ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม ประตูหลัง ประตูหลังลึกลับ

ประตูหลังลึกลับ

โดย Mezo ใน ประตูหลัง
แปลเป็น:

มัลแวร์ประเภท Mistic หรือที่รู้จักกันในชื่อ MLTBackdoor ซึ่งเป็นช่องโหว่ด้านความปลอดภัยที่ซับซ้อน ได้ปรากฏขึ้นในการโจมตีทางไซเบอร์ที่ต้องสงสัยว่ามีแรงจูงใจทางการเงิน โดยเริ่มดำเนินการมาตั้งแต่เดือนเมษายน 2569 มัลแวร์นี้ถูกตรวจพบในการโจมตีองค์กรที่ดำเนินงานในภาคประกันภัย การศึกษา เทคโนโลยีสารสนเทศ และบริการระดับมืออาชีพ

นักวิจัยด้านความปลอดภัยได้เชื่อมโยงปฏิบัติการนี้กับ Initial Access Broker (IAB) ที่ชื่อ KongTuke ซึ่งรู้จักกันในชื่ออื่นๆ อีกหลายชื่อ เช่น 404 TDS, Chaya_002, LandUpdate808, TAG-124 และ Woodgnat ในระหว่างการโจมตีเหล่านี้ Mistic ถูกนำไปใช้ร่วมกับ ModeloRAT ซึ่งเป็นโทรจันสำหรับการเข้าถึงระยะไกลที่ใช้ Python และก่อนหน้านี้ถูกระบุว่าเป็นฝีมือของผู้ก่อภัยคุกคามรายเดียวกัน

ออกแบบมาเพื่อการเข้าถึงแบบลับๆ และระยะยาว

มัลแวร์ Mistic โดดเด่นเนื่องจากสามารถทำงานได้ทั้งหมดในหน่วยความจำโดยไม่ต้องเขียนไฟล์ลงดิสก์ ซึ่งช่วยลดโอกาสในการตรวจจับได้อย่างมาก นอกจากนี้ มัลแวร์ยังมีกลไกปิดตัวเองอัตโนมัติที่ช่วยให้มันลบตัวเองได้เมื่อจำเป็น คุณลักษณะเหล่านี้บ่งชี้ว่าผู้ดำเนินการมุ่งเน้นไปที่การรักษาการเข้าถึงสภาพแวดล้อมที่ถูกบุกรุกอย่างต่อเนื่องและลับๆ

เพื่อหลีกเลี่ยงการดึงดูดความสนใจ มัลแวร์จึงใช้เทคนิคการโหลด DLL จากภายนอก โดยใช้ประโยชน์จากยูทิลิตี้รักษาความปลอดภัยปลายทางที่ถูกต้องตามกฎหมายของ Microsoft อย่าง MpExtMs.exe เพื่อกลมกลืนกับการทำงานปกติของระบบ

วิวัฒนาการของแคมเปญการจัดส่งของ ClickFix

ModeloRAT เริ่มเป็นที่สนใจครั้งแรกในเดือนมกราคม 2026 ระหว่างการสืบสวนคดีเกี่ยวกับแคมเปญโจมตี ClickFix รูปแบบหนึ่งที่รู้จักกันในชื่อ CrashFix ในปฏิบัติการนี้ กลุ่มแฮกเกอร์ KongTuke ได้เผยแพร่ส่วนขยาย Google Chrome ที่เป็นอันตรายซึ่งปลอมตัวเป็นโปรแกรมบล็อกโฆษณา ส่วนขยายนี้จะทำให้เบราว์เซอร์ของผู้ตกเป็นเหยื่อล่มโดยเจตนา จากนั้นหลอกให้พวกเขารันคำสั่งที่เป็นอันตรายภายใต้การปลอมตัวเป็นการสแกนความปลอดภัย

แคมเปญโจมตีอีกแคมเปญหนึ่งของ ClickFix ใช้แนวทางที่แตกต่างออกไป โดยสั่งให้เหยื่อดำเนินการคำสั่งที่ทำการค้นหาในระบบชื่อโดเมน (DNS) จากนั้นคำขอ DNS จะถูกนำมาใช้เพื่อดึงข้อมูลเพย์โหลดในขั้นตอนต่อไป ซึ่งเป็นการเปลี่ยน DNS ให้กลายเป็นกลไกการเตรียมการและส่งสัญญาณแบบง่ายๆ สำหรับผู้โจมตี

ในเดือนมิถุนายน ปี 2026 นักวิจัยยังได้เน้นย้ำถึงการใช้ ClickFix เป็นกลไกในการส่งมัลแวร์ Mistic โดยระบุว่ากิจกรรมดังกล่าวเป็นฝีมือของผู้ก่อภัยคุกคามที่เกี่ยวข้องกับแรนซัมแวร์ ซึ่งพยายามที่จะสร้างฐานที่มั่นเริ่มต้นและอำนวยความสะดวกในการแพร่กระจายข้ามเครือข่าย

ความสามารถที่ทำให้มิสติกเป็นอันตรายอย่างยิ่ง

ช่องโหว่นี้มีฟังก์ชันการทำงานที่หลากหลาย ซึ่งมักพบในมัลแวร์เข้าถึงระยะไกลขั้นสูง รวมถึง:

การอัปโหลดและดาวน์โหลดไฟล์ การสร้างโฟลเดอร์ และการย้าย เปลี่ยนชื่อ หรือลบไฟล์
การเรียกใช้โค้ดที่เป็นอันตรายโดยตรงในหน่วยความจำ การโหลดไฟล์ Beacon Object เพื่อขยายฟังก์ชันการทำงาน การแก้ไขช่วงเวลาการตรวจสอบคำสั่ง และการยุติและลบตัวเองเพื่อกำจัดหลักฐาน

การกำหนดเป้าหมายแบบฉวยโอกาสและการเชื่อมโยงกับมัลแวร์เรียกค่าไถ่

ดูเหมือนว่าแคมเปญนี้จะใช้รูปแบบการฉวยโอกาสมากกว่าการมุ่งเน้นไปที่อุตสาหกรรมใดอุตสาหกรรมหนึ่งโดยเฉพาะ มีรายงานว่าผู้โจมตีได้เจาะระบบองค์กรต่างๆ มากมาย จากนั้นจึงประเมินว่าเหยื่อรายใดบ้างที่อาจให้โอกาสในการเข้าถึงข้อมูลที่ทำกำไรได้ เพื่อนำไปขายต่อให้กับอาชญากรไซเบอร์รายอื่น

นักวิจัยยังพบเห็น ModeloRAT ในการโจมตีที่นำไปสู่การแพร่กระจายของแรนซอมแวร์ Qilin ซึ่งเป็นการตอกย้ำความเชื่อมโยงระหว่างผู้ไกล่เกลี่ยการเข้าถึงเบื้องต้นและผู้ดำเนินการแรนซอมแวร์

คลังเทคนิคการวิศวกรรมทางสังคมที่ขยายตัวของ KongTuke

KongTuke ดำเนินการระบบกระจายการเข้าชม (TDS) ที่ซับซ้อนซึ่งสร้างขึ้นบนเว็บไซต์ WordPress ที่ถูกบุกรุก โครงสร้างพื้นฐานนี้ใช้เพื่อสร้างเหยื่อล่อที่เปลี่ยนแปลงอยู่ตลอดเวลา ซึ่งจะเปลี่ยนเส้นทางผู้เข้าชมที่ไม่ระมัดระวังไปยังห่วงโซ่การส่งมอบมัลแวร์

เมื่อไม่นานมานี้ บริษัทรักษาความปลอดภัย Rapid7 และ ReliaQuest รายงานว่าผู้โจมตีได้เปลี่ยนกลยุทธ์โดยส่งข้อความ Microsoft Teams จากบัญชี 'ฝ่ายสนับสนุนด้านไอที' ปลอม ข้อความเหล่านี้จะเริ่มต้นห่วงโซ่การโจมตีที่จบลงด้วยการติดตั้ง ModeloRAT

แนวโน้มที่กำลังเติบโตในการพัฒนาโปรแกรมมัลแวร์แบบกำหนดเอง

ความซับซ้อนของ Mistic และการมีส่วนร่วมที่ต้องสงสัยของ Woodgnat ในการพัฒนา ModeloRAT ชี้ให้เห็นถึงกลุ่มที่มีทักษะสูงและเชี่ยวชาญด้านเครื่องมือเข้าถึงระยะไกลที่ซ่อนเร้น การปรากฏตัวของ Backdoor.Mistic ยังสะท้อนให้เห็นถึงแนวโน้มในอุตสาหกรรมที่กว้างขึ้น ซึ่งการปฏิบัติการแรนซัมแวร์พึ่งพาโปรแกรมมัลแวร์ที่สร้างขึ้นเอง เครื่องมือดึงข้อมูล และเครื่องมือเข้าถึงเฉพาะทางมากขึ้นเรื่อยๆ

หลักฐานในปัจจุบันชี้ให้เห็นว่า Mistic น่าจะเป็นผลผลิตจากการทำงานร่วมกันของกลุ่มแฮกเกอร์ที่ทำหน้าที่เป็นตัวกลางในการเข้าถึงข้อมูล กับกลุ่มที่เกี่ยวข้องกับแรนซอมแวร์ มากกว่าที่จะเป็นเครื่องมือที่กลุ่มแรนซอมแวร์พัฒนาขึ้นโดยตรง

กระทู้ที่เกี่ยวข้อง

กำลังโหลด...