GigaWiper แบ็คดอร์โมดูลาร์แบบใหม่ สลับโหมดระหว่าง wiper และ ransomware

ที่มาภาพ: The Register

Security-อ่าน 8 นาทีThe Register

GigaWiper แบ็คดอร์โมดูลาร์แบบใหม่ สลับโหมดระหว่าง wiper และ ransomware

⚡ สรุป 30 วิ

Microsoft Threat Intelligence พบ GigaWiper แบ็คดอร์โมดูลาร์ที่สามารถสลับระหว่างการทำลายข้อมูลและการเข้ารหัสเพื่อเรียกค่าไถ่ได้ในแพ็กเกจเดียว ทำให้ภัยคุกคามต่อ…

Lead – ทีม Microsoft Threat Intelligence รายงานการพบ GigaWiper แบ็คดอร์แบบโมดูลาร์ใหม่ที่รวมคุณลักษณะของมัลแวร์ทำลายข้อมูลหลายประเภทไว้ในแพ็กเกจเดียว – มุ่งหมายทั้งการกักไฟล์ด้วยรหัสเข้ารหัสและการลบข้อมูลระดับดิสก์อย่างถาวร การปรากฏตัวของแบ็คดอร์ที่สามารถสลับโหมดระหว่าง “wiper” กับ “ransomware” ทำให้ภัยคุกคามต่อองค์กร Windows มีความซับซ้อนมากขึ้นอย่างชัดเจน

Overview

การตรวจจับครั้งแรกของ GigaWiper เกิดขึ้นในเดือนตุลาคม 2023 โดยทีม Threat Hunting ของ Microsoft ซึ่งพบอิมแพลท์ที่พัฒนาด้วย Golang และตั้งชื่อว่า “GigaWiper” ตามลักษณะการทำงานหลายหน้าที่ ภายในไฟล์เอ็กซีคิวเทเบิล (PE) ทั้งสองประเภทที่นักวิเคราะห์เจอเป็นโค้ดที่ไม่ได้ถูกบีบอัดหรือสตริปออก ทำให้สามารถตรวจสอบได้โดยตรง

Microsoft ระบุว่า GigaWiper เป็น “Swiss Army knife” ของผู้โจมตี เพราะรวมคำสั่งหลายประเภทไว้ในโมดูลเดียว ทั้งการทำลายข้อมูล การเข้ารหัสไฟล์แบบไม่มีคีย์สำรอง และฟังก์ชันควบคุมระยะไกล ความหมายคือ ผู้กระทำผิดสามารถเลือกใช้ “wiper” หรือ “ransomware” ตามเป้าหมายโดยไม่ต้องติดตั้งมัลแวร์หลายชุด

จากมุมมองของอุตสาหกรรมความปลอดภัย การรวมฟังก์ชันดังกล่าวเป็นการเปลี่ยนแนวคิดของ wiper malware ที่เดิมมักทำหน้าที่เพียงทำลายข้อมูลให้หมดโดยไม่มีจุดประสงค์เพื่อเรียกค่าไถ่ GigaWipper แสดงให้เห็นว่าผู้ร้ายกำลังพัฒนาเครื่องมือที่มีความยืดหยุ่นและอาจสร้างผลกระทบต่อธุรกิจได้หลากหลายรูปแบบ

Technical Details

ไฟล์ตัวอย่างของ GigaWiper มีสองประเภทหลัก – หนึ่งเป็น stand‑alone wiper ที่ทำงานระดับดิสก์โดยการเขียนทับข้อมูลดิบ (raw disk) ลบเมตาดาต้าของพาร์ติชัน แล้วสั่งรีบูตระบบผ่านฟังก์ชัน shutdown ของ Windows โดยไม่มีการหน่วงเวลา

อีกประเภทหนึ่งเป็นเวอร์ชันที่ซับซ้อนมากกว่า เนื้อหาเดียวกันกับ wiper ถูกฝังไว้ในแบ็คดอร์โมดูลาร์ ซึ่งนอกจากจะทำลายระดับดิสก์แล้ว ยังมีความสามารถในการสร้าง persistence, ตั้งค่าการสื่อสาร C2, และจัดการคำสั่งหลายประเภท การออกแบบนี้แสดงให้เห็นว่าผู้พัฒนามุ่งเน้นการเพิ่ม “เครื่องมือควบคุม” ให้กับผู้โจมตี

โค้ดทั้งหมดเขียนด้วย Golang ซึ่งทำให้ไฟล์ PE มีขนาดเล็กแต่สามารถทำงานได้บนหลายสถาปัตยกรรมของ Windows ได้อย่างมีประสิทธิภาพ นอกจากนี้ การที่ไม่มีการสตริป (unstripped) ทำให้ผู้วิจัยสามารถวิเคราะห์ฟังก์ชันภายในได้โดยตรงโดยไม่ต้องพึ่งเครื่องมือย้อนกลับซับซ้อน

Command & Control Architecture

GigaWiper ใช้โครงสร้าง C2 ที่ผสมผสานระหว่าง RabbitMQ (ผ่านโปรโตคอล AMQP) และ Redis สำหรับการรับคำสั่งและอัปเดตสถานะของคำสั่งที่ดำเนินการแล้ว การเลือกใช้ RabbitMQ ทำให้ผู้โจมตีสามารถส่งคำสั่งแบบเรียลไทม์โดยไม่ต้องพึ่ง HTTP หรือ DNS ที่อาจถูกตรวจจับง่าย

  • **RabbitMQ (AMQP) – ใช้สำหรับรับคำสั่งจากเซิร์ฟเวอร์ C2
  • Redis – ใช้บันทึกสถานะและผลลัพธ์ของคำสั่งที่ดำเนินการแล้ว

ระบบจัดหมวดหมู่คำสั่งเป็นหลายระดับ ได้แก่ “always run” (เช่น การบันทึกหน้าจอตลอดเวลา), “manage command” (ฟังก์ชันจัดการระบบ), “special command” และ “shell command” ที่ให้ผู้โจมตีเรียกใช้โมดูลเพิ่มเติมได้ตามต้องการ

โครงสร้างดังกล่าวทำให้ GigaWiper สามารถควบคุมอุปกรณ์ที่ติดตั้งได้จากระยะไกลโดยไม่จำเป็นต้องเปิดเผย IP หรือพอร์ตที่ชัดเจนต่อผู้ตรวจจับ ทำให้การป้องกันและการสืบสวนยากขึ้นอย่างมีนัยสำคัญ

Destructive Capabilities

คำสั่งทำลายของ GigaWiper มีหลายรูปแบบ ได้แก่

  • Disk‑wiping – เขียนทับข้อมูลดิสก์โดยตรง, ลบเมตาดาต้าพาร์ติชัน, สร้าง BSOD และปิดการทำงานของ Windows Recovery ทำให้เครื่องไม่สามารถบูตได้
  • Encryption – ใช้เทคนิคจาก Crucio ransomware ที่สร้างคีย์แบบสุ่มและไม่เก็บไว้ในที่ใด ทำให้ไฟล์ที่เข้ารหัสไม่มีทางกู้คืนได้โดยผู้ใช้หรือองค์กร
  • AES‑256 CBC bulk encrypt/decrypt – คำสั่งนี้ให้ผู้โจมตีเลือกเข้ารหัสหรือถอดรหัสไฟล์เป็นกลุ่มใหญ่ตามต้องการ

นอกจากนี้ GigaWiper ยังมีฟังก์ชันเสริมเช่น การอัปโหลดไฟล์ที่ขโมยได้ไปยังคลาวด์โดยใช้ **MinIO Client (mc), การรันสคริปต์ PowerShell, การบันทึกภาพและวิดีโอหน้าจอ, การเก็บข้อมูลระบบ, การล้าง Windows Event Log และการควบคุมเมาส์‑คีย์บอร์ดจากระยะไกล

โดยรวมแล้ว ความสามารถเหล่านี้ทำให้ GigaWiper ไม่เพียงเป็นเครื่องมือทำลายข้อมูลเท่านั้น แต่ยังเป็นแพลตฟอร์มสำหรับการสอดแนมและขโมยข้อมูลที่มีประสิทธิภาพสูง

Implications & Analysis

Microsoft ระบุว่า GigaWipper รวมส่วนประกอบจาก สามกลุ่มมัลแวร์ ได้แก่ Crucio ransomware, การทำงานใหม่ของ FlockWiper ด้วย Go, และดิสก์‑wiper แยกอิสระ การรวมฟังก์ชันเหล่านี้ในแบ็คดอร์เดียวสะท้อนให้เห็นว่าผู้โจมตีกำลังพัฒนาเครื่องมือที่มีความหลากหลายและปรับใช้ได้ตามสถานการณ์

การเปลี่ยนแปลงนี้บ่งบอกถึง “การวิวัฒนาการของชุดเครื่องมือ” ของกลุ่มอาชญากรไซเบอร์ ซึ่งอาจทำให้การตรวจจับโดยระบบรักษาความปลอดภัยแบบเดิม (เช่น การมอนิเตอร์ไฟล์หรือพฤติกรรมเฉพาะ) ไม่เพียงพอ ผู้จัดการความเสี่ยงจึงต้องทบทวนแนวทางป้องกันหลายระดับ รวมถึงการจำกัดการใช้ PowerShell, การตรวจสอบการสื่อสารกับ RabbitMQ/Redis, และการตั้งค่านโยบายบูตที่แข็งแรง

แม้ Microsoft จะไม่ได้เปิดเผยขนาดของการโจมตีหรือจำนวนเป้าหมายที่ได้รับผลกระทบ แต่การปรากฏตัวของ GigaWipper แสดงให้เห็นว่าผู้โจมตีมีความพร้อมที่จะใช้ “เครื่องมือแบบอเนกประสงค์” เพื่อทำลายและเรียกค่าไถ่ในเวลาเดียวกัน ซึ่งอาจสร้างความเสียหายทางเศรษฐกิจและภาพลักษณ์ขององค์กรได้อย่างรุนแรง

Summary

Microsoft Threat Intelligence เปิดเผย GigaWiper แบ็คดอร์แบบโมดูลาร์ที่รวมฟังก์ชัน wiper, ransomware และการควบคุมระยะไกลไว้ในไฟล์เดียว ทำให้ภัยคุกคามต่อระบบ Windows มีความซับซ้อนและอันตรายยิ่งขึ้น การวิเคราะห์แสดงว่าผู้โจมตีกำลังผสานเทคนิคจากหลายมัลแวร์เพื่อเพิ่มประสิทธิภาพการทำลายและขโมยข้อมูล ผู้ป้องกันจึงต้องปรับมาตรการตรวจจับและควบคุมให้ครอบคลุมมากขึ้น.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
Destructive Windows backdoor stuffs multiple wipers and ransomware code into a single package
ผู้เขียน
Unknown
แหล่ง
The Register
วันที่เผยแพร่
11 กรกฎาคม 2569 เวลา 00:35

Related

บทความที่เกี่ยวข้อง

Google รายงาน Backdoor .NET ชื่อ STOCKSTAY ของกลุ่ม Turla ที่โจมตียูเครนและอิตาลีSecurity
28 มิถุนายน 2569 เวลา 14:00

Google รายงาน Backdoor .NET ชื่อ STOCKSTAY ของกลุ่ม Turla ที่โจมตียูเครนและอิตาลี

Google Threat Intelligence Group เปิดเผยว่า Turla ใช้ backdoor .NET ใหม่ชื่อ STOCKSTAY เพื่อโจมตีหน่วยงานรัฐบาลและกองทัพยูเครน รวมถึงองค์กรด้านการทูตของอิตาลี…

The Hacker News7 นาที
ช่องโหว่ Windows Netlogon ระดับ Critical ถูกโจมตีแล้วในอง…Security
3 มิถุนายน 2569 เวลา 19:30

ช่องโหว่ Windows Netlogon ระดับ Critical ถูกโจมตีแล้วในอง…

CCB รายงานว่าช่องโหว่ Windows Netlogon RCE ระดับ Critical ถูกใช้โจมตีองค์กรตั้งแต่ต้นปี 2024 ทำให้ผู้โจมตีได้สิทธิ์ Domain Administrator…

BleepingComputer7 นาที
Microsoft เผย GigaWiper แพคเกจมัลแวร์หลายฟังก์ชันทำลายข้อมูลและสอดแนมSecurity
-

Microsoft เผย GigaWiper แพคเกจมัลแวร์หลายฟังก์ชันทำลายข้อมูลและสอดแนม

Microsoft เตือนเกี่ยวกับมัลแวร์ใหม่ชื่อ GigaWiper ที่รวมคุณสมบัติของ wiper และ ransomware ไว้ในแพคเกจเดียว นอกจากนี้ยังมีโมดูลสอดแนมเช่นการถ่ายภาพหน้าจอ บันทึก…

TechRadar6 นาที
GigaWiper แบ็กดอร์ Windows รวมฟังก์ชันทำลายหลายแบบในโมดูลเดียวSecurity
-

GigaWiper แบ็กดอร์ Windows รวมฟังก์ชันทำลายหลายแบบในโมดูลเดียว

Microsoft เผยว่า GigaWiper เป็นแบ็กดอร์ของ Windows ที่รวมการลบข้อมูลเต็มดิสก์ เขียนทับพาร์ทิชันระบบ และแรนซัมแวร์ปลอมไว้ในโมดูลเดียว…

The Hacker News5 นาที
คัดลอกลิงก์แล้ว!