ภัยคุกคามซอฟต์แวร์ซัพพลายเชน! CPU-Z ถูกแฮก แจกมัลแวร์ผ่านเว็บไซต์ทางการ
เว็บไซต์ทางการของ CPU-Z ถูกแฮกเกอร์บุกรุก ใช้เป็นช่องทางกระจายมัลแวร์ผ่านปุ่มดาวน์โหลดปกติ เป็นเวลา 19 ชั่วโมง เน้นย้ำความเสี่ยงซัพพลายเชนซอฟต์แวร์
เมื่อวันที่ 9 เมษายน 2026 เว็บไซต์ทางการของ CPUID ผู้พัฒนาเครื่องมือยอดนิยมอย่าง CPU-Z ถูกแฮกเกอร์บุกรุกและใช้เป็นช่องทางกระจายมัลแวร์ผ่านปุ่มดาวน์โหลดปกติ เป็นเวลาเกือบ 19 ชั่วโมง ผู้ใช้ที่เข้าไปดาวน์โหลดซอฟต์แวร์จากเว็บไซต์โดยตรง จะได้รับไฟล์ปฏิบัติการที่มีลายเซ็นดิจิทัลถูกต้อง แต่ถูกแทรกมัลแวร์ไว้ภายใน
การโจมตีครั้งนี้เน้นย้ำถึงความเสี่ยงในซัพพลายเชนซอฟต์แวร์ เมื่อช่องทางการจัดจำหน่ายของตัวแทนจำหน่ายที่เชื่อถือได้ กลายเป็นจุดอ่อนที่แฮกเกอร์ใช้ประโยชน์
ระบบ AI EDR ตรวจจับความผิดปกติจากพฤติกรรม
ในเช้าวันนั้น ระบบตรวจจับและตอบสนองจุดปลายทางด้วยปัญญาประดิษฐ์ (AI EDR) ของ SentinelOne ตรวจพบความผิดปกติในกระบวนการทำงานของไฟล์ cpuz_x64.exe แม้ไฟล์และลายเซ็นจะถูกต้อง แต่พฤติกรรมของกระบวนการไม่ปกติ
กระบวนการทำงานเริ่มจาก cpuz_x64.exe ไปยัง PowerShell จากนั้นไปยัง csc.exe และ cvtres.exe ซึ่งไม่ใช่พฤติกรรมปกติของโปรแกรม CPU-Z
ระบบตรวจจับความผิดปกติจาก 5 พฤติกรรมหลัก ได้แก่ การค้นหาฟังก์ชันระบบด้วยวิธีไม่มาตรฐาน การโหลดโค้ดในหน่วยความจำโดยไม่เหลือไฟล์บนดิสก์ การขอสิทธิ์หน่วยความจำแบบอ่าน-เขียน-ประมวลผลพร้อมกัน รูปแบบการฉีดกระบวนการ และลายเซ็นของเชลล์โค้ดที่น่าสงสัย
รายละเอียดมัลแวร์และเป้าหมายการโจมตี
มัลแวร์ที่ถูกแทรกมาเป็นสเตรจัน RAT ชื่อ STX RAT ออกแบบมาเพื่อไม่ทิ้งร่องรอย โดยใช้เทคนิคการโหลดแบบรีเฟลกทีฟในหน่วยความจำ ไม่เขียนไฟล์ลงดิสก์ และติดตั้งกลไกคงอยู่หลายชั้น
มัลแวร์สามารถขโมยข้อมูลจากเบราว์เซอร์ กระเป๋าเงินคริปโต และให้แฮกเกอร์ควบคุมเดสก์ท็อปได้อย่างลับๆ การสื่อสารกับเซิร์ฟเวอร์ควบคุมใช้ DNS-over-HTTPS เพื่อหลีกเลี่ยงการตรวจจับ
ผู้เสียหายที่ยืนยันแล้วกว่า 150 ราย อยู่ในกลุ่มธุรกิจค้าปลีก การผลิต ที่ปรึกษา โทรคมนาคม และเกษตรกรรม ซึ่งผู้ใช้ CPU-Z มักเป็นผู้เชี่ยวชาญด้านไอทีที่มีสิทธิ์การเข้าถึงระดับสูงในระบบ
ข้อผิดพลาดร้ายแรงของแฮกเกอร์
การวิเคราะห์จาก Kaspersky เชื่อมโยงตัวอย่างมัลแวร์จากเหตุการณ์ CPU-Z กับการโจมตีผู้ใช้ FileZilla ในเดือนมีนาคม 2026 ในเวลาเพียงไม่กี่ชั่วโมง
แฮกเกอร์ใช้โครงสร้างพื้นฐานเซิร์ฟเวอร์ควบคุมและเพย์โหลด STX RAT เดิมๆ อย่างไม่เปลี่ยนแปลง ซึ่งเป็นเพย์โหลดที่หน่วยตอบสนองภัยคุกคามของ eSentire ได้วิเคราะห์และเผยแพร่กฎ YARA ไปแล้วหลังการโจมตี FileZilla
กฎเหล่านั้นสามารถตรวจจับตัวแปรจาก CPU-ID ได้ทันทีโดยไม่ต้องปรับเปลี่ยน การใช้โครงสร้างพื้นฐานเดิมซ้ำๆ ถือเป็นข้อผิดพลาดร้ายแรงที่สุดของปฏิบัติการนี้
คำแนะนำสำหรับผู้ดูแลระบบและผู้นำด้านความปลอดภัย
สำหรับผู้ปฏิบัติการ ควรตรวจสอบระบบของตนทันที
- ค้นหาไฟล์ CRYPTBASE.dll ในไดเรกทอรีอื่นนอกจาก C:\Windows\System32
- ตรวจสอบกระบวนการที่แอปพลิเคชัน CPUID เรียกใช้ PowerShell
- บล็อกโดเมน supp0v3[.]com และที่อยู่ IP 147.45.178.61
- เฝ้าระวังคำขอ DNS-over-HTTPS ไปยัง 1.1.1.1/dns-query
หากพบเครื่องที่ติดเชื้อ ต้องกำจัดกลไกคงอยู่ทั้ง 4 อย่าง ได้แก่ คีย์รีจิสทรี Run งานที่กำหนดเวลา ไฟล์ .proj ของ MSBuild ใน AppData\Local และการทำงานอัตโนมัติของโปรไฟล์ PowerShell
สำหรับผู้นำด้านความปลอดภัย เหตุการณ์นี้ชี้ให้เห็นถึงปัญหาทางโครงสร้างของแบบจำลองความเชื่อถือ ผู้ใช้ทำตามกฎทุกข้อ ดาวน์โหลดจากเว็บไซต์ทางการของตัวแทนจำหน่ายที่ใช้กันมานาน แต่โครงสร้างพื้นฐานของตัวแทนจำหน่ายกลับเป็นจุดล้มเหลว
การตรวจจับเชิงพฤติกรรม ที่เฝ้าดูว่าซอฟต์แวร์ทำอะไร ไม่ใช่ดูว่ามันมาจากไหน คือชั้นการป้องกันที่ตรวจจับการโจมตีครั้งนี้ได้
Reference
SentinelOneหากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม
💬 Line @monsteronline
☎️ Tel 02-026-6664
📩 Email [email protected]
🌐 ดูสินค้าเพิ่มเติม mon.co.th
แชทผ่าน LINE ดูสินค้าทั้งหมด