แฮกเกอร์รัสเซีย Gamaredon โจมตียูเครนผ่านช่องโหว่ WinRAR ปล่อยมัลแวร์ขโมยข้อมูล

กลุ่มแฮกเกอร์รัสเซียที่รู้จักในชื่อ Gamaredon ยังคงเดินหน้าโจมตีทางไซเบอร์ต่อยูเครนอย่างต่อเนื่อง โดยล่าสุดมีการใช้ช่องโหว่ในโปรแกรม WinRAR เพื่อส่งมัลแวร์หลายชนิดเข้าสู่ระบบเป้าหมาย โดยมุ่งเน้นการขโมยข้อมูลและการแพร่กระจายตัวเองภายในเครือข่าย

ตามรายงานจาก Sekoia ระบุว่าการโจมตีครั้งนี้ใช้ประโยชน์จากช่องโหว่ CVE-2025-8088 ซึ่งเป็นช่องโหว่แบบ Path Traversal ใน WinRAR เพื่อเรียกใช้เพย์โหลด HTML Application ชื่อ GammaPhish ก่อนที่จะนำไปสู่การดาวน์โหลดมัลแวร์ตระกูล GammaWorm และ GammaSteel ต่อไป

ช่องโหว่ CVE-2025-8088 จุดเริ่มต้นของการโจมตี

ช่องโหว่ CVE-2025-8088 เป็นจุดอ่อนแบบ Path Traversal ที่พบในโปรแกรมบีบอัดไฟล์ WinRAR ซึ่งเป็นที่นิยมใช้กันอย่างแพร่หลาย นักวิจัยจาก Sekoia พบว่ากลุ่ม Gamaredon ได้นำช่องโหว่นี้มาใช้เป็นเครื่องมือหลักในการโจมตี โดยการสร้างไฟล์บีบอัดที่เป็นอันตราย เมื่อผู้ใช้เปิดไฟล์ดังกล่าว มันจะสามารถเขียนไฟล์ไปยังโฟลเดอร์อื่นนอกเหนือจากตำแหน่งที่ตั้งใจไว้ได้

การโจมตีเริ่มต้นจากไฟล์ WinRAR ที่ถูกออกแบบมาเป็นพิเศษ เมื่อเหยื่อเปิดไฟล์ ระบบจะเรียกใช้สคริปต์ HTML Application ชื่อ GammaPhish โดยอัตโนมัติ ซึ่งทำหน้าที่เป็นตัวกลางในการดึงมัลแวร์ตัวอื่นๆ จากเซิร์ฟเวอร์ควบคุม

GammaWorm และ GammaSteel อาวุธหลักของ Gamaredon

หลังจากที่ GammaPhish ทำงานสำเร็จ มันจะดาวน์โหลดมัลแวร์หลักสองชนิดมายังเครื่องของเหยื่อ ได้แก่ GammaWorm ซึ่งมีความสามารถในการแพร่กระจายตัวเองไปยังเครื่องอื่นๆ ในเครือข่ายผ่านทางไดรฟ์ที่แชร์ไว้และสื่อบันทึกข้อมูลแบบถอดได้ และ GammaSteel ซึ่งเป็นมัลแวร์ที่ออกแบบมาเพื่อขโมยข้อมูลโดยเฉพาะ

GammaWorm ทำหน้าที่เหมือนหนอนคอมพิวเตอร์ที่สามารถคัดลอกตัวเองไปยังโฟลเดอร์ต่างๆ และสร้างไฟล์ลิงก์เพื่อให้แน่ใจว่าจะถูกเรียกใช้ทุกครั้งที่ระบบเริ่มทำงาน ส่วน GammaSteel จะทำการรวบรวมไฟล์สำคัญจากเครื่องเหยื่อ เช่น เอกสาร รหัสผ่าน และข้อมูลประจำตัวต่างๆ เพื่อส่งกลับไปยังผู้โจมตี

เป้าหมายหลักคือยูเครนและองค์กรที่เกี่ยวข้อง

กลุ่ม Gamaredon มีประวัติการโจมตีที่เน้นเป้าหมายในประเทศยูเครนมาโดยตลอด ซึ่งสอดคล้องกับบริบทของสงครามไซเบอร์ระหว่างรัสเซียและยูเครน การโจมตีครั้งนี้ยังคงมุ่งไปที่หน่วยงานภาครัฐ องค์กรด้านความมั่นคง และโครงสร้างพื้นฐานสำคัญของยูเครน

นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ชี้ว่ากลุ่มนี้มีความเชี่ยวชาญในการใช้เทคนิคทางวิศวกรรมสังคมร่วมกับช่องโหว่ของซอฟต์แวร์ที่พบได้ทั่วไป เพื่อเพิ่มโอกาสในการโจมตีสำเร็จ โดยมักส่งเอกสารหรือไฟล์ปลอมที่ดูน่าเชื่อถือผ่านทางอีเมลหรือข้อความ

แนวทางการป้องกันและข้อควรระวัง

เพื่อป้องกันการโจมตีในลักษณะนี้ องค์กรและผู้ใช้ทั่วไปควรอัปเดตโปรแกรม WinRAR เป็นเวอร์ชันล่าสุดอยู่เสมอ เนื่องจากช่องโหว่ CVE-2025-8088 ได้รับการแก้ไขแล้วในเวอร์ชันใหม่ นอกจากนี้ควรระมัดระวังในการเปิดไฟล์บีบอัดจากแหล่งที่ไม่น่าเชื่อถือ โดยเฉพาะไฟล์ที่ส่งมาทางอีเมลหรือแพลตฟอร์มแชทต่างๆ

การใช้โซลูชันความมั่นคงปลอดภัยไซเบอร์ที่มีระบบตรวจจับและป้องกันมัลแวร์แบบเรียลไทม์ รวมถึงการฝึกอบรมพนักงานให้รู้เท่าทันกลลวงทางวิศวกรรมสังคม ก็เป็นมาตรการสำคัญที่ช่วยลดความเสี่ยงจากการโจมตีของกลุ่มแฮกเกอร์อย่าง Gamaredon ได้

Reference

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th