สรุปสั้น
บริษัท Microsoft ได้ถอดแยกวิเคราะห์แบ็กดอร์บน Windows ที่ทำลายล้างสูงซึ่งตั้งชื่อว่า GigaWiper จุดที่โดดเด่นคือวิธีการสร้าง เพราะมันไม่ใช่เครื่องมือชิ้นเดียว แต่เป็นการนำโปรแกรมทำลายล้างเก่า 3 ตัวมายัดรวมกันไว้เป็นแพลตฟอร์มเดียว แล้วเปิดให้ผู้โจมตีเลือกสั่งเป็นคำสั่งหมายเลขต่าง ๆ ได้ ทั้งการล้างทั้งดิสก์ การเขียนทับไดรฟ์ Windows และการรันแรนซัมแวร์ปลอมที่เข้ารหัสไฟล์ด้วยกุญแจที่ไม่เคยบันทึกไว้ เนื่องจากนี่เป็นมัลแวร์ไม่ใช่ช่องโหว่ตัวเดียว จึงไม่มีแพตช์ให้ไล่ตาม GigaWiper คือสิ่งที่ผู้โจมตีรันหลังจากเข้ามาในระบบได้แล้ว ทำให้การตรวจจับแต่เนิ่น ๆ และการสำรองข้อมูลแบบออฟไลน์ที่สะอาดคือแนวป้องกันที่แท้จริง
ไฟล์อันตรายชุดเดียวกันนี้ยังปรากฏในรายงานอีกฉบับภายใต้อีกชื่อหนึ่งคือ BLUERABBIT ซึ่งเป็นแบ็กดอร์ที่บริษัท Binary Defense เคยแจ้งเตือนเมื่อเดือนก่อน โดย Microsoft ระบุค่าแฮช 4 ตัวสำหรับ GigaWiper ส่วน Binary Defense ก็ระบุค่าแฮช 4 ตัวเดียวกันสำหรับ BLUERABBIT และเซิร์ฟเวอร์ควบคุมก็ตรงกันทั้งคู่ Binary Defense อ้างอิงข้อมูลจาก Google Threat Intelligence Group เชื่อมโยงมัลแวร์นี้กับกลุ่มที่คาดว่าเป็น Iran-nexus ซึ่งมุ่งโจมตีองค์กรในอิสราเอล ขณะที่ Microsoft ไม่ได้ระบุชื่อประเทศ
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 9 กรกฎาคม 2569 ว่า Microsoft ได้วิเคราะห์แบ็กดอร์ทำลายล้างชื่อ GigaWiper ซึ่งเขียนด้วยภาษา Go (หรือ Golang) และทำงานบน Windows โดยรับคำสั่งเป็นหมายเลข และมี 3 คำสั่งที่ทำลายเครื่องด้วยวิธีต่างกัน คำสั่งแรกเป็น raw disk wiper ที่เขียนทับไดรฟ์กายภาพและล้างตารางพาร์ทิชัน (ผังการจัดวางข้อมูลบนดิสก์) ก่อนรีบูต โดยไม่มีการลบไฟล์ทีละไฟล์ให้ย้อนกลับได้ แต่ทำลายเนื้อหาดิสก์โดยตรง คำสั่งที่สองเป็นแรนซัมแวร์ปลอมที่สร้างบนโค้ดเก่าชื่อ Crucio ซึ่งเข้ารหัสไฟล์ เติมนามสกุล .candy และเปลี่ยนภาพพื้นหลังเดสก์ท็อปเป็นภาพเตือนที่น่าตกใจ แต่ไม่มีข้อความเรียกค่าไถ่และไม่เก็บกุญแจไว้ จึงไม่มีอะไรให้จ่ายและไม่มีอะไรให้ถอดรหัส เป็นการทำลายล้างที่สวมชุดแรนซัมแวร์
คำสั่งที่สามมุ่งเป้าไปที่ไดรฟ์ Windows โดยเขียนทับหลายรอบด้วยรูปแบบข้อมูลต่างกัน ซึ่ง Microsoft ระบุว่าเป็นการเขียนใหม่ด้วยภาษา Go ของไวเปอร์ที่ติดตามในชื่อ FlockWiper ทั้งสามวิธีนี้ไม่เหลือทางย้อนกลับ เพราะไฟล์ที่เข้ารหัสปลดล็อกไม่ได้เนื่องจากกุญแจหายไป และไดรฟ์ที่ถูกล้างต้องสร้างขึ้นใหม่จากการสำรองข้อมูลที่สะอาดเท่านั้น เป้าหมายคือเครื่องที่ตายสนิท ไม่ใช่การเรียกค่าไถ่ นอกจากการทำลายล้าง แบ็กดอร์เดียวกันนี้ยังสามารถแอบเฝ้าดูและควบคุมเครื่องที่ติดมัลแวร์ได้ ทั้งการถ่ายภาพหน้าจอทุกจอ อัดวิดีโอหน้าจอขณะที่ผู้ใช้กำลังทำงาน และเปิด session VNC ซ่อนที่สตรีมภาพหน้าจอพร้อมให้ผู้โจมตีพิมพ์และขยับเมาส์ได้ อีกทั้งยังเก็บรายละเอียดระบบ จัดการโปรแกรมและบริการที่รันอยู่ แก้ไข registry และล้าง Windows event log เพื่อกลบร่องรอย โดย Microsoft พบว่ายังมีคำสั่งอีกหลายตัวที่ซ่อนไม่ทำงานอยู่ในตัวอย่าง รวมถึง stub สำหรับ keylogger และไวเปอร์เพิ่มเติม
วิธีการโจมตี
เพื่อหลบการตรวจจับ GigaWiper ปลอมตัวเป็น OneDrive โดยสร้าง scheduled task ชื่อ OneDrive Update ที่รันทุกนาที และติดตามตัวเองในคีย์ registry ใต้ HKCU\SOFTWARE\OneDrive\Environment เมื่อเปิดช่องควบคุมระยะไกล มันจะซ่อนอยู่หลังกฎ firewall ที่ตั้งชื่อตามส่วนประกอบจริงของ Windows คือ Microsoft.Windows.CloudExperienceHost สำหรับการสื่อสารคำสั่ง มันเลี่ยงคำขอเว็บทั่วไปแล้วอาศัยบริการทางธุรกิจจริงแทน โดยใช้ RabbitMQ สำหรับสั่งงาน Redis สำหรับรับผลลัพธ์ และ MinIO สำหรับการขโมยข้อมูลออก เพราะเครื่องมือเหล่านี้เป็นของถูกกฎหมาย ไม่ใช่ช่องมัลแวร์เฉพาะทาง ทราฟฟิกจึงดูปกติในเครือข่ายที่ใช้บริการเหล่านั้นอยู่แล้ว
Microsoft สืบย้อนโค้ดแรนซัมแวร์ปลอมของ GigaWiper กลับไปยัง Crucio และไวเปอร์แบบเขียนทับหลายรอบกลับไปยัง FlockWiper และประเมินว่านักพัฒนาคนเดียวกันเป็นผู้สร้างทั้งสามตัว โดยไม่ระบุชื่อประเทศ แต่ Crucio ไม่ใช่มัลแวร์นิรนาม เพราะโค้ดของมันเคยถูกระบุว่าเป็นแรนซัมแวร์ต้องสงสัยในคำแนะนำของ CISA เมื่อเดือนธันวาคม 2566 เกี่ยวกับกลุ่ม CyberAv3ngers ซึ่งเป็นกลุ่มที่เชื่อมโยงกับกองกำลังพิทักษ์การปฏิวัติอิสลามของอิหร่าน (IRGC) กลุ่มเดียวกันนี้เคยเจาะระบบน้ำและพลังงานทั่วสหรัฐฯ อิสราเอล สหราชอาณาจักร และไอร์แลนด์ในปี 2566 โดยล็อกอินเข้าสู่ตัวควบคุมอุตสาหกรรมที่เปิดสู่อินเทอร์เน็ต และในกรณีหนึ่งถึงกับยึดสถานีเพิ่มแรงดันน้ำของหน่วยงานน้ำในรัฐเพนซิลเวเนีย นอกจากนี้ Microsoft ยังพบแท็กซ้ำ ๆ ว่า “GRAT” ทั้งใน debug path ของ FlockWiper และในชื่อฟังก์ชันของ GigaWiper เอง ซึ่งเชื่อมโยงเครื่องมือสองตัวเข้าด้วยกัน โดยเวลาที่แต่ละแหล่งพบต่างกัน คือ Microsoft ระบุกิจกรรมทำลายล้างในเดือนตุลาคม 2568 ขณะที่ Binary Defense เห็นไฟล์ชุดเดียวกันในชื่อ BLUERABBIT ครั้งแรกในเดือนมีนาคม 2569
ผลกระทบต่อไทย
แม้เป้าหมายหลักของ GigaWiper จะอยู่ที่องค์กรในอิสราเอลและมีบริบทความขัดแย้งอิหร่าน-อิสราเอล แต่เทคนิคและบทเรียนของมันเกี่ยวข้องกับไทยโดยตรง เพราะมัลแวร์ประเภทไวเปอร์ที่ปลอมตัวเป็นแรนซัมแวร์แบบนี้ออกแบบมาเพื่อทำลายข้อมูลถาวร ไม่ใช่เรียกค่าไถ่ องค์กรโครงสร้างพื้นฐานสำคัญของไทย ทั้งการประปา การไฟฟ้า พลังงาน และระบบควบคุมอุตสาหกรรม (ICS/SCADA) ที่เปิดอุปกรณ์ควบคุมสู่อินเทอร์เน็ตโดยไม่ป้องกันดีพอ อาจตกเป็นเป้าในลักษณะเดียวกับที่ CyberAv3ngers เคยโจมตีสถานีน้ำในสหรัฐฯ นอกจากนี้การที่ GigaWiper ปลอมตัวเป็น OneDrive และส่งข้อมูลผ่านบริการปกติอย่าง RabbitMQ, Redis และ MinIO ทำให้ทราฟฟิกกลมกลืนกับระบบที่หลายองค์กรไทยใช้งานอยู่แล้ว การพึ่งพาการสำรองข้อมูลออฟไลน์ที่ทดสอบกู้คืนได้จริงจึงเป็นแนวป้องกันสุดท้ายที่ขาดไม่ได้ เพราะเมื่อดิสก์ถูกล้างหรือไฟล์ถูกเข้ารหัสด้วยกุญแจที่หายไป จะไม่มีทางกู้คืนด้วยการจ่ายเงินได้เลย
คำแนะนำ
การตรวจจับให้เร็วขึ้นอยู่กับสัญญาณเฉพาะไม่กี่อย่าง ได้แก่ scheduled task ชื่อ OneDrive Update ที่รันซ้ำทุกนาที, ทราฟฟิก RabbitMQ หรือ Redis ที่ออกมาจากเครื่องเดสก์ท็อปทั่วไปแทนที่จะเป็นเซิร์ฟเวอร์ และโปรเซสที่ใช้ takeown และ icacls เพื่อยึดสิทธิ์ครอบครองไฟล์บูตของ Windows อย่าง bootmgr และ ntoskrnl.exe นอกช่วงเวลาบำรุงรักษา ในด้านผลิตภัณฑ์ Microsoft แนะนำให้เปิด tamper protection เพื่อไม่ให้ผู้โจมตีปิดแอนติไวรัสได้ บล็อกเซิร์ฟเวอร์ควบคุมที่รู้จักทั้งสองตัว รันการตรวจจับที่ endpoint ในโหมด block และเปิดการป้องกันที่ส่งจากคลาวด์พร้อมการแก้ไขอัตโนมัติ ที่สำคัญที่สุดคือการรักษาการสำรองข้อมูลแบบออฟไลน์ที่สะอาดและทดสอบกู้คืนได้จริง เนื่องจากเมื่อเครื่องถูกไวเปอร์ทำลาย การกู้คืนจากการสำรองข้อมูลคือทางเดียวที่เหลืออยู่
Indicators of Compromise (IoCs)
หมายเหตุ: IP ต่อไปนี้ถูก defang แล้ว (แทน
.ด้วย[.]) เพื่อความปลอดภัยในการเผยแพร่
| ประเภท | Indicator | รายละเอียด |
|---|---|---|
| C2 Server | 185.182.193[.]21 | เซิร์ฟเวอร์ควบคุมของ GigaWiper/BLUERABBIT (Microsoft แนะนำให้บล็อก) |
| C2 Server | 212.8.248[.]104 | เซิร์ฟเวอร์ควบคุมของ GigaWiper/BLUERABBIT (Microsoft แนะนำให้บล็อก) |
| Scheduled Task | OneDrive Update | งานตั้งเวลาปลอมที่รันทุกนาที ใช้ฝังตัว |
| Registry Key | HKCU\SOFTWARE\OneDrive\Environment | คีย์ที่มัลแวร์ใช้ติดตามตัวเอง |
| File Extension | .candy | นามสกุลไฟล์ที่แรนซัมแวร์ปลอม (Crucio) เติมหลังเข้ารหัส |
| Firewall Rule | Microsoft.Windows.CloudExperienceHost | ชื่อกฎ firewall ปลอมที่ใช้ซ่อนช่องควบคุมระยะไกล |
