สรุปสั้น
บริษัท Proofpoint บริษัทความมั่นคงไซเบอร์ระดับองค์กร เปิดเผยแคมเปญจารกรรมใหม่ของกลุ่มที่คาดว่าเชื่อมโยงกับจีน ซึ่งถูกติดตามในชื่อ UNK_MassTraction โดยกลุ่มนี้มุ่งโจมตีซอฟต์แวร์เว็บเมล Roundcube ที่ใช้งานในภาควิชาฟิสิกส์และวิศวกรรมของมหาวิทยาลัยในสหรัฐฯ และแคนาดา แคมเปญนี้ถูกตรวจพบครั้งแรกเมื่อเดือนพฤษภาคม 2569 โดยพุ่งเป้าไปที่ผู้ดูแลระบบและอาจารย์ในภาควิชาที่มีความเกี่ยวข้องกับความมั่นคงของชาติ หรือหน่วยงานที่ศึกษาด้านฟิสิกส์ดาราศาสตร์และฟิสิกส์อนุภาค
จุดที่น่ากังวลคือกลุ่มนี้ใช้ช่องโหว่ cross-site scripting (XSS) ที่ชื่อ CVE-2024-42009 (คะแนน CVSS 9.3) ซึ่งเหยื่อเพียงแค่เปิดอีเมลในโปรแกรม Roundcube ก็ทำให้ผู้โจมตีเข้าถึงเซิร์ฟเวอร์เมลได้ทันที จากนั้นจะปล่อยมัลแวร์ที่ Proofpoint ตั้งชื่อว่า IceCube เพื่อขโมยข้อมูลรับรอง (credential) รหัสยืนยันสองชั้น (2FA) และคุกกี้ที่เก็บในเบราว์เซอร์ ก่อนต่อยอดด้วยช่องโหว่รันโค้ดจากระยะไกล CVE-2025-49113 (คะแนน CVSS 9.9) เพื่อฝัง web shell ชื่อ SquareShell หรือเครื่องมือ VShell ลงในหน่วยความจำของเซิร์ฟเวอร์ Proofpoint ระบุว่านี่เป็นครั้งแรกที่กลุ่มแฮ็กเกอร์จีนถูกเชื่อมโยงกับการเจาะช่องโหว่ Roundcube ซึ่งแต่เดิมเป็นเทคนิคที่กลุ่มรัฐหนุนหลังของรัสเซียใช้เป็นหลัก
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 7 กรกฎาคม 2569 ว่า บริษัท Proofpoint พบกิจกรรมของกลุ่ม UNK_MassTraction ที่ใช้ประโยชน์จากช่องโหว่ร้ายแรงในซอฟต์แวร์อีเมลโอเพนซอร์ส Roundcube เพื่อขโมยข้อมูลรับรองและวางช่องทางเข้าถึงระยะยาว โดยกลุ่มนี้เจาะจงเป้าหมายเป็นภาควิชาที่ยังใช้ Roundcube เวอร์ชันที่มีช่องโหว่แบบ N-day บ่งชี้ว่าผู้โจมตีได้ทำการลาดตระเวนเก็บข้อมูลสภาพแวดล้อมของเป้าหมายไว้ล่วงหน้าก่อนส่งอีเมลฟิชชิงที่กระตุ้นช่องโหว่
อีเมลที่ใช้โจมตีมหาวิทยาลัยอาศัยทั้งบัญชีผู้ส่งที่ถูกยึด และโดเมนที่ตกเป็นเป้าการปลอมแปลงได้ง่ายเพราะตั้งค่านโยบาย DMARC หละหลวม Proofpoint ระบุว่าเนื้อหาล่อลวงที่ใช้เป็นแบบทั่วไป บ่งชี้ว่าขอบเขตการโจมตีน่าจะกว้างกว่าที่บริษัทมองเห็น ทั้งนี้ นาย Greg Lesnewich และ นาย Mark Kelly นักวิจัยของ Proofpoint ระบุว่าผู้โจมตีน่าจะใช้เซิร์ฟเวอร์ Roundcube เป็นจุดหมุน (pivot) เพื่อเจาะเข้าเครือข่ายเป้าหมาย และออกแบบห่วงโซ่การติดมัลแวร์อย่างจงใจให้หลบเลี่ยงการตรวจจับ
Proofpoint ยังชี้ว่าปัจจุบันยังไม่มีข้อมูลที่เชื่อมโยง UNK_MassTraction เข้ากับกลุ่ม UNC5174 หรือกลุ่มที่รู้จักอื่นได้อย่างชัดเจน แม้เครื่องมือ SNOWLIGHT และ VShell ที่ใช้จะเคยถูกโยงกับกลุ่มที่เชื่อมโยงจีนอย่าง UNC5174 มาก่อน โดยประเมินว่าชุดเครื่องมือดังกล่าวถูกใช้ร่วมกันในหมู่ผู้โจมตีจีนหลายกลุ่มในลักษณะปิด คล้ายกับกรณีของ ShadowPad
วิธีการโจมตี
ห่วงโซ่การโจมตีเริ่มจากช่องโหว่ XSS CVE-2024-42009 ซึ่งมีลักษณะพิเศษคือเหยื่อเพียงเปิดอีเมลในไคลเอนต์ Roundcube ก็ถูกรันโค้ด JavaScript ในบริบทของเบราว์เซอร์เหยื่อได้ทันที payload ที่ถูกปล่อยมามีชื่อรหัสว่า IceCube ทำหน้าที่ขโมยข้อมูลรับรอง รหัส 2FA และคุกกี้ที่เก็บในเบราว์เซอร์ พร้อมทั้งลาดตระเวนเก็บข้อมูลภาษาเบราว์เซอร์ ขนาดหน้าจอ และค่าในช่องกรอกฟอร์ม แล้วส่งข้อมูลออกไปยังระบบภายนอกผ่านคำขอ HTTP POST
ในขั้นถัดไป IceCube จะใช้ CSRF token ของเซสชันเพื่อกระตุ้นช่องโหว่รันโค้ดจากระยะไกลตัวที่สอง CVE-2025-49113 ซึ่งเป็นแบบ post-authenticated เพื่อฝังตัวบนเซิร์ฟเวอร์เมลและวาง VShell หรือ web shell ชื่อ SquareShell ลงในหน่วยความจำ โดย SquareShell ถูกวางผ่านคำสั่ง PHP gadget shell และเข้าถึงได้จากระยะไกลที่ปลายทาง plugins/newmail_notifier/mail_preview.php เพื่อเปิดให้รันคำสั่งได้ตามอำเภอใจ หากการติดตั้ง web shell ล้มเหลว ห่วงโซ่การโจมตีจะสลับไปใช้กลไกสำรองที่รันสคริปต์เชลล์ผ่านช่องโหว่ Roundcube เพื่อดึง ELF loader ชื่อ SNOWLIGHT ที่เข้ากับสถาปัตยกรรมของเครื่องเหยื่อมารัน และปล่อย VShell ในที่สุด — กลไกสำรองนี้ถูกเพิ่มเข้ามาเมื่อเดือนมิถุนายน 2569
จุดเด่นอีกอย่างคือ IceCube ตั้งสิ่งที่เรียกว่า “deferred triggers” เพื่อคงห่วงโซ่การติดมัลแวร์ไว้ โดยคอยเฝ้าดูว่าเหยื่อปิดหน้าเว็บ สลับแท็บ เลื่อนเมาส์ออกนอกหน้าต่างเบราว์เซอร์ หรือกดปุ่มออกจากระบบหรือไม่ หากเกิดเหตุการณ์เหล่านี้ IceCube จะดักจับและพยายามกระตุ้นช่องโหว่ CVE-2025-49113 ซ้ำ พร้อมส่งสัญญาณกลับไปยังเซิร์ฟเวอร์ควบคุม (C2) จากนั้นเมื่อทำงานเสร็จหรือหมดเวลา มัลแวร์จะทำลายเซสชันทั้งของผู้ใช้และของตัวมันเองบนเซิร์ฟเวอร์ ทำให้เหยื่อถูกบังคับออกจากระบบและลบร่องรอยหลักฐานทางนิติวิทยาศาสตร์ที่เกี่ยวข้องออกจากเซิร์ฟเวอร์ Roundcube ส่วน VShell เองเป็นเครื่องมือควบคุมระยะไกลที่เขียนด้วยภาษา Go ให้ความสามารถหลังเจาะระบบคล้ายกับ Cobalt Strike และเคยถูกใช้โดยผู้โจมตีที่เชื่อมโยงจีนหลายรายในช่วงหลัง
ผลกระทบต่อไทย
มหาวิทยาลัยและสถาบันวิจัยหลายแห่งในไทยยังใช้ Roundcube เป็นเว็บเมลสำหรับบุคลากรและนักศึกษา เนื่องจากเป็นซอฟต์แวร์โอเพนซอร์สที่ติดตั้งง่ายและไม่มีค่าใช้จ่าย หากระบบเหล่านี้ยังใช้เวอร์ชันเก่าที่มีช่องโหว่ CVE-2024-42009 และ CVE-2025-49113 ก็มีความเสี่ยงถูกโจมตีในลักษณะเดียวกัน โดยเฉพาะเมื่อจุดเริ่มต้นของการโจมตีคือการเปิดอีเมลธรรมดา ทำให้แทบไม่ต้องอาศัยการหลอกให้เหยื่อคลิกหรือดาวน์โหลดไฟล์ นอกจากนี้ แคมเปญยังสะท้อนว่าผู้โจมตีที่เชื่อมโยงรัฐเริ่มมองเซิร์ฟเวอร์อีเมลเป็นอุปกรณ์ขอบเครือข่าย (edge device) ที่คุ้มค่าแก่การเจาะ องค์กรไทยที่ดูแลข้อมูลงานวิจัยหรือข้อมูลอ่อนไหวจึงควรยกระดับการป้องกันเซิร์ฟเวอร์เมลให้เข้มงวดเทียบเท่ากับอุปกรณ์ VPN และช่องทางเข้าถึงระยะไกลอื่น
คำแนะนำ
ผู้ดูแลระบบควรอัปเดต Roundcube เป็นเวอร์ชันล่าสุดที่ปิดช่องโหว่ CVE-2024-42009 และ CVE-2025-49113 โดยด่วน เนื่องจากทั้งสองเป็นช่องโหว่ที่ได้รับการแพตช์แล้วแต่หลายองค์กรยังไม่อัปเดต ควรตั้งค่านโยบาย DMARC, SPF และ DKIM ให้รัดกุมเพื่อลดการปลอมแปลงโดเมนที่ใช้ในอีเมลฟิชชิง และตรวจสอบเซิร์ฟเวอร์เมลว่ามีไฟล์หรือปลายทางต้องสงสัย เช่น plugins/newmail_notifier/mail_preview.php ที่อาจเป็น web shell หรือไม่ นอกจากนี้ควรบังคับใช้การยืนยันตัวตนแบบทนฟิชชิง เฝ้าระวังการเข้าถึงเซสชันที่ผิดปกติและการหลุดของ token รวมถึงจัดให้เซิร์ฟเวอร์เมลอยู่ในขอบเขตการเฝ้าระวังและตรวจจับภัยคุกคามเช่นเดียวกับอุปกรณ์ขอบเครือข่ายที่สำคัญอื่น ๆ
Indicators of Compromise (IoCs)
ตัวบ่งชี้ทั้งหมดถูก defang แล้ว (
[.],hxxp) เพื่อความปลอดภัย ต้องแปลงกลับก่อนนำไปใช้งานจริง
IP address
| Indicator | รายละเอียด | พบครั้งแรก |
|---|---|---|
| 45.150.109[.]151 | ปล่อยและ C&C ของแบ็กดอร์ IceCube | พ.ค. 2569 |
| 194.213.18[.]133 | ปล่อยและ C&C ของแบ็กดอร์ IceCube | มิ.ย. 2569 |
| 45.86.229[.]111 | เซิร์ฟเวอร์ C&C ของ VShell | มิ.ย. 2569 |
URL
| Indicator | รายละเอียด | พบครั้งแรก |
|---|---|---|
| hxxps://45.150.109[.]151.sslip.io:23088/app/js/jquery.min.js | ปล่อย/C&C ของ IceCube | พ.ค. 2569 |
| hxxps://194.213.18[.]133.sslip.io:23088/app/js/jquery.min.js | ปล่อย/C&C ของ IceCube | มิ.ย. 2569 |
| hxxps://45.150.109[.]151.sslip.io:23088 | ปล่อย/C&C ของ IceCube | พ.ค. 2569 |
| hxxps://194.213.18[.]133.sslip.io:23088 | ปล่อย/C&C ของ IceCube | มิ.ย. 2569 |
| hxxp://45.86.229[.]111/slw:8080 | URL ปล่อย VShell | มิ.ย. 2569 |
Email address
| Indicator | รายละเอียด | พบครั้งแรก |
|---|---|---|
| jpcontreras@newfield[.]cl | อีเมลผู้ส่งที่ถูกยึด | พ.ค. 2569 |
SHA256
| Indicator | รายละเอียด | พบครั้งแรก |
|---|---|---|
| a02f124c5ce4180bd130a62ee03262f399c33491de3aed36e0b15155ae4926c0 | มัลแวร์ IceCube stealer | มิ.ย. 2569 |
