จากรายงานผลการตรวจสอบ และรับมือเหตุการณ์ของ Mandiant พบว่า มีการใช้ช่องโหว่ Zero-Day ที่เพิ่งเปิดเผยใหม่ในระบบ Learning Management System (LMS) ของ KnowledgeDeliver ไปใช้ในการโจมตีจริงเพื่อติดตั้ง Web shell แบบ In-Memory ที่ชื่อว่า BLUEBEAM
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-5426 ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน (Remote Code Execution) และส่งผลกระทบต่อระบบที่มีการตั้งค่า ASP.NET ตามค่า Default ก่อนวันที่ 24 กุมภาพันธ์ 2026
KnowledgeDeliver ซึ่งพัฒนาโดยบริษัท Digital Knowledge ในประเทศญี่ปุ่น เป็นระบบที่ถูกใช้งานกันอย่างแพร่หลายทั้งในระดับองค์กร และสถาบันการศึกษา การสืบสวนของ Mandiant ต่อเหตุการณ์การโจมตีในช่วงปลายปี 2025 เผยให้เห็นว่าสาเหตุของการถูกโจมตีนั้นมาจากแนวทางปฏิบัติด้านการเข้ารหัสที่ไม่ปลอดภัย โดยเฉพาะการนำ Machine Key ของ ASP.NET ที่เหมือนกันมาใช้ซ้ำในระบบของลูกค้าหลายราย
Keys เหล่านี้มีหน้าที่ในการรักษาความปลอดภัยของข้อมูล ViewState ซึ่งเป็นกลไกที่ใช้สำหรับรักษาสถานะของหน้าเว็บเพจในระหว่างที่มีการส่ง Request ในแอปพลิเคชัน ASP.NET
ช่องโหว่ Zero-Day ของ KnowledgeDeliver LMS ถูกนำไปใช้ในการโจมตี
เนื่องจากค่า machineKey ถูกฝังไว้แบบ Hardcoded และถูกใช้งานร่วมกัน ผู้โจมตีที่ได้ Keys เหล่านี้จากเซิร์ฟเวอร์ใดเซิร์ฟเวอร์หนึ่ง จึงสามารถสร้าง Payload ที่เป็นอันตรายของ ViewState และนำไปใช้ซ้ำเพื่อโจมตีเซิร์ฟเวอร์อื่น ๆ ที่ใช้งาน Keys เดียวกันได้
ด้วยการสร้าง Payload แบบ Serialized และส่งผ่านพารามิเตอร์ __VIEWSTATE ใน HTTP Request ผู้โจมตีสามารถบังคับให้เซิร์ฟเวอร์ทำการ Deserialize โดยใช้ข้อมูลที่ไม่น่าเชื่อถือ ซึ่งส่งผลให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ได้สำเร็จ
รูปแบบการโจมตีแบบ Attack chain นี้ คล้ายคลึงอย่างมากกับการโจมตีแบบ ViewState Deserialization ที่เคยมีรายงานก่อนหน้านี้บนแพลตฟอร์มอย่าง Sitecore รวมถึงแคมเปญการโจมตีก่อนหน้าที่ Microsoft เคยเน้นย้ำซึ่งเกี่ยวข้องกับการรั่วไหลของ Machine Key
หลังจากที่โจมตีเข้าสู่ระบบในเบื้องต้นได้สำเร็จ ผู้โจมตีได้ทำการฝัง BLUEBEAM ซึ่งเป็น Web shell ที่ทำงานบน .NET (หรือที่รู้จักกันในชื่อ Godzilla) แตกต่างจาก Web shell แบบเดิมที่ต้องอาศัยไฟล์ที่จัดเก็บไว้ใน Disk เพราะ BLUEBEAM จะทำงานในหน่วยความจำทั้งหมดภายใต้โปรเซส IIS worker (w3wp.exe) ซึ่งช่วยลดร่องรอยทาง Forensic footprint ได้อย่างมาก
มัลแวร์ตัวนี้สื่อสารผ่าน HTTP POST Request แบบเข้ารหัส ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่ง, อัปโหลด Payloads และแฝงตัวอยู่ในระบบได้อย่างต่อเนื่องโดยไม่ไปทำให้ระบบตรวจจับมัลแวร์จากไฟล์แบบเดิม
การโจมตีไม่ได้หยุดอยู่แค่การเข้าถึงระดับเซิร์ฟเวอร์เท่านั้น Mandiant ยังพบว่าผู้โจมตีได้ใช้คำสั่ง icacls เข้าไปแก้ไขสิทธิ์ของระบบไฟล์เพื่อเปิดสิทธิ์การเข้าถึงในวงกว้าง ซึ่งส่งผลให้มาตรการรักษาความปลอดภัยบนเครื่อง Host ที่ถูกโจมตีนั้นหละหลวมลงอย่างมาก
นอกจากนี้ ไฟล์ JavaScript ที่ถูกต้องของระบบภายใน LMS ยังถูกดัดแปลงเพื่อแทรกโค้ดที่เป็นอันตราย โค้ดดังกล่าวจะแสดงหน้าต่างแจ้งเตือนด้านความปลอดภัยปลอม เพื่อหลอกให้ผู้ใช้ติดตั้งสิ่งที่อ้างว่าเป็น Authentication plugin ในขณะเดียวกันก็จะโหลดสคริปต์ภายนอกจากโครงสร้างพื้นฐานที่ควบคุมโดยผู้โจมตี
วิธีการโจมตีแบบ Social engineering นี้นำไปสู่การติดมัลแวร์ของผู้ใช้งานในขั้นตอนต่อไป โดยผู้ใช้ที่ดาวน์โหลด Plugin ปลอมดังกล่าวจะถูกโจมตีด้วย Cobalt Strike Beacon payload ซึ่งเป็นเครื่องมือสำหรับการโจมตีหลังการเจาะระบบ (Post-exploitation framework) ที่มักถูกนำไปใช้ในทางที่ผิดอย่างแพร่หลาย
ที่น่าสังเกตคือ Payload นี้ถูกเข้ารหัสด้วย Key ที่สร้างขึ้นจากชื่อขององค์กรที่ตกเป็นเหยื่อ ซึ่งแสดงให้เห็นว่าผู้โจมตีได้ทำการสำรวจ และรวบรวมข้อมูลแบบเจาะจงเป้าหมายล่วงหน้าก่อนที่จะเริ่มทำการโจมตีระบบ
แม้จะมีโอกาสตรวจจับกิจกรรมเหล่านี้ได้ แต่ก็จำเป็นต้องอาศัยการเฝ้าระวังพฤติกรรมของแอปพลิเคชัน และระบบอย่างระมัดระวัง Windows Application logs อาจมีรายการ ASP.NET Event ID 1316 ปรากฏอยู่ ซึ่งแสดงให้เห็นถึงความล้มเหลว หรือความผิดปกติในการตรวจสอบความถูกต้องของข้อมูล ViewState
ในบางกรณี Payload ที่ผู้โจมตีสร้างขึ้นได้สำเร็จอาจทำให้เกิด error "invalid ViewState" แต่ระบบก็ยังคงพยายาม Deserialization อยู่ดี Mandiant รายงานว่า สามารถกู้คืนบางส่วนของ Payload ที่ถูกเข้ารหัสจากข้อมูล Logs เหล่านี้ได้ ซึ่งพบว่ามีความเชื่อมโยงกับกิจกรรมของมัลแวร์ BLUEBEAM
การเฝ้าระวังโปรเซสก็มีความสำคัญไม่แพ้กัน เนื่องจากโปรเซสย่อยที่น่าสงสัย เช่น cmd.exe หรือ powershell.exe ที่ถูกเรียกใช้งานจากโปรเซส w3wp.exe สามารถแสดงให้เห็นถึงการถูกโจมตีระบบได้ นอกจากนี้ File integrity monitoring อาจเผยให้เห็นการดัดแปลงไฟล์ .js, .aspx หรือ .config โดยไม่ได้รับอนุญาต โดยเฉพาะการแทรกคำสั่งเพื่อโหลดสคริปต์จากระยะไกล
ผู้ดูแลเครือข่ายควรเฝ้าระวังข้อมูล User-Agent string ที่ผิดปกติ โดยเฉพาะสิ่งที่เกิดจากการนำ Browser signatures หลายตัวมาเชื่อมต่อกัน ซึ่งเป็นรูปแบบที่สอดคล้องกับแคมเปญการโจมตีผ่าน ViewState ในอดีต
วิธีเดียวที่จะแก้ไขช่องโหว่นี้ได้อย่างมีประสิทธิภาพคือ การ Rotation ของ ASP.NET Machine Key ใหม่ทันที โดยต้องตั้งค่าให้เป็นค่าเฉพาะตัวที่ไม่ซ้ำกันในแต่ละระบบ และมีการเข้ารหัสแบบ Cryptographically strong
นอกจากนี้ ขอแนะนำให้องค์กรต่าง ๆ จำกัดการเข้าถึงระบบ LMS ไว้เฉพาะกลุ่ม IP ranges ที่เชื่อถือได้ และดำเนินการค้นหาภัยคุกคามย้อนหลัง เพื่อค้นหาร่องรอยของการถูกโจมตีระบบ
Indicator of Compromise ที่เกี่ยวข้องกับแคมเปญนี้ ได้แก่ BLUEBEAM payload ที่ชื่อ LoadLibrary.dll ซึ่งมีค่า SHA-256 hash คือ 7c1f99dca8e5a7897892f9d224a6495023a2cfd2671697d229d355978c415ed2
เหตุการณ์นี้แสดงให้เห็นถึงความเสี่ยงเชิงระบบที่เกิดจากการใช้ข้อมูล Shared secrets ใน Templates การติดตั้งซอฟต์แวร์ Key ที่หลุดออกไปเพียง Key เดียวอาจนำไปสู่การถูกโจมตีระบบข้ามองค์กรที่ไม่เกี่ยวข้องกันได้ เรื่องนี้จึงยิ่งแสดงให้เห็นว่า การตั้งค่าระบบให้ปลอดภัยตั้งแต่เริ่มต้น (Secure-by-default) และการเฝ้าระวังภัยคุกคามในระดับแอปพลิเคชันอย่างต่อเนื่องนั้นเป็นสิ่งที่ขาดไม่ได้
ที่มา : cybersecuritynews
You must be logged in to post a comment.