เวิร์มหนอนไซเบอร์ใช้ Discord และ Microsoft Graph API เป็นช่องทางควบคุมแบ็คดอร์

นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ได้ตรวจพบความเคลื่อนไหวล่าสุดของกลุ่มผู้คุกคามที่เชื่อมโยงกับประเทศจีนในปี 2568 โดยกลุ่มที่รู้จักกันในชื่อ Webworm ได้ใช้แบ็คดอร์ที่พัฒนาขึ้นเองในการสื่อสารผ่าน Discord และ Microsoft Graph API เพื่อควบคุมคำสั่งและควบคุมเซิร์ฟเวอร์เป้าหมาย

Webworm ถูกเปิดเผยต่อสาธารณะครั้งแรกโดย Symantec ซึ่งเป็นบริษัทในเครือ Broadcom เมื่อเดือนกันยายน 2565 และคาดว่ากลุ่มนี้เริ่มปฏิบัติการมาตั้งแต่ปี 2565 เป็นอย่างน้อย โดยมุ่งเป้าโจมตีหน่วยงานภาครัฐเป็นหลัก

ที่มาของภัยคุกคาม Webworm

กลุ่ม Webworm เป็นกลุ่มผู้คุกคามที่มีความซับซ้อนและมีความสามารถในการพัฒนาเครื่องมือโจมตีของตนเอง นักวิจัยพบว่ากลุ่มนี้ใช้เทคนิคการหลบเลี่ยงการตรวจจับที่ก้าวหน้า โดยการนำแพลตฟอร์มยอดนิยมอย่าง Discord และ Microsoft Graph API มาใช้เป็นช่องทางสื่อสารกับแบ็คดอร์ ซึ่งเป็นแนวทางที่กำลังได้รับความนิยมในหมู่ผู้ไม่หวังดี

แบ็คดอร์ EchoCreep และ GraphWorm

แบ็คดอร์ทั้งสองชนิดที่ถูกค้นพบ ได้แก่ EchoCreep และ GraphWorm มีความสามารถในการขโมยข้อมูลและควบคุมระบบจากระยะไกล โดย EchoCreep ใช้ Discord เป็นช่องทางรับคำสั่ง ในขณะที่ GraphWorm ใช้ Microsoft Graph API เพื่อสื่อสารอย่างแนบเนียนในเครือข่ายขององค์กร

ผลกระทบต่อหน่วยงานภาครัฐ

หน่วยงานภาครัฐเป็นเป้าหมายหลักของ Webworm เนื่องจากมีข้อมูลสำคัญและระบบโครงสร้างพื้นฐานที่อ่อนไหว การโจมตีที่ประสบความสำเร็จอาจนำไปสู่การรั่วไหลของข้อมูลลับและการหยุดชะงักของการให้บริการ ซึ่งเป็นภัยคุกคามที่ร้ายแรงต่อความมั่นคงของประเทศ

แนวทางการป้องกัน

องค์กรควรตรวจสอบการใช้งาน Discord และ Microsoft Graph API ในเครือข่ายของตนอย่างเคร่งครัด รวมถึงติดตั้งระบบตรวจจับและตอบสนองเหตุการณ์ที่สามารถระบุพฤติกรรมผิดปกติได้ นักวิจัยแนะนำให้ใช้การวิเคราะห์พฤติกรรมและแนวทาง Zero Trust ในการรักษาความปลอดภัยเพื่อลดความเสี่ยงจากการถูกโจมตี

Reference

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th