออกมาและขโมยข้อมูลกว่า 75GB ไปยังเซิร์ฟเวอร์ในประเทศยูเครน โดยทั้งกระบวนการตั้งแต่คลิกแรกจนถึงปล่อยแรนซัมแวร์ใช้เวลาเพียงประมาณ 44 ชั่วโมงเท่านั้น

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 30 มิถุนายน พ.ศ. 2569 ว่า จุดเริ่มต้นของการติดมัลแวร์อยู่ที่โดเมน opmanager[.]pro ซึ่งเป็นโดเมนหลอกลวงที่ขึ้นไปอยู่อันดับต้น ๆ ของผลการค้นหา Bing ผ่านเทคนิค SEO poisoning เว็บไซต์นี้คัดลอกหน้าดาวน์โหลดของ ManageEngine ของจริงมาทั้งหมด แล้วนำผู้เข้าชมไปยังโดเมนปลายทางอีกแห่งคือ download-center[.]online ซึ่งเป็นจุดที่ตัวติดตั้ง MSI อันตรายถูกส่งมอบให้เหยื่อในที่สุด เมื่อไฟล์ ManageEngine-OpManager.msi ถูกรันขึ้นมา มันจะปล่อยไฟล์สามไฟล์ลงในโฟลเดอร์ชั่วคราว ได้แก่ ซอฟต์แวร์ OpManager ของจริงที่ใช้เป็นตัวหลอกล่อ ไฟล์ Windows binary ที่ถูกต้องตามกฎหมายชื่อ consent.exe และตัวโหลดมัลแวร์ BumbleBee ที่ปลอมตัวเป็นไฟล์ msimg32.dll ตัวโหลดนี้อาศัยช่องโหว่ลำดับการค้นหา DLL ของ Windows (DLL search order) เพื่อรันตัวเองอย่างเงียบ ๆ ภายใน process ที่ระบบไว้ใจอยู่แล้ว ทำให้เครื่องมือความปลอดภัยทั่วไปตรวจจับได้ยาก ไฟล์ MSI นี้ยังใช้ใบรับรองลงนามโค้ดที่ถูกเพิกถอนไปแล้วซึ่งออกให้กับชื่อ “LLC Resource+” ซึ่งเป็นผู้ลงนามที่มีประวัติเชื่อมโยงกับมัลแวร์ BumbleBee มาก่อน การเลือกเป้าหมายเป็นตัวติดตั้งของ ManageEngine ไม่ใช่เรื่องบังเอิญ เพราะผู้ดูแลระบบไอทีที่ใช้เครื่องมือประเภทนี้มักถือสิทธิ์ระดับสูงในระบบ ทำให้เป็นเป้าหมายที่มีมูลค่าสูงสำหรับการเข้าถึงเริ่มต้น

หลังจากติดมัลแวร์ประมาณ 5 ชั่วโมง BumbleBee ได้ปล่อยไฟล์ AdgNsy.exe ซึ่งเป็นสำเนาของโปรแกรม Windows Address Book ที่ถูกเปลี่ยนชื่อและฝัง shellcode ของ AdaptixC2 เข้าไป สร้างช่องทาง command-and-control แบบต่อเนื่องไปยัง IP 172.96.137[.]160 จากจุดนี้ผู้โจมตีเริ่มสำรวจเครือข่ายภายในและระบุทรัพยากรสำคัญรวมถึง domain controller บัญชี domain ปลอมสองบัญชีชื่อ backup_DA และ backup_EA ถูกสร้างขึ้น โดย backup_EA ถูกเพิ่มเข้ากลุ่ม Enterprise Admins เพื่อให้มีสิทธิ์ควบคุมทั้ง forest จากนั้นซอฟต์แวร์ remote access ชื่อ RustDesk ถูกติดตั้งเป็น Windows service บนหลายเซิร์ฟเวอร์เพื่อรักษาการเข้าถึงไว้แม้ช่องทางอื่นจะถูกตัดขาด ในวันที่สอง ผู้โจมตีเข้าถึง domain controller ผ่าน RDP และดึงฐานข้อมูล Active Directory จากไฟล์ NTDS.dit ออกมาด้วย wbadmin.exe พร้อมทั้งดึง credential ของ Veeam จากฐานข้อมูล PostgreSQL และดัมพ์หน่วยความจำ LSASS จากหลายเครื่อง ก่อนจะสร้าง reverse SSH tunnel เพื่อส่งทราฟฟิก RDP ผ่านเซิร์ฟเวอร์ภายนอก ซึ่งช่วยเลี่ยงข้อจำกัดของ firewall ได้ทั้งหมด ความเสียหายสุดท้ายรุนแรงมาก โดยแรนซัมแวร์ Akira ที่ถูกวางไว้ในชื่อ locker.exe ใช้ Windows Management Instrumentation ลบ Volume Shadow Copies ก่อนเริ่มเข้ารหัสระบบ และผู้โจมตียังย้อนกลับมาอีกครั้งในอีกสองวันต่อมาเพื่อเข้ารหัส child domain ให้ไม่มีส่วนใดของเครือข่ายเหลือรอด

ค้นหา ManageEngine OpManager บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira
ค้นหา ManageEngine OpManager บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira

รายละเอียดช่องโหว่

เทคนิคหลักที่ใช้ในการโจมตีครั้งนี้คือ SEO poisoning ร่วมกับ DLL side-loading ซึ่งเป็นเทคนิคที่อาศัยการวางไฟล์ DLL อันตรายให้อยู่ในตำแหน่งที่ process ที่ถูกต้องตามกฎหมายจะโหลดขึ้นมาโดยอัตโนมัติตามลำดับการค้นหาไฟล์ของ Windows แทนที่จะโหลด DLL ของจริง ทำให้มัลแวร์รันขึ้นมาได้โดยไม่ต้องอาศัยช่องโหว่ด้านความปลอดภัยใด ๆ ในตัวซอฟต์แวร์เอง เพียงอาศัยความไว้วางใจที่ระบบมีต่อ process ที่ถูกต้องเท่านั้น แคมเปญนี้ยังพบว่ามีการใช้โดเมนหลอกลวงลักษณะเดียวกันในการโจมตีเครื่องมืออื่นด้วย เช่น zenmap[.]pro ที่ปลอมเป็น Zenmap และ ip-scanner[.]org ที่ปลอมเป็น Advanced IP Scanner ซึ่งใช้ในเหตุการณ์ที่ Swisscom เผชิญ รวมถึงโดเมนที่เกี่ยวข้องกับแคมเปญที่เล็งเป้า Ivanti VPN แสดงให้เห็นว่านี่เป็นปฏิบัติการขนาดใหญ่ที่เล็งเป้าเครื่องมือไอทียอดนิยมหลายตัวพร้อมกัน ไม่ใช่การโจมตีเดี่ยว ๆ ครั้งเดียว

ผลกระทบต่อไทย

องค์กรในไทยที่มีผู้ดูแลระบบค้นหาดาวน์โหลดซอฟต์แวร์ไอทีผ่าน search engine ทั่วไปอย่าง Bing หรือ Google มีความเสี่ยงจากเทคนิค SEO poisoning ลักษณะนี้เช่นกัน เนื่องจากผู้ดูแลระบบมักถือสิทธิ์สูงในเครือข่าย การติดมัลแวร์ผ่านช่องทางนี้จึงอาจนำไปสู่การยึดครองทั้งเครือข่ายได้อย่างรวดเร็วเช่นเดียวกับกรณีนี้ที่ใช้เวลาเพียง 44 ชั่วโมง องค์กรที่ใช้ ManageEngine OpManager หรือเครื่องมือไอทีที่มีชื่อคล้ายกันควรตรวจสอบแหล่งดาวน์โหลดของตนให้แน่ใจว่ามาจากเว็บไซต์ทางการเท่านั้น

คำแนะนำ

องค์กรควรกำหนดนโยบายให้ดาวน์โหลดซอฟต์แวร์ไอทีจากเว็บไซต์ทางการที่บันทึกไว้ล่วงหน้าเท่านั้น แทนการค้นหาผ่าน search engine โดยตรงทุกครั้ง และควรเฝ้าระวังผลการค้นหาที่มีการปลอมแปลงเครื่องมือที่องค์กรใช้งานอยู่ ควรบล็อกการรันไฟล์ MSI จากแหล่งที่ไม่น่าเชื่อถือ และบังคับใช้การควบคุมลำดับการโหลด DLL เพื่อป้องกันเทคนิค DLL side-loading ทีมความปลอดภัยควรตั้งการแจ้งเตือนเมื่อมีการสร้างบัญชี domain admin ใหม่ที่ไม่คาดคิด และเฝ้าระวังการติดตั้งซอฟต์แวร์ remote access อย่าง RustDesk ในรูปแบบ Windows service เนื่องจากเป็นวิธีคงการเข้าถึงหลักที่พบในเหตุการณ์นี้ ควรพิจารณา MFA สำหรับการเข้าถึงระบบสำคัญและตรวจสอบ log การใช้งาน wbadmin.exe หรือเครื่องมือดัมพ์ credential เช่น lsassy อย่างสม่ำเสมอ

Indicators of Compromise (IoCs)

ประเภทIndicatorคำอธิบาย
Domainopmanager[.]proโดเมน SEO poisoning ปลอมเป็น ManageEngine OpManager
Domaindownload-center[.]onlineจุดส่งมอบตัวติดตั้ง MSI ปลอม (Wave 2)
Domaindownload-server[.]onlineจุดส่งมอบมัลแวร์ (Wave 1)
Domainsoft-server[.]onlineจุดส่งมอบมัลแวร์ (Wave 1)
Domainzenmap[.]proโดเมน SEO poisoning ปลอมเป็น Zenmap (Wave 1)
Domainip-scanner[.]orgโดเมนปลอมที่ใช้ในเหตุการณ์ Swisscom (ปลอมเป็น Advanced IP Scanner)
Domainnetml[.]shopโดเมนส่งมอบมัลแวร์ในแคมเปญที่เกี่ยวข้อง (เล็งเป้า Ivanti VPN)
Domainshopping5[.]shopโดเมนส่งมอบมัลแวร์ในแคมเปญที่เกี่ยวข้อง (เล็งเป้า Ivanti VPN)
Domainev2sirbd269o5j[.]orgโดเมน C2 ของ BumbleBee ที่สร้างด้วย DGA
Domain2rxyt9urhq0bgj[.]orgโดเมน C2 ของ BumbleBee ที่สร้างด้วย DGA
IP Address188.40.187[.]145IP C2 ของ BumbleBee (พอร์ต 443)
IP Address109.205.195[.]211IP C2 ของ BumbleBee และส่งมอบ payload AdaptixC2 (พอร์ต 443)
IP Address171.22.183[.]43IP C2 ของ BumbleBee
IP Address172.96.137[.]160IP beacon C2 ของ AdaptixC2 (เครื่องเริ่มต้นการบุกรุก)
IP Address170.130.55[.]223IP C2 ของ AdaptixC2 (เหตุการณ์ Swisscom)
IP Address84.32.84[.]32IP Hostinger ที่ใช้ร่วมกันใน Wave 1 และแคมเปญ Ivanti
IP Address4.239.95[.]1IP C2 สำหรับมัลแวร์ขโมย credential ที่เล็งเป้า Ivanti (พอร์ต 8080)
ชื่อไฟล์ManageEngine-OpManager.msiตัวติดตั้ง MSI ปลอม (ตัวโหลด BumbleBee)
ชื่อไฟล์msimg32.dllตัวโหลดขั้นแรกของ BumbleBee (DLL side-loading)
ชื่อไฟล์consent.exeไฟล์ Windows ที่ถูกต้องตามกฎหมาย ถูกใช้เพื่อ DLL side-loading
ชื่อไฟล์AdgNsy.exeสำเนา WAB.exe ที่เปลี่ยนชื่อและฝัง shellcode ของ AdaptixC2
ชื่อไฟล์locker.exeไฟล์ปฏิบัติการแรนซัมแวร์ Akira ที่ใช้ปล่อยการเข้ารหัส
ชื่อไฟล์Advanced-IP-Scanner.msiตัวติดตั้ง MSI ปลอมที่ใช้ในเหตุการณ์ Swisscom
ชื่อไฟล์n.exeไฟล์ SoftPerfect Network Scanner ที่ผู้โจมตีปล่อยไว้
ชื่อไฟล์1.ps1สคริปต์ PowerShell ติดตั้ง Cloudflare tunnel เป็น service (เหตุการณ์ Swisscom)
SSH C245.xxx.xxx[.]150เซิร์ฟเวอร์ C2 ผ่าน reverse SSH tunnel (พอร์ต 22 เปิด RDP ภายในที่พอร์ต 10400)
เครื่องมือlsassyเครื่องมือดัมพ์ credential ที่ใช้ดึงหน่วยความจำ LSASS จากหลายเครื่อง
เครื่องมือFileZillaใช้สำหรับขโมยข้อมูลออกผ่าน SFTP ไปยังเซิร์ฟเวอร์ในยูเครน
เครื่องมือRustDeskเครื่องมือ remote access ที่ติดตั้งเป็น Windows service เพื่อคงการเข้าถึง
บัญชี/Registrybackup_DA / backup_EAบัญชี domain ปลอมที่สร้างขึ้นเพื่อคงการเข้าถึงและยกระดับสิทธิ์

หมายเหตุ: IP address และโดเมนถูก defang โดยเจตนา (เช่น [.]) เพื่อป้องกันการ resolve หรือลิงก์โดยไม่ตั้งใจ ให้ re-fang เฉพาะภายในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM ขององค์กรเท่านั้น

แหล่งอ้างอิง