สรุปสั้น
แคมเปญ FortiBleed ที่เพิ่งถูกค้นพบและมีแรงจูงใจทางการเงิน ได้ถูกเชื่อมโยงเข้ากับปฏิบัติการแรนซัมแวร์ INC และ Lynx ซึ่งบ่งชี้ว่า credential ที่ถูกขโมยและยืนยันแล้วนั้นมีเป้าหมายเพื่อใช้บุกรุกต่อยอด บริษัท SOCRadar ระบุในรายงานฉบับใหม่ว่าพบผู้ปฏิบัติการที่ผูกกับโครงสร้างพื้นฐานของ FortiBleed กำลังทำงานอยู่บนแผงเจรจาค่าไถ่ของทั้งสองกลุ่ม เป็นครั้งแรกที่เชื่อมโยงการขโมย credential ของ FortiGate ในวงกว้างเข้ากับการวางแรนซัมแวร์โดยตรง บริษัทติดตามกิจกรรมการสแกนพอร์ทัล FortiGate ราว 11,250 แห่งในกว่า 150 ประเทศ ตามด้วยการยืนยันการเข้าถึงระดับผู้ดูแล 409 เป้าหมาย และทำห่วงโซ่การโจมตีครบสมบูรณ์บน 354 แห่ง รวมแล้วนำไปสู่การวางแรนซัมแวร์อย่างน้อย 12 ครั้ง ทำให้ endpoint หลายร้อยเครื่องถูกเข้ารหัส
ปฏิบัติการเก็บเกี่ยว credential ขนาดใหญ่นี้ปรากฏขึ้นเมื่อเดือนที่แล้ว โดยแฮ็กเกอร์สแกนอินเทอร์เน็ตหาอุปกรณ์ Fortinet ที่เปิดเผยอย่างเป็นระบบ พยายามเจาะด้วยชุด credential ที่รู้จัก แล้ววาง packet sniffer ที่ปรับแต่งเองเพื่อดักเก็บ credential และข้อมูลยืนยันตัวตนจากทราฟฟิกเครือข่ายแบบเงียบ ๆ ประเมินว่าแคมเปญเล็ง FortiGate firewall ทั่วโลกถึง 430,000 เครื่อง และเก็บ credential ได้กว่า 110 ล้านชุดในกระบวนการ กิจกรรมนี้ถูกเปิดโปงหลังแฮ็กเกอร์พลาดด้าน operational security ทิ้งเซิร์ฟเวอร์ที่บรรจุ credential ที่ขโมยจากอุปกรณ์ Fortinet หลายพันเครื่องเปิดโล่งบนอินเทอร์เน็ต ส่วน Golang sniffer คาดว่าถูกติดตั้งบนอุปกรณ์ Fortinet ราว 12,000 เครื่อง
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 2 กรกฎาคม 2569 อ้างรายงานของบริษัท SOCRadar ว่า พบผู้ปฏิบัติการที่เข้าถึงโครงสร้างพื้นฐาน FortiBleed ล็อกอินเข้าแผงเจรจาของทั้ง INC Ransom และ Lynx โดยเหยื่อที่ INC Ransom ลิสต์ไว้ทับซ้อนกับข้อมูลจากแคมเปญ ความเชื่อมโยงนี้อ้างอิงจากหนึ่งใน 200 เซิร์ฟเวอร์ที่เพิ่งค้นพบใหม่ซึ่งเชื่อมโยงกับโครงสร้างพื้นฐาน FortiBleed ที่เปิดให้เห็นไฟล์ภายใน ล็อก และเอกสารปฏิบัติการ
นาย Ensar Seker ประธานเจ้าหน้าที่ความมั่นคงสารสนเทศของ SOCRadar บอกกับ The Hacker News ว่าเซิร์ฟเวอร์ที่เปิดโล่งนั้นทำหน้าที่เป็นเซิร์ฟเวอร์จัดเตรียมและประสานงานปฏิบัติการ ไม่ได้ใช้ทำฟิชชิงหรือเก็บ credential โดยตรง แต่บรรจุรายการเป้าหมาย ข้อมูลที่เก็บเกี่ยวได้ สคริปต์อัตโนมัติ ไฟล์ตั้งค่า และหลักฐานปฏิบัติการ เครื่องมือ ล็อก และชั่วโมงทำงานบ่งชี้ว่าเป็นฝีมือแฮ็กเกอร์ที่พูดภาษารัสเซียซึ่งน่าจะทำหน้าที่เป็น initial access broker โดยเป้าหมายส่วนใหญ่พุ่งไปที่ภาคการผลิต เทคโนโลยี และโลจิสติกส์ในภูมิภาคละตินอเมริกาและเอเชียแปซิฟิก SOCRadar ยังพบเอกสารภายในที่ชี้ว่าเป็นปฏิบัติการที่จัดตั้งอย่างเป็นระบบ ประกอบด้วยคนราว 20 คนที่มีการแบ่งงานชัดเจน
วิธีการโจมตี
หัวใจของ FortiBleed คือการเก็บเกี่ยว credential แบบพาสซีฟ แฮ็กเกอร์สแกนหา FortiGate ที่เปิดเผยบนอินเทอร์เน็ต เจาะด้วยชุด credential ที่รู้จัก แล้ววาง Golang packet sniffer เพื่อดักฟังทราฟฟิกและเก็บ credential ที่ไหลผ่าน จากนั้นส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ backend ที่ใช้ประสานงาน เมื่อได้ credential ระดับผู้ดูแลที่ยืนยันแล้ว ก็ส่งต่อให้ปฏิบัติการแรนซัมแวร์ INC และ Lynx เข้าไปวางเพย์โหลดเข้ารหัสไฟล์ นอกจากนี้ แฮ็กเกอร์ยังเชื่อว่าครอบครองช่องโหว่ zero-day อย่างน้อยหนึ่งตัวใน Nextcloud ซึ่ง SOCRadar กำลังประสานงานกับผู้ผลิตที่ได้รับผลกระทบ และยังพบหลักฐานที่เกี่ยวกับ Citrix ชี้ว่ากิจกรรมน่าจะขยายไปไกลกว่าอุปกรณ์ Fortinet โดยมีรายการเป้าหมายเฉพาะที่มี IP ราว 29,000 รายการและ 37 โดเมนที่เชื่อมโยงกับสภาพแวดล้อม Citrix บ่งชี้ว่าเวิร์กโฟลว์อัตโนมัตินี้อาจถูกนำไปใช้ซ้ำกับเทคโนโลยี remote access อื่น ควบคู่กันนั้น บริษัท eSentire ยังพบแฮ็กเกอร์ใช้ช่องโหว่ใน Fortinet FortiClient EMS (CVE-2026-35616, CVSS 9.1) วางอินโฟสตีลเลอร์ชื่อ EKZ Stealer เพื่อดูด credential จากเบราว์เซอร์ตระกูล Chromium และ Firefox
ผลกระทบต่อไทย
ประเทศไทยอยู่ในภูมิภาคเอเชียแปซิฟิกซึ่งเป็นหนึ่งในเป้าหมายหลักของแคมเปญนี้ และ FortiGate เป็นไฟร์วอลล์ที่องค์กรไทยจำนวนมากใช้เป็นด่านหน้าป้องกันเครือข่าย โดยเฉพาะภาคการผลิต เทคโนโลยี และโลจิสติกส์ที่ถูกเล็งเป็นพิเศษ หากองค์กรไทยใช้ FortiGate ที่เปิดพอร์ทัลบริหารสู่อินเทอร์เน็ตและใช้ credential เดิมหรือรหัสผ่านที่คาดเดาได้ ก็มีความเสี่ยงสูงที่จะถูกดักเก็บ credential และตกเป็นเหยื่อการวางแรนซัมแวร์ต่อยอด ยิ่งไปกว่านั้น การที่แฮ็กเกอร์เตรียมเป้าหมาย Citrix ไว้แล้ว หมายความว่าองค์กรไทยที่ใช้ Citrix เปิดสู่อินเทอร์เน็ตก็ควรถือเป็นสัญญาณเตือนล่วงหน้าเช่นกัน
คำแนะนำ
องค์กรที่ใช้ FortiGate ควรรีบตรวจสอบล็อกการยืนยันตัวตน หมุนเปลี่ยน credential ที่อาจถูกเปิดเผยทั้งหมด บังคับใช้ MFA และเฝ้าระวังพฤติกรรมการล็อกอินที่ผิดปกติ ควรปิดการเข้าถึงพอร์ทัลบริหารจากอินเทอร์เน็ตหากไม่จำเป็น และอัปเดตอุปกรณ์ Fortinet ให้เป็นเวอร์ชันล่าสุดเพื่อปิดช่องโหว่อย่าง CVE-2026-35616 ใน FortiClient EMS สำหรับองค์กรที่ใช้ Citrix เปิดสู่อินเทอร์เน็ต SOCRadar แนะให้ถือเป็นการเตือนภัยล่วงหน้า ให้ตรวจสอบล็อกการยืนยันตัวตน หมุนเปลี่ยน credential ที่เปิดเผย บังคับ MFA และเฝ้าระวังการล็อกอินที่ผิดปกติเช่นเดียวกัน การตรวจหา packet sniffer แปลกปลอมบนอุปกรณ์เครือข่ายก็เป็นอีกมาตรการที่ควรทำ
