
ที่มาภาพ: The Register
GigaWiper แบ็คดอร์โมดูลาร์แบบใหม่ สลับโหมดระหว่าง wiper และ ransomware
⚡ สรุป 30 วิ
Microsoft Threat Intelligence พบ GigaWiper แบ็คดอร์โมดูลาร์ที่สามารถสลับระหว่างการทำลายข้อมูลและการเข้ารหัสเพื่อเรียกค่าไถ่ได้ในแพ็กเกจเดียว ทำให้ภัยคุกคามต่อ…
Lead – ทีม Microsoft Threat Intelligence รายงานการพบ GigaWiper แบ็คดอร์แบบโมดูลาร์ใหม่ที่รวมคุณลักษณะของมัลแวร์ทำลายข้อมูลหลายประเภทไว้ในแพ็กเกจเดียว – มุ่งหมายทั้งการกักไฟล์ด้วยรหัสเข้ารหัสและการลบข้อมูลระดับดิสก์อย่างถาวร การปรากฏตัวของแบ็คดอร์ที่สามารถสลับโหมดระหว่าง “wiper” กับ “ransomware” ทำให้ภัยคุกคามต่อองค์กร Windows มีความซับซ้อนมากขึ้นอย่างชัดเจน
Overview
การตรวจจับครั้งแรกของ GigaWiper เกิดขึ้นในเดือนตุลาคม 2023 โดยทีม Threat Hunting ของ Microsoft ซึ่งพบอิมแพลท์ที่พัฒนาด้วย Golang และตั้งชื่อว่า “GigaWiper” ตามลักษณะการทำงานหลายหน้าที่ ภายในไฟล์เอ็กซีคิวเทเบิล (PE) ทั้งสองประเภทที่นักวิเคราะห์เจอเป็นโค้ดที่ไม่ได้ถูกบีบอัดหรือสตริปออก ทำให้สามารถตรวจสอบได้โดยตรง
Microsoft ระบุว่า GigaWiper เป็น “Swiss Army knife” ของผู้โจมตี เพราะรวมคำสั่งหลายประเภทไว้ในโมดูลเดียว ทั้งการทำลายข้อมูล การเข้ารหัสไฟล์แบบไม่มีคีย์สำรอง และฟังก์ชันควบคุมระยะไกล ความหมายคือ ผู้กระทำผิดสามารถเลือกใช้ “wiper” หรือ “ransomware” ตามเป้าหมายโดยไม่ต้องติดตั้งมัลแวร์หลายชุด
จากมุมมองของอุตสาหกรรมความปลอดภัย การรวมฟังก์ชันดังกล่าวเป็นการเปลี่ยนแนวคิดของ wiper malware ที่เดิมมักทำหน้าที่เพียงทำลายข้อมูลให้หมดโดยไม่มีจุดประสงค์เพื่อเรียกค่าไถ่ GigaWipper แสดงให้เห็นว่าผู้ร้ายกำลังพัฒนาเครื่องมือที่มีความยืดหยุ่นและอาจสร้างผลกระทบต่อธุรกิจได้หลากหลายรูปแบบ
Technical Details
ไฟล์ตัวอย่างของ GigaWiper มีสองประเภทหลัก – หนึ่งเป็น stand‑alone wiper ที่ทำงานระดับดิสก์โดยการเขียนทับข้อมูลดิบ (raw disk) ลบเมตาดาต้าของพาร์ติชัน แล้วสั่งรีบูตระบบผ่านฟังก์ชัน shutdown ของ Windows โดยไม่มีการหน่วงเวลา
อีกประเภทหนึ่งเป็นเวอร์ชันที่ซับซ้อนมากกว่า เนื้อหาเดียวกันกับ wiper ถูกฝังไว้ในแบ็คดอร์โมดูลาร์ ซึ่งนอกจากจะทำลายระดับดิสก์แล้ว ยังมีความสามารถในการสร้าง persistence, ตั้งค่าการสื่อสาร C2, และจัดการคำสั่งหลายประเภท การออกแบบนี้แสดงให้เห็นว่าผู้พัฒนามุ่งเน้นการเพิ่ม “เครื่องมือควบคุม” ให้กับผู้โจมตี
โค้ดทั้งหมดเขียนด้วย Golang ซึ่งทำให้ไฟล์ PE มีขนาดเล็กแต่สามารถทำงานได้บนหลายสถาปัตยกรรมของ Windows ได้อย่างมีประสิทธิภาพ นอกจากนี้ การที่ไม่มีการสตริป (unstripped) ทำให้ผู้วิจัยสามารถวิเคราะห์ฟังก์ชันภายในได้โดยตรงโดยไม่ต้องพึ่งเครื่องมือย้อนกลับซับซ้อน
Command & Control Architecture
GigaWiper ใช้โครงสร้าง C2 ที่ผสมผสานระหว่าง RabbitMQ (ผ่านโปรโตคอล AMQP) และ Redis สำหรับการรับคำสั่งและอัปเดตสถานะของคำสั่งที่ดำเนินการแล้ว การเลือกใช้ RabbitMQ ทำให้ผู้โจมตีสามารถส่งคำสั่งแบบเรียลไทม์โดยไม่ต้องพึ่ง HTTP หรือ DNS ที่อาจถูกตรวจจับง่าย
- **RabbitMQ (AMQP) – ใช้สำหรับรับคำสั่งจากเซิร์ฟเวอร์ C2
- Redis – ใช้บันทึกสถานะและผลลัพธ์ของคำสั่งที่ดำเนินการแล้ว
ระบบจัดหมวดหมู่คำสั่งเป็นหลายระดับ ได้แก่ “always run” (เช่น การบันทึกหน้าจอตลอดเวลา), “manage command” (ฟังก์ชันจัดการระบบ), “special command” และ “shell command” ที่ให้ผู้โจมตีเรียกใช้โมดูลเพิ่มเติมได้ตามต้องการ
โครงสร้างดังกล่าวทำให้ GigaWiper สามารถควบคุมอุปกรณ์ที่ติดตั้งได้จากระยะไกลโดยไม่จำเป็นต้องเปิดเผย IP หรือพอร์ตที่ชัดเจนต่อผู้ตรวจจับ ทำให้การป้องกันและการสืบสวนยากขึ้นอย่างมีนัยสำคัญ
Destructive Capabilities
คำสั่งทำลายของ GigaWiper มีหลายรูปแบบ ได้แก่
- Disk‑wiping – เขียนทับข้อมูลดิสก์โดยตรง, ลบเมตาดาต้าพาร์ติชัน, สร้าง BSOD และปิดการทำงานของ Windows Recovery ทำให้เครื่องไม่สามารถบูตได้
- Encryption – ใช้เทคนิคจาก Crucio ransomware ที่สร้างคีย์แบบสุ่มและไม่เก็บไว้ในที่ใด ทำให้ไฟล์ที่เข้ารหัสไม่มีทางกู้คืนได้โดยผู้ใช้หรือองค์กร
- AES‑256 CBC bulk encrypt/decrypt – คำสั่งนี้ให้ผู้โจมตีเลือกเข้ารหัสหรือถอดรหัสไฟล์เป็นกลุ่มใหญ่ตามต้องการ
นอกจากนี้ GigaWiper ยังมีฟังก์ชันเสริมเช่น การอัปโหลดไฟล์ที่ขโมยได้ไปยังคลาวด์โดยใช้ **MinIO Client (mc), การรันสคริปต์ PowerShell, การบันทึกภาพและวิดีโอหน้าจอ, การเก็บข้อมูลระบบ, การล้าง Windows Event Log และการควบคุมเมาส์‑คีย์บอร์ดจากระยะไกล
โดยรวมแล้ว ความสามารถเหล่านี้ทำให้ GigaWiper ไม่เพียงเป็นเครื่องมือทำลายข้อมูลเท่านั้น แต่ยังเป็นแพลตฟอร์มสำหรับการสอดแนมและขโมยข้อมูลที่มีประสิทธิภาพสูง
Implications & Analysis
Microsoft ระบุว่า GigaWipper รวมส่วนประกอบจาก สามกลุ่มมัลแวร์ ได้แก่ Crucio ransomware, การทำงานใหม่ของ FlockWiper ด้วย Go, และดิสก์‑wiper แยกอิสระ การรวมฟังก์ชันเหล่านี้ในแบ็คดอร์เดียวสะท้อนให้เห็นว่าผู้โจมตีกำลังพัฒนาเครื่องมือที่มีความหลากหลายและปรับใช้ได้ตามสถานการณ์
การเปลี่ยนแปลงนี้บ่งบอกถึง “การวิวัฒนาการของชุดเครื่องมือ” ของกลุ่มอาชญากรไซเบอร์ ซึ่งอาจทำให้การตรวจจับโดยระบบรักษาความปลอดภัยแบบเดิม (เช่น การมอนิเตอร์ไฟล์หรือพฤติกรรมเฉพาะ) ไม่เพียงพอ ผู้จัดการความเสี่ยงจึงต้องทบทวนแนวทางป้องกันหลายระดับ รวมถึงการจำกัดการใช้ PowerShell, การตรวจสอบการสื่อสารกับ RabbitMQ/Redis, และการตั้งค่านโยบายบูตที่แข็งแรง
แม้ Microsoft จะไม่ได้เปิดเผยขนาดของการโจมตีหรือจำนวนเป้าหมายที่ได้รับผลกระทบ แต่การปรากฏตัวของ GigaWipper แสดงให้เห็นว่าผู้โจมตีมีความพร้อมที่จะใช้ “เครื่องมือแบบอเนกประสงค์” เพื่อทำลายและเรียกค่าไถ่ในเวลาเดียวกัน ซึ่งอาจสร้างความเสียหายทางเศรษฐกิจและภาพลักษณ์ขององค์กรได้อย่างรุนแรง
Summary
Microsoft Threat Intelligence เปิดเผย GigaWiper แบ็คดอร์แบบโมดูลาร์ที่รวมฟังก์ชัน wiper, ransomware และการควบคุมระยะไกลไว้ในไฟล์เดียว ทำให้ภัยคุกคามต่อระบบ Windows มีความซับซ้อนและอันตรายยิ่งขึ้น การวิเคราะห์แสดงว่าผู้โจมตีกำลังผสานเทคนิคจากหลายมัลแวร์เพื่อเพิ่มประสิทธิภาพการทำลายและขโมยข้อมูล ผู้ป้องกันจึงต้องปรับมาตรการตรวจจับและควบคุมให้ครอบคลุมมากขึ้น.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Destructive Windows backdoor stuffs multiple wipers and ransomware code into a single package
- ผู้เขียน
- Unknown
- แหล่ง
- The Register
- วันที่เผยแพร่
- 11 กรกฎาคม 2569 เวลา 00:35



