สรุปสั้น

บริษัท Proofpoint บริษัทความมั่นคงไซเบอร์ระดับองค์กร เปิดเผยแคมเปญจารกรรมใหม่ของกลุ่มที่คาดว่าเชื่อมโยงกับจีน ซึ่งถูกติดตามในชื่อ UNK_MassTraction โดยกลุ่มนี้มุ่งโจมตีซอฟต์แวร์เว็บเมล Roundcube ที่ใช้งานในภาควิชาฟิสิกส์และวิศวกรรมของมหาวิทยาลัยในสหรัฐฯ และแคนาดา แคมเปญนี้ถูกตรวจพบครั้งแรกเมื่อเดือนพฤษภาคม 2569 โดยพุ่งเป้าไปที่ผู้ดูแลระบบและอาจารย์ในภาควิชาที่มีความเกี่ยวข้องกับความมั่นคงของชาติ หรือหน่วยงานที่ศึกษาด้านฟิสิกส์ดาราศาสตร์และฟิสิกส์อนุภาค

จุดที่น่ากังวลคือกลุ่มนี้ใช้ช่องโหว่ cross-site scripting (XSS) ที่ชื่อ CVE-2024-42009 (คะแนน CVSS 9.3) ซึ่งเหยื่อเพียงแค่เปิดอีเมลในโปรแกรม Roundcube ก็ทำให้ผู้โจมตีเข้าถึงเซิร์ฟเวอร์เมลได้ทันที จากนั้นจะปล่อยมัลแวร์ที่ Proofpoint ตั้งชื่อว่า IceCube เพื่อขโมยข้อมูลรับรอง (credential) รหัสยืนยันสองชั้น (2FA) และคุกกี้ที่เก็บในเบราว์เซอร์ ก่อนต่อยอดด้วยช่องโหว่รันโค้ดจากระยะไกล CVE-2025-49113 (คะแนน CVSS 9.9) เพื่อฝัง web shell ชื่อ SquareShell หรือเครื่องมือ VShell ลงในหน่วยความจำของเซิร์ฟเวอร์ Proofpoint ระบุว่านี่เป็นครั้งแรกที่กลุ่มแฮ็กเกอร์จีนถูกเชื่อมโยงกับการเจาะช่องโหว่ Roundcube ซึ่งแต่เดิมเป็นเทคนิคที่กลุ่มรัฐหนุนหลังของรัสเซียใช้เป็นหลัก

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 7 กรกฎาคม 2569 ว่า บริษัท Proofpoint พบกิจกรรมของกลุ่ม UNK_MassTraction ที่ใช้ประโยชน์จากช่องโหว่ร้ายแรงในซอฟต์แวร์อีเมลโอเพนซอร์ส Roundcube เพื่อขโมยข้อมูลรับรองและวางช่องทางเข้าถึงระยะยาว โดยกลุ่มนี้เจาะจงเป้าหมายเป็นภาควิชาที่ยังใช้ Roundcube เวอร์ชันที่มีช่องโหว่แบบ N-day บ่งชี้ว่าผู้โจมตีได้ทำการลาดตระเวนเก็บข้อมูลสภาพแวดล้อมของเป้าหมายไว้ล่วงหน้าก่อนส่งอีเมลฟิชชิงที่กระตุ้นช่องโหว่

อีเมลที่ใช้โจมตีมหาวิทยาลัยอาศัยทั้งบัญชีผู้ส่งที่ถูกยึด และโดเมนที่ตกเป็นเป้าการปลอมแปลงได้ง่ายเพราะตั้งค่านโยบาย DMARC หละหลวม Proofpoint ระบุว่าเนื้อหาล่อลวงที่ใช้เป็นแบบทั่วไป บ่งชี้ว่าขอบเขตการโจมตีน่าจะกว้างกว่าที่บริษัทมองเห็น ทั้งนี้ นาย Greg Lesnewich และ นาย Mark Kelly นักวิจัยของ Proofpoint ระบุว่าผู้โจมตีน่าจะใช้เซิร์ฟเวอร์ Roundcube เป็นจุดหมุน (pivot) เพื่อเจาะเข้าเครือข่ายเป้าหมาย และออกแบบห่วงโซ่การติดมัลแวร์อย่างจงใจให้หลบเลี่ยงการตรวจจับ

Proofpoint ยังชี้ว่าปัจจุบันยังไม่มีข้อมูลที่เชื่อมโยง UNK_MassTraction เข้ากับกลุ่ม UNC5174 หรือกลุ่มที่รู้จักอื่นได้อย่างชัดเจน แม้เครื่องมือ SNOWLIGHT และ VShell ที่ใช้จะเคยถูกโยงกับกลุ่มที่เชื่อมโยงจีนอย่าง UNC5174 มาก่อน โดยประเมินว่าชุดเครื่องมือดังกล่าวถูกใช้ร่วมกันในหมู่ผู้โจมตีจีนหลายกลุ่มในลักษณะปิด คล้ายกับกรณีของ ShadowPad

วิธีการโจมตี

ห่วงโซ่การโจมตีเริ่มจากช่องโหว่ XSS CVE-2024-42009 ซึ่งมีลักษณะพิเศษคือเหยื่อเพียงเปิดอีเมลในไคลเอนต์ Roundcube ก็ถูกรันโค้ด JavaScript ในบริบทของเบราว์เซอร์เหยื่อได้ทันที payload ที่ถูกปล่อยมามีชื่อรหัสว่า IceCube ทำหน้าที่ขโมยข้อมูลรับรอง รหัส 2FA และคุกกี้ที่เก็บในเบราว์เซอร์ พร้อมทั้งลาดตระเวนเก็บข้อมูลภาษาเบราว์เซอร์ ขนาดหน้าจอ และค่าในช่องกรอกฟอร์ม แล้วส่งข้อมูลออกไปยังระบบภายนอกผ่านคำขอ HTTP POST

ในขั้นถัดไป IceCube จะใช้ CSRF token ของเซสชันเพื่อกระตุ้นช่องโหว่รันโค้ดจากระยะไกลตัวที่สอง CVE-2025-49113 ซึ่งเป็นแบบ post-authenticated เพื่อฝังตัวบนเซิร์ฟเวอร์เมลและวาง VShell หรือ web shell ชื่อ SquareShell ลงในหน่วยความจำ โดย SquareShell ถูกวางผ่านคำสั่ง PHP gadget shell และเข้าถึงได้จากระยะไกลที่ปลายทาง plugins/newmail_notifier/mail_preview.php เพื่อเปิดให้รันคำสั่งได้ตามอำเภอใจ หากการติดตั้ง web shell ล้มเหลว ห่วงโซ่การโจมตีจะสลับไปใช้กลไกสำรองที่รันสคริปต์เชลล์ผ่านช่องโหว่ Roundcube เพื่อดึง ELF loader ชื่อ SNOWLIGHT ที่เข้ากับสถาปัตยกรรมของเครื่องเหยื่อมารัน และปล่อย VShell ในที่สุด — กลไกสำรองนี้ถูกเพิ่มเข้ามาเมื่อเดือนมิถุนายน 2569

จุดเด่นอีกอย่างคือ IceCube ตั้งสิ่งที่เรียกว่า “deferred triggers” เพื่อคงห่วงโซ่การติดมัลแวร์ไว้ โดยคอยเฝ้าดูว่าเหยื่อปิดหน้าเว็บ สลับแท็บ เลื่อนเมาส์ออกนอกหน้าต่างเบราว์เซอร์ หรือกดปุ่มออกจากระบบหรือไม่ หากเกิดเหตุการณ์เหล่านี้ IceCube จะดักจับและพยายามกระตุ้นช่องโหว่ CVE-2025-49113 ซ้ำ พร้อมส่งสัญญาณกลับไปยังเซิร์ฟเวอร์ควบคุม (C2) จากนั้นเมื่อทำงานเสร็จหรือหมดเวลา มัลแวร์จะทำลายเซสชันทั้งของผู้ใช้และของตัวมันเองบนเซิร์ฟเวอร์ ทำให้เหยื่อถูกบังคับออกจากระบบและลบร่องรอยหลักฐานทางนิติวิทยาศาสตร์ที่เกี่ยวข้องออกจากเซิร์ฟเวอร์ Roundcube ส่วน VShell เองเป็นเครื่องมือควบคุมระยะไกลที่เขียนด้วยภาษา Go ให้ความสามารถหลังเจาะระบบคล้ายกับ Cobalt Strike และเคยถูกใช้โดยผู้โจมตีที่เชื่อมโยงจีนหลายรายในช่วงหลัง

ผลกระทบต่อไทย

มหาวิทยาลัยและสถาบันวิจัยหลายแห่งในไทยยังใช้ Roundcube เป็นเว็บเมลสำหรับบุคลากรและนักศึกษา เนื่องจากเป็นซอฟต์แวร์โอเพนซอร์สที่ติดตั้งง่ายและไม่มีค่าใช้จ่าย หากระบบเหล่านี้ยังใช้เวอร์ชันเก่าที่มีช่องโหว่ CVE-2024-42009 และ CVE-2025-49113 ก็มีความเสี่ยงถูกโจมตีในลักษณะเดียวกัน โดยเฉพาะเมื่อจุดเริ่มต้นของการโจมตีคือการเปิดอีเมลธรรมดา ทำให้แทบไม่ต้องอาศัยการหลอกให้เหยื่อคลิกหรือดาวน์โหลดไฟล์ นอกจากนี้ แคมเปญยังสะท้อนว่าผู้โจมตีที่เชื่อมโยงรัฐเริ่มมองเซิร์ฟเวอร์อีเมลเป็นอุปกรณ์ขอบเครือข่าย (edge device) ที่คุ้มค่าแก่การเจาะ องค์กรไทยที่ดูแลข้อมูลงานวิจัยหรือข้อมูลอ่อนไหวจึงควรยกระดับการป้องกันเซิร์ฟเวอร์เมลให้เข้มงวดเทียบเท่ากับอุปกรณ์ VPN และช่องทางเข้าถึงระยะไกลอื่น

คำแนะนำ

ผู้ดูแลระบบควรอัปเดต Roundcube เป็นเวอร์ชันล่าสุดที่ปิดช่องโหว่ CVE-2024-42009 และ CVE-2025-49113 โดยด่วน เนื่องจากทั้งสองเป็นช่องโหว่ที่ได้รับการแพตช์แล้วแต่หลายองค์กรยังไม่อัปเดต ควรตั้งค่านโยบาย DMARC, SPF และ DKIM ให้รัดกุมเพื่อลดการปลอมแปลงโดเมนที่ใช้ในอีเมลฟิชชิง และตรวจสอบเซิร์ฟเวอร์เมลว่ามีไฟล์หรือปลายทางต้องสงสัย เช่น plugins/newmail_notifier/mail_preview.php ที่อาจเป็น web shell หรือไม่ นอกจากนี้ควรบังคับใช้การยืนยันตัวตนแบบทนฟิชชิง เฝ้าระวังการเข้าถึงเซสชันที่ผิดปกติและการหลุดของ token รวมถึงจัดให้เซิร์ฟเวอร์เมลอยู่ในขอบเขตการเฝ้าระวังและตรวจจับภัยคุกคามเช่นเดียวกับอุปกรณ์ขอบเครือข่ายที่สำคัญอื่น ๆ

Indicators of Compromise (IoCs)

ตัวบ่งชี้ทั้งหมดถูก defang แล้ว ([.], hxxp) เพื่อความปลอดภัย ต้องแปลงกลับก่อนนำไปใช้งานจริง

IP address

Indicatorรายละเอียดพบครั้งแรก
45.150.109[.]151ปล่อยและ C&C ของแบ็กดอร์ IceCubeพ.ค. 2569
194.213.18[.]133ปล่อยและ C&C ของแบ็กดอร์ IceCubeมิ.ย. 2569
45.86.229[.]111เซิร์ฟเวอร์ C&C ของ VShellมิ.ย. 2569

URL

Indicatorรายละเอียดพบครั้งแรก
hxxps://45.150.109[.]151.sslip.io:23088/app/js/jquery.min.jsปล่อย/C&C ของ IceCubeพ.ค. 2569
hxxps://194.213.18[.]133.sslip.io:23088/app/js/jquery.min.jsปล่อย/C&C ของ IceCubeมิ.ย. 2569
hxxps://45.150.109[.]151.sslip.io:23088ปล่อย/C&C ของ IceCubeพ.ค. 2569
hxxps://194.213.18[.]133.sslip.io:23088ปล่อย/C&C ของ IceCubeมิ.ย. 2569
hxxp://45.86.229[.]111/slw:8080URL ปล่อย VShellมิ.ย. 2569

Email address

Indicatorรายละเอียดพบครั้งแรก
jpcontreras@newfield[.]clอีเมลผู้ส่งที่ถูกยึดพ.ค. 2569

SHA256

Indicatorรายละเอียดพบครั้งแรก
a02f124c5ce4180bd130a62ee03262f399c33491de3aed36e0b15155ae4926c0มัลแวร์ IceCube stealerมิ.ย. 2569

แหล่งอ้างอิง