09/67 (IT) ประจำวันพุธที่ 8 มกราคม 2568
นักวิจัยด้านความปลอดภัยของ Kaspersky เปิดเผยถึงมัลแวร์ EagerBee ซึ่งเป็นแบ็คดอร์ที่พัฒนาขึ้นเพื่อเพิ่มขีดความสามารถในการซ่อนตัวและดำเนินการหลังการติดเชื้อ ซึ่งมัลแวร์นี้ถูกใช้ในการโจมตีองค์กรสำคัญในประเทศแถบตะวันออกกลาง โดยผู้โจมตีมุ่งเป้าหมายไปยังผู้ให้บริการอินเทอร์เน็ต (ISP) และหน่วยงานของรัฐบาล โดยมัลแวร์ EagerBee แสดงให้เห็นถึงความก้าวหน้าทางเทคโนโลยีที่สามารถทำงานในหน่วยความจำเพื่อเพิ่มความสามารถในการหลบเลี่ยงการตรวจจับได้ นอกจากนี้ยังสามารถซ่อนการทำงานโดยแทรกโค้ดที่เป็นอันตรายเข้าสู่กระบวนการที่ถูกต้องตามกฎหมาย เช่น กระบวนการของ explorer.exe และมีคุณสมบัติใหม่และได้รับการพัฒนาที่มาพร้อมกับปลั๊กอินใหม่จำนวนมากที่ออกแบบมาเพื่อดำเนินกิจกรรมที่เป็นอันตราย เช่น การติดตั้งเพย์โหลดเพิ่มเติม การสำรวจระบบไฟล์ การดำเนินการเชลล์คำสั่ง และการจัดการบริการระบบ มัลแวร์ยังสามารถแทรกแบ็คดอร์เข้าสู่บริการที่กำลังทำงานได้อย่างแนบเนียน
นาย Saurabh Sharma นักวิจัยด้านความปลอดภัยอาวุโสของ Kaspersky ระบุว่ามัลแวร์นี้ได้รับการออกแบบมาอย่างซับซ้อน โดยมีความสามารถในการรวบรวมข้อมูลระบบที่ติดมัลแวร์ และรายงานกลับไปยังเซิร์ฟเวอร์ควบคุม (C2) ซึ่งรวมถึงรายละเอียดของหน่วยความจำ ระบบไฟล์ และข้อมูลสิทธิ์การเข้าถึง ซึ่งจากการวิเคราะห์ของ Kaspersky ระบุว่ามัลแวร์ EagerBee มีความเชื่อมโยงกับกลุ่มภัยคุกคามทางไซเบอร์ของจีนชื่อว่า CoughingDown ซึ่งเคยทำการโจมตีองค์กรในเอเชียตะวันออกเฉียงใต้มาก่อนหน้านี้ โดยใช้แบ็คดอร์เวอร์ชันก่อนหน้า ในการขโมยข้อมูลทางการทหารและการเมืองที่ละเอียดอ่อน แม้ว่านักวิจัยจะไม่สามารถระบุวิธีการแพร่กระจายของมัลแวร์ในการโจมตีครั้งนี้ได้ แต่ในอดีตผู้โจมตีเคยใช้ช่องโหว่ ProxyLogon ของ Microsoft Exchange Server ซึ่งยังคงเป็นวิธีที่นิยมใช้ในการเข้าถึงระบบเครือข่ายโดยไม่ได้รับอนุญาต ทั้งนี้ การพัฒนาของ EagerBee รุ่นใหม่นี้ แสดงให้เห็นถึงความก้าวหน้าด้านเทคนิคของกลุ่มที่เป็นภัยคุกคามทางไซเบอร์ ซึ่งเป็นสัญญาณเตือนให้องค์กรต่าง ๆ ต้องทำการปรับปรุงมาตรการป้องกันภัยทางไซเบอร์ เพื่อรับมือกับการโจมตีที่ซับซ้อนมากขึ้นอย่างต่อเนื่อง
