กลุ่มแฮ็กเกอร์ที่ถูกเชื่อมโยงกับรัฐบาลจีน กำลังใช้ประโยชน์จากช่องโหว่ Zero-day ของ Windows ในการโจมตีนักการทูตยุโรปในฮังการี เบลเยียม และประเทศอื่น ๆ ในยุโรป
จากข้อมูลของ Arctic Wolf Labs การโจมตีเริ่มต้นด้วยอีเมล spearphishing ที่นำไปสู่การส่งไฟล์ LNK ที่เป็นอันตราย ซึ่งมีเนื้อหาเกี่ยวกับการประชุมเชิงปฏิบัติการด้านการจัดซื้อจัดจ้างด้านกลาโหมของ NATO การประชุมอำนวยความสะดวกด้านพรมแดนของคณะกรรมาธิการยุโรป และกิจกรรมทางการทูตอื่น ๆ
ไฟล์อันตรายเหล่านี้ถูกออกแบบมาเพื่อใช้ประโยชน์จากช่องโหว่ระดับความรุนแรงสูงของไฟล์ LNK บน Windows หมายเลข CVE-2025-9491 เพื่อติดตั้ง PlugX มัลแวร์ remote access trojan (RAT) ทำให้สามารถแฝงตัวอยู่บนระบบที่ถูกเจาะ ช่วยให้ระบบสามารถตรวจสอบการสื่อสารทางการทูต และขโมยข้อมูลที่มีความสำคัญได้
แคมเปญจารกรรมทางไซเบอร์นี้ถูกระบุว่า เป็นการกระทำของกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน ซึ่งเป็นที่รู้จักในชื่อ UNC6384 (Mustang Panda) โดยกลุ่มนี้มีชื่อเสียงในการปฏิบัติการจารกรรมที่สอดคล้องกับผลประโยชน์เชิงยุทธศาสตร์ของจีน และมุ่งเป้าไปที่หน่วยงานทางการทูตทั่วเอเชียตะวันออกเฉียงใต้
การวิเคราะห์มัลแวร์ และโครงสร้างพื้นฐานที่ใช้ในแคมเปญนี้โดยนักวิจัยจาก Arctic Wolf Labs และ StrikeReady ยังเปิดเผยอีกว่า การโจมตีเหล่านี้ได้ขยายขอบเขตออกไปในช่วงไม่กี่สัปดาห์ที่ผ่านมา ในขณะที่ตอนแรกมุ่งเน้นไปที่หน่วยงานการทูตของฮังการี และเบลเยียม แต่ปัจจุบันยังมุ่งเป้าไปที่องค์กรอื่น ๆ ในยุโรปด้วย รวมถึงหน่วยงานรัฐบาลเซอร์เบีย และหน่วยงานการทูตจากอิตาลี และเนเธอร์แลนด์
นักวิจัยระบุว่า "Arctic Wolf Labs ประเมินด้วยความมั่นใจอย่างสูงว่าแคมเปญนี้เกี่ยวข้องกับ UNC6384 ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับจีน" "การระบุแหล่งที่มานี้อ้างอิงจากหลักฐานหลายชุดที่เชื่อมโยงกัน รวมถึงเครื่องมือมัลแวร์ ขั้นตอนเชิงกลยุทธ์ การจัดวางเป้าหมาย และโครงสร้างพื้นฐานที่ทับซ้อนกับปฏิบัติการ UNC6384 ที่เคยบันทึกไว้ก่อนหน้านี้"
กำลังถูกใช้ในการโจมตีจำนวนมาก
ช่องโหว่ Zero-day ที่ใช้ในแคมเปญนี้ ช่วยให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายได้จากระยะไกลบนระบบ Windows ที่เป็นเป้าหมาย อย่างไรก็ตาม การโจมตีจะสำเร็จได้ก็ต่อเมื่อมีการโต้ตอบจากผู้ใช้ เนื่องจากต้องมีการหลอกล่อให้เหยื่อเข้าไปยังหน้าเว็บที่เป็นอันตราย หรือเปิดไฟล์ที่เป็นอันตราย
CVE-2025-9491 นี้เกิดขึ้นในส่วนการจัดการไฟล์ .LNK ซึ่งช่วยให้ผู้โจมตีสามารถใช้ประโยชน์จากวิธีที่ Windows แสดงผล shortcut files เพื่อหลบเลี่ยงการตรวจจับ และสั่งรันโค้ดบนอุปกรณ์ที่มีช่องโหว่ โดยที่ผู้ใช้ไม่รู้ตัว ผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้โดยการซ่อน command-line arguments ที่เป็นอันตรายไว้ภายในไฟล์ .LNK shortcut ไปยังโครงสร้าง COMMAND_LINE_ARGUMENTS โดยใช้การเติมช่องว่าง
ในเดือนมีนาคม 2025 นักวิเคราะห์ภัยคุกคามของ Trend Micro พบว่า CVE-2025-9491 ถูกนำไปใช้ประโยชน์อย่างกว้างขวางแล้ว โดยกลุ่มที่ได้รับการสนับสนุนจากรัฐบาล และกลุ่มอาชญากรไซเบอร์รวม 11 กลุ่ม รวมถึง Evil Corp, APT43 (หรือที่รู้จักในชื่อ Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni และอื่น ๆ
Trend Micro ระบุในขณะนั้นว่า "มีการติดตาม payloads และ loaders ของมัลแวร์ที่หลากหลาย เช่น Ursnif, Gh0st RAT และ Trickbot ในแคมเปญเหล่านี้ โดยมีแพลตฟอร์ม Malware-as-a-Service (MaaS) ที่ทำให้ภัยคุกคามมีความซับซ้อนมากขึ้น"
แม้ว่า Microsoft จะแจ้งกับ BleepingComputer เมื่อเดือนมีนาคมว่าจะพิจารณาแก้ไขช่องโหว่ Zero-day นี้ แม้ว่าจะไม่เข้าเกณฑ์ที่จะต้องได้รับการแก้ไขทันที แต่ Microsoft ก็ยังไม่ได้ปล่อยอัปเดตความปลอดภัยออกมาเพื่อแก้ไขช่องโหว่ของ Windows ที่กำลังถูกใช้ในการโจมตีเป็นวงกว้างอยู่ตอนนี้
เนื่องจากยังไม่มีแพตช์อย่างเป็นทางการสำหรับ CVE-2025-9491 เพื่อป้องกันการโจมตีที่กำลังเกิดขึ้น ผู้ดูแลระบบจึงได้รับคำแนะนำให้จำกัด หรือบล็อกการใช้ไฟล์ .LNK ของ Windows และบล็อกการเชื่อมต่อไปยัง C2 servers ที่ถูกระบุโดย Arctic Wolf Labs
ที่มา : bleepingcomputer
You must be logged in to post a comment.