
ที่มาภาพ: The Hacker News
GigaWiper แบ็กดอร์ Windows รวมฟังก์ชันทำลายหลายแบบในโมดูลเดียว
⚡ สรุป 30 วิ
Microsoft เผยว่า GigaWiper เป็นแบ็กดอร์ของ Windows ที่รวมการลบข้อมูลเต็มดิสก์ เขียนทับพาร์ทิชันระบบ และแรนซัมแวร์ปลอมไว้ในโมดูลเดียว…
Microsoft เผยการวิเคราะห์ของ GigaWiper ‑ โครงข่าย Backdoor ที่ทำลายระบบ Windows อย่างรุนแรง โดยพบว่าโค้ดนี้ไม่ได้เป็นเครื่องมือเดี่ยว แต่รวมคุณสมบัติของโปรแกรมทำลายเก่า‑กว่าไว้สามแบบในหนึ่งเดียว ทำให้ผู้โจมตีสามารถเลือกวิธีทำลายได้ตามต้องการ การเปิดเผยครั้งนี้สำคัญเพราะแสดงถึงความซับซ้อนที่เพิ่มขึ้นของภัยไซเบอร์ที่มุ่งหมายทำลายข้อมูลและระบบปฏิบัติการโดยตรง
Overview
GigaWiper ถูกระบุว่าเป็น Windows backdoor ที่พัฒนาเพื่อให้ผู้โจมตีสามารถเข้าถึงเครื่องเป้าหมายแล้วสั่งให้ทำลายข้อมูลได้อย่างรวดเร็ว รายงานของ Microsoft ระบุว่ามีการใช้เทคนิคการบรรจุหลายฟังก์ชันไว้ในโมดูลเดียว ซึ่งแตกต่างจากมัลแวร์แบบเดี่ยวที่มักทำเพียงหนึ่งหน้าที่
แม้ว่าจะยังไม่มีข้อมูลว่า GigaWiper ถูกใช้งานโดยกลุ่มใดเป็นหลัก แต่พฤติกรรมของมันบ่งบอกถึงเจตนาทำลายขั้นสูง การรวมฟังก์ชันหลายแบบลงในตัวเดียวช่วยลดโอกาสที่ระบบรักษาความปลอดภัยจะตรวจจับได้ เนื่องจากเครื่องมือแต่ละอันสามารถสลับใช้งานตามสถานการณ์
Architecture
การออกแบบของ GigaWiper มีรูปแบบโมดูลาร์ ผู้โจมตีเมื่อเข้าถึงเครื่องแล้วจะได้รับชุดคำสั่งที่เลือกใช้ได้สามแบบ ซึ่งเป็นการรวม โปรแกรมทำลายเก่า ที่เคยพบในแคมเปญอื่น ๆ มาก่อน หน่วยประมวลผลหลักของแบ็กดอร์จะแบ่งหน้าที่ตามคำสั่งที่รับมา ทำให้สามารถดำเนินการได้อย่างต่อเนื่องโดยไม่ต้องดาวน์โหลดไฟล์เพิ่มเติม
โครงสร้างนี้ยังช่วยให้ผู้โจมตีลดรอยเท้าการทำงาน (footprint) เนื่องจากทั้งหมดอยู่ในไฟล์เดียว การตรวจจับพฤติกรรมของระบบจึงจำเป็นต้องอาศัยการวิเคราะห์เชิงพฤติกรรมมากกว่าการสแกนลายเซ็นแบบดั้งเดิม
Capabilities
GigaWiper ให้ผู้โจมตีเลือกทำลายข้อมูลด้วยสามวิธีหลัก
- wipe the whole disk – ทำให้ฮาร์ดไดรฟ์ทั้งหมดไม่สามารถอ่านข้อมูลได้อีกต่อไป
- overwrite the Windows drive – เขียนทับพาร์ติชันของระบบปฏิบัติการโดยตรง ทำให้เครื่องไม่สามารถบูตได้
- **run fake “ransomware” – สร้างไฟล์ที่ดูเหมือนถูกเข้ารหัสด้วย ransomware แต่ใช้คีย์ที่ไม่ได้บันทึกไว้ ทำให้ไฟล์กลายเป็น “เสียหาย” อย่างถาวร
แต่ละวิธีจะทำงานอิสระต่อกันและสามารถสลับใช้งานได้ตามคำสั่งของผู้โจมตี ทำให้การตอบสนองจากทีมรักษาความปลอดภัยต้องครอบคลุมหลายระดับ
Detection & Mitigation
Microsoft แนะนำให้องค์กรตรวจสอบพฤติกรรมที่ผิดปกติเช่น การเรียกใช้ระบบไฟล์ในรูปแบบที่ไม่คาดคิดหรือการเขียนทับพาร์ติชันของ Windows อย่างต่อเนื่อง นอกจากนี้ ควรอัปเดตซอฟต์แวร์รักษาความปลอดภัยและเปิดใช้งานฟีเจอร์การตรวจจับพฤติกรรม (behavioral detection) ของ Microsoft Defender
การสำรองข้อมูลเป็นขั้นตอนสำคัญที่ช่วยลดผลกระทบจากการทำลายของ GigaWiper หากมีการกู้คืนจากแบ็คอัพล่าสุด ระบบสามารถกลับมาทำงานได้โดยไม่ต้องเสียเวลาซ่อมแซมฮาร์ดไดรฟ์ การจำกัดสิทธิ์ผู้ใช้และการตรวจสอบความเป็นจริงของไฟล์ที่ถูกเข้ารหัสเทียมก็เป็นแนวทางป้องกันเพิ่มเติม
Impact
ผลกระทบจาก GigaWiper สามารถทำให้ระบบองค์กรเสียหายอย่างถาวรได้ในเวลาอันสั้น โดยเฉพาะเมื่อผู้โจมตีเลือกใช้วิธี wipe the whole disk หรือ overwrite the Windows drive ซึ่งทำให้ข้อมูลสำคัญและซอฟต์แวร์พื้นฐานของเครื่องถูกทำลายโดยไม่มีทางกู้คืน หากองค์กรไม่ได้มีการสำรองข้อมูลที่อัปเดตล่าสุด จะต้องเผชิญกับค่าใช้จ่ายสูงในการติดตั้งระบบใหม่ทั้งหมด
นอกจากนี้ การกระจายของ GigaWiper ผ่านช่องโหว่หรือเทคนิคสังคมวิศวกรรม (social engineering) ยังทำให้ผู้ดูแลระบบต้องเพิ่มความระมัดระวังต่อการเปิดไฟล์แนบหรือคลิกที่ลิงก์ที่ไม่รู้จัก ซึ่งเป็นพื้นฐานสำคัญในการป้องกันภัยคุกคามระดับนี้
Summary
Microsoft เปิดเผยว่า GigaWiper เป็นแบ็กดอร์จที่รวมคุณสมบัติทำลายหลายแบบไว้ในโมดูลเดียว ทำให้ผู้โจมตีสามารถเลือกวิธีทำลายข้อมูลได้ตามสถานการณ์ การตรวจจับและป้องกันต้องอาศัยการวิเคราะห์เชิงพฤติกรรมและการสำรองข้อมูลอย่างสม่ำเสมอเพื่อลดความเสียหายที่อาจเกิดขึ้น.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- New GigaWiper Windows Backdoor Bundles Disk Wiping, Fake Ransomware, and Spyware
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 10 กรกฎาคม 2569 เวลา 01:08



