แฮกเกอร์ BRICKSTORM โจมตีองค์กรในสหรัฐฯ ด้วยมัลแวร์ซับซ้อน

ตุลาคม 14, 2025
 |  ไม่มีความเห็น
2885b3fb-6827-8103-aea0-c38b49ebf08a.png

นักวิจัยจาก Google Threat Intelligence Group (GTIG) และ Mandiant ได้เปิดเผยรายงานเกี่ยวกับการโจมตีทางไซเบอร์ขนาดใหญ่ที่มีเป้าหมายเป็นองค์กรในสหรัฐอเมริกาหลายสิบแห่ง โดยใช้มัลแวร์ที่มีชื่อว่า BRICKSTORM ซึ่งถูกพบว่ามีความเชื่อมโยงกับกลุ่มแฮกเกอร์ UNC5221 ที่คาดว่ามีความเกี่ยวข้องกับประเทศจีน[1][2] การโจมตีครั้งนี้มีความซับซ้อนและแอบแฝงมากจนสามารถหลบเลี่ยงระบบรักษาความปลอดภัยขั้นสูงขององค์กรต่าง ๆ ได้อย่างมีประสิทธิภาพ

แคมเปญการโจมตีนี้ถูกติดตามตั้งแต่เดือนมีนาคม 2025 โดยกลุ่มเป้าหมายหลักเป็นองค์กรในภาคส่วนที่สำคัญ ได้แก่ บริษัทกฎหมาย ผู้ให้บริการ Software-as-a-Service (SaaS) บริษัทเทคโนโลยี และธุรกิจ Business Process Outsourcing (BPO)[3][4] การเลือกเป้าหมายประเภทนี้มีจุดประสงค์ที่ชัดเจน คือการเข้าถึงข้อมูลที่มีคุณค่าสูง รวมถึงทรัพย์สินทางปัญญา ข้อมูลลูกค้า และข้อมูลการสื่อสารที่ละเอียดอ่อนของผู้บริหารระดับสูง นอกจากนี้ผู้โจมตียังอาจใช้การเข้าถึงองค์กรเหล่านี้เป็นจุดเชื่อมต่อไปยังลูกค้าปลายทางอื่น ๆ

สิ่งที่น่ากังวลที่สุดคือระยะเวลาที่ผู้โจมตีสามารถแฝงตัวอยู่ในระบบได้ โดยข้อมูลจาก Mandiant ระบุว่าผู้โจมตีอยู่ภายในเครือข่ายของเหยื่อเป็นเวลาเฉลี่ย 393 วัน หรือมากกว่าหนึ่งปีโดยไม่ถูกตรวจพบ[5][6] การแฝงตัวอยู่นานเช่นนี้ทำให้ผู้โจมตีมีเวลามากพอที่จะสำรวจเครือข่าย ขโมยข้อมูลอย่างต่อเนื่อง และวางรากฐานสำหรับการโจมตีในอนาคต ในหลายกรณี การแฝงตัวที่นานเกินไปทำให้นักวิจัยไม่สามารถระบุจุดเริ่มต้นของการโจมตีได้อย่างแม่นยำ

BRICKSTORM เป็นแบ็คดอร์ที่เขียนด้วยภาษา Go ซึ่งมีความสามารถหลากหลาย ทั้งการทำงานเป็นเว็บเซิร์ฟเวอร์ การจัดการไฟล์ การทำหน้าที่เป็น SOCKS proxy และสามารถรันคำสั่งผ่าน shell ได้[7] มัลแวร์ชนิดนี้ถูกออกแบบมาให้ติดตั้งบนอุปกรณ์ที่มักจะไม่มีระบบ Endpoint Detection and Response (EDR) ทำงานอยู่ เช่น network appliances และอุปกรณ์ขอบเครือข่าย ทำให้ยากต่อการตรวจจับและป้องกัน ผู้โจมตีมักเริ่มต้นด้วยการใช้ช่องโหว่แบบ zero-day บนอุปกรณ์เหล่านี้เพื่อเข้าสู่ระบบ

Charles Carmakal หัวหน้าฝ่ายเทคโนโลยีของ Mandiant Consulting กล่าวว่าแคมเปญ BRICKSTORM โดดเด่นด้วยความซับซ้อน ความสามารถในการหลบเลี่ยงระบบรักษาความปลอดภัยขั้นสูง และการเลือกเป้าหมายที่มีคุณค่าสูง[8] นักวิจัยคาดการณ์ว่าอาจต้องใช้เวลาหนึ่งถึงสองปีในการติดตามและแก้ไขผลกระทบจากแคมเปญนี้อย่างครบถ้วน เนื่องจากขนาดและความซับซ้อนของการโจมตี องค์กรต่าง ๆ ควรให้ความสำคัญกับการตรวจสอบระบบ การเพิ่มมาตรการยืนยันตัวตนที่แข็งแกร่งขึ้น และการค้นหาภัยคุกคามแบบเชิงรุกเพื่อป้องกันการโจมตีในลักษณะเดียวกัน

ป้ายกำกับ:, , , , , , , , ,