GigaWiper แบ็กดอร์ Windows รวมฟังก์ชันทำลายหลายแบบในโมดูลเดียว

ที่มาภาพ: The Hacker News

Security-อ่าน 5 นาทีThe Hacker News

GigaWiper แบ็กดอร์ Windows รวมฟังก์ชันทำลายหลายแบบในโมดูลเดียว

⚡ สรุป 30 วิ

Microsoft เผยว่า GigaWiper เป็นแบ็กดอร์ของ Windows ที่รวมการลบข้อมูลเต็มดิสก์ เขียนทับพาร์ทิชันระบบ และแรนซัมแวร์ปลอมไว้ในโมดูลเดียว…

Microsoft เผยการวิเคราะห์ของ GigaWiper ‑ โครงข่าย Backdoor ที่ทำลายระบบ Windows อย่างรุนแรง โดยพบว่าโค้ดนี้ไม่ได้เป็นเครื่องมือเดี่ยว แต่รวมคุณสมบัติของโปรแกรมทำลายเก่า‑กว่าไว้สามแบบในหนึ่งเดียว ทำให้ผู้โจมตีสามารถเลือกวิธีทำลายได้ตามต้องการ การเปิดเผยครั้งนี้สำคัญเพราะแสดงถึงความซับซ้อนที่เพิ่มขึ้นของภัยไซเบอร์ที่มุ่งหมายทำลายข้อมูลและระบบปฏิบัติการโดยตรง

Overview

GigaWiper ถูกระบุว่าเป็น Windows backdoor ที่พัฒนาเพื่อให้ผู้โจมตีสามารถเข้าถึงเครื่องเป้าหมายแล้วสั่งให้ทำลายข้อมูลได้อย่างรวดเร็ว รายงานของ Microsoft ระบุว่ามีการใช้เทคนิคการบรรจุหลายฟังก์ชันไว้ในโมดูลเดียว ซึ่งแตกต่างจากมัลแวร์แบบเดี่ยวที่มักทำเพียงหนึ่งหน้าที่

แม้ว่าจะยังไม่มีข้อมูลว่า GigaWiper ถูกใช้งานโดยกลุ่มใดเป็นหลัก แต่พฤติกรรมของมันบ่งบอกถึงเจตนาทำลายขั้นสูง การรวมฟังก์ชันหลายแบบลงในตัวเดียวช่วยลดโอกาสที่ระบบรักษาความปลอดภัยจะตรวจจับได้ เนื่องจากเครื่องมือแต่ละอันสามารถสลับใช้งานตามสถานการณ์

Architecture

การออกแบบของ GigaWiper มีรูปแบบโมดูลาร์ ผู้โจมตีเมื่อเข้าถึงเครื่องแล้วจะได้รับชุดคำสั่งที่เลือกใช้ได้สามแบบ ซึ่งเป็นการรวม โปรแกรมทำลายเก่า ที่เคยพบในแคมเปญอื่น ๆ มาก่อน หน่วยประมวลผลหลักของแบ็กดอร์จะแบ่งหน้าที่ตามคำสั่งที่รับมา ทำให้สามารถดำเนินการได้อย่างต่อเนื่องโดยไม่ต้องดาวน์โหลดไฟล์เพิ่มเติม

โครงสร้างนี้ยังช่วยให้ผู้โจมตีลดรอยเท้าการทำงาน (footprint) เนื่องจากทั้งหมดอยู่ในไฟล์เดียว การตรวจจับพฤติกรรมของระบบจึงจำเป็นต้องอาศัยการวิเคราะห์เชิงพฤติกรรมมากกว่าการสแกนลายเซ็นแบบดั้งเดิม

Capabilities

GigaWiper ให้ผู้โจมตีเลือกทำลายข้อมูลด้วยสามวิธีหลัก

  • wipe the whole disk – ทำให้ฮาร์ดไดรฟ์ทั้งหมดไม่สามารถอ่านข้อมูลได้อีกต่อไป
  • overwrite the Windows drive – เขียนทับพาร์ติชันของระบบปฏิบัติการโดยตรง ทำให้เครื่องไม่สามารถบูตได้
  • **run fake “ransomware” – สร้างไฟล์ที่ดูเหมือนถูกเข้ารหัสด้วย ransomware แต่ใช้คีย์ที่ไม่ได้บันทึกไว้ ทำให้ไฟล์กลายเป็น “เสียหาย” อย่างถาวร

แต่ละวิธีจะทำงานอิสระต่อกันและสามารถสลับใช้งานได้ตามคำสั่งของผู้โจมตี ทำให้การตอบสนองจากทีมรักษาความปลอดภัยต้องครอบคลุมหลายระดับ

Detection & Mitigation

Microsoft แนะนำให้องค์กรตรวจสอบพฤติกรรมที่ผิดปกติเช่น การเรียกใช้ระบบไฟล์ในรูปแบบที่ไม่คาดคิดหรือการเขียนทับพาร์ติชันของ Windows อย่างต่อเนื่อง นอกจากนี้ ควรอัปเดตซอฟต์แวร์รักษาความปลอดภัยและเปิดใช้งานฟีเจอร์การตรวจจับพฤติกรรม (behavioral detection) ของ Microsoft Defender

การสำรองข้อมูลเป็นขั้นตอนสำคัญที่ช่วยลดผลกระทบจากการทำลายของ GigaWiper หากมีการกู้คืนจากแบ็คอัพล่าสุด ระบบสามารถกลับมาทำงานได้โดยไม่ต้องเสียเวลาซ่อมแซมฮาร์ดไดรฟ์ การจำกัดสิทธิ์ผู้ใช้และการตรวจสอบความเป็นจริงของไฟล์ที่ถูกเข้ารหัสเทียมก็เป็นแนวทางป้องกันเพิ่มเติม

Impact

ผลกระทบจาก GigaWiper สามารถทำให้ระบบองค์กรเสียหายอย่างถาวรได้ในเวลาอันสั้น โดยเฉพาะเมื่อผู้โจมตีเลือกใช้วิธี wipe the whole disk หรือ overwrite the Windows drive ซึ่งทำให้ข้อมูลสำคัญและซอฟต์แวร์พื้นฐานของเครื่องถูกทำลายโดยไม่มีทางกู้คืน หากองค์กรไม่ได้มีการสำรองข้อมูลที่อัปเดตล่าสุด จะต้องเผชิญกับค่าใช้จ่ายสูงในการติดตั้งระบบใหม่ทั้งหมด

นอกจากนี้ การกระจายของ GigaWiper ผ่านช่องโหว่หรือเทคนิคสังคมวิศวกรรม (social engineering) ยังทำให้ผู้ดูแลระบบต้องเพิ่มความระมัดระวังต่อการเปิดไฟล์แนบหรือคลิกที่ลิงก์ที่ไม่รู้จัก ซึ่งเป็นพื้นฐานสำคัญในการป้องกันภัยคุกคามระดับนี้

Summary

Microsoft เปิดเผยว่า GigaWiper เป็นแบ็กดอร์จที่รวมคุณสมบัติทำลายหลายแบบไว้ในโมดูลเดียว ทำให้ผู้โจมตีสามารถเลือกวิธีทำลายข้อมูลได้ตามสถานการณ์ การตรวจจับและป้องกันต้องอาศัยการวิเคราะห์เชิงพฤติกรรมและการสำรองข้อมูลอย่างสม่ำเสมอเพื่อลดความเสียหายที่อาจเกิดขึ้น.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
New GigaWiper Windows Backdoor Bundles Disk Wiping, Fake Ransomware, and Spyware
ผู้เขียน
[email protected] (The Hacker News)
แหล่ง
The Hacker News
วันที่เผยแพร่
10 กรกฎาคม 2569 เวลา 01:08

Related

บทความที่เกี่ยวข้อง

Microsoft คืนค่าและลบ Repository บน GitHub หลังเหตุการณ์แ…Security
11 มิถุนายน 2569 เวลา 23:30

Microsoft คืนค่าและลบ Repository บน GitHub หลังเหตุการณ์แ…

Microsoft ลบ Repository ที่ถูกแฮ็กบน GitHub ชั่วคราวและคืนค่า Repository ที่ปลอดภัย…

The Hacker News6 นาที
VS Code เปิดการหน่วงเวลา 2 ชั่วโมงก่อนอัปเดตส่วนขยายอัตโน…Security
10 มิถุนายน 2569 เวลา 13:00

VS Code เปิดการหน่วงเวลา 2 ชั่วโมงก่อนอัปเดตส่วนขยายอัตโน…

Microsoft เพิ่มเวลาหน่วง 2 ชั่วโมงก่อนส่วนขยายของ VS Code จะอัปเดตอัตโนมัติ เพื่อลดความเสี่ยงจากการโจมตีซัพพลายเชน ผู้ใช้ยังคงอัปเดตด้วยตนเองได้หากต้องการ

The Hacker News7 นาที
Microsoft แจ้งเตือนคดียุติธรรมต่อผู้เปิดเผยช่องโหว่ระดับศSecurity
31 พฤษภาคม 2569 เวลา 10:00

Microsoft แจ้งเตือนคดียุติธรรมต่อผู้เปิดเผยช่องโหว่ระดับศ

Microsoft แจ้งกำลังดำเนินคดีอาญาต่อผู้วิจัยที่เปิดเผยช่องโหว่ศูนย์วันโดยไม่ประสานงานกับ MSRC.…

The Verge14 นาที
Microsoft ปล่อยแพตช์แก้ช่องโหว่ zero‑day ของ Windows Defender ที่อาจทำให้ดิสก์เต็มSecurity
-

Microsoft ปล่อยแพตช์แก้ช่องโหว่ zero‑day ของ Windows Defender ที่อาจทำให้ดิสก์เต็ม

Microsoft อัปเดตแพตช์แก้ช่องโหว่ zero‑day (CVE‑2026‑50656) ของ Windows Defender ที่อนุญาตให้ผู้โจมตีเขียนไฟล์ขนาดใหญ่จนดิสก์เต็ม…

Ars Technica7 นาที
คัดลอกลิงก์แล้ว!