GoldenEyeDog แยกย้าย DigiCert ขโมยใบรับรองโค้ด‑เซ็นจ์หลายฉบับ

ที่มาภาพ: The Hacker News

Security-อ่าน 6 นาทีThe Hacker News

GoldenEyeDog แยกย้าย DigiCert ขโมยใบรับรองโค้ด‑เซ็นจ์หลายฉบับ

⚡ สรุป 30 วิ

กลุ่มอาชญากรรมไซเบอร์ GoldenEyeDog (APT‑Q‑27) แฮก DigiCert และขโมยใบรับรองโค้ด‑เซ็นจ์หลายฉบับ ส่งผลต่อความเชื่อมั่นของซอฟต์แวร์ทั่วโลก…

การโจมตีระบบของบริษัทออกใบรับรองดิจิทัล DigiCert ในเดือนเมษายน 2026 ถูกสืบค้นโดยนักวิจัยด้านความปลอดภัยว่าเป็นผลจากกลุ่มอาชญากรรมไซเบอร์ที่เรียกว่า CylindricalCanine ซึ่งต่อมาได้รับการระบุว่ามาจากหน่วยงานย่อยของ GoldenEyeDog (หรือที่รู้จักในชื่อ APT‑Q‑27, Dragon Breath, Miuuti Group) กลุ่มนี้มีประวัติกำหนดเป้าหมายไปยังอุตสาหกรรมการพนันและเกมเป็นหลัก การขโมยใบรับรองรหัสลงนามของ DigiCert นั้นส่งผลต่อความเชื่อมั่นของระบบซอฟต์แวร์ทั่วโลก

Overview

เหตุการณ์ที่เกิดขึ้นกับ DigiRoot (ส่วนหนึ่งของ DigiCert) ทำให้ผู้โจมตีสามารถเข้าถึงและขโมย code‑signing certificates จำนวนหลายใบได้ รายงานจากบริษัทความปลอดภัย Expel ระบุว่าแฮกเกอร์ใช้เทคนิคการเจาะระบบแบบ “living off the land” เพื่อหลีกเลี่ยงการตรวจจับในขั้นต้น การกระทำดังกล่าวอาจทำให้ซอฟต์แวร์ที่ไม่ได้รับอนุมัติสามารถเผยแพร่ได้โดยดูเหมือนเป็นผลิตภัณฑ์ที่ได้รับการยืนยันจาก DigiCert

Threat Actor Profile

GoldenEyeDog เป็นกลุ่มอาชญากรรมไซเบอร์ของจีนที่เคยทำการโจมตีต่อระบบเกมออนไลน์และเว็บไซต์การพนันหลายแห่งในช่วงหลายปีที่ผ่านมา กลุ่มนี้ใช้เครื่องมือและเทคนิคขั้นสูงในการเข้าถึงข้อมูลสำคัญขององค์กรเป้าหมาย

  • ชื่อเรียกอื่น: APT‑Q‑27, Dragon Breath, Miuuti Group
  • ภูมิภาคที่ให้ความสนใจหลัก: จีน, เกาหลีใต้, ญี่ปุ่น (โดยมุ่งเน้นอุตสาหกรรมเกมและการพนัน)
  • วิธีการโจมตีทั่วไป: ฟิชชิงขั้นสูง, การใช้มัลแวร์แบบไฟล์‑ไรต์เออร์ (fileless), การขโมยใบรับรองดิจิทัล

Technical Details of the Breach

Expel เปิดเผยว่า CylindricalCanine ใช้เทคนิค “certificate exfiltration” ผ่านช่องโหว่ในระบบจัดการคีย์ของ DigiCert โดยเจาะเข้าระบบหลังบ้านโดยตรงและทำการดึงข้อมูลใบรับรองออกมาเป็นไฟล์ PEM พร้อมกับคีย์ส่วนตัวที่เกี่ยวข้อง การสกัดกั้นนี้เกิดขึ้นภายในระยะเวลาสองสัปดาห์ หลังจากนั้นผู้โจมตีได้ทดสอบการใช้ใบรับรองเหล่านั้นเพื่อลงนามซอฟต์แวร์บนแพลตฟอร์ม Windows และ macOS

Impact on the Industry

การขโมย code‑signing certificates มีผลกระทบต่อหลายภาคส่วน เนื่องจากใบรับรองดังกล่าวเป็นตัวกลางที่ทำให้ผู้ใช้เชื่อถือไฟล์ซอฟต์แวร์ การนำใบรับรองไปใช้งานโดยไม่ได้รับอนุญาตอาจทำให้มัลแวร์หลบการตรวจจับของระบบป้องกันไวรัสและเครื่องมือตรวจสอบความปลอดภัยได้อย่างง่ายดาย ผลกระทบหลักที่คาดว่าจะเกิดขึ้น ได้แก่

  • การเพิ่มจำนวนกรณีซอฟต์แวร์ปลอมที่ได้รับการลงนามโดยใบรับรองที่ถูกขโมย
  • ความเสี่ยงต่อผู้พัฒนาแอปพลิเคชันที่ต้องอัปเดตหรือเปลี่ยนใบรับรองใหม่เพื่อรักษาความเชื่อมั่นของลูกค้า
  • การสร้างแรงกดดันต่อบริษัท Certificate Authority (CA) ทั้งหลายในการปรับมาตรการตรวจสอบและจัดการคีย์ภายในองค์กร

Response and Mitigation

หลังจากที่ข้อมูลการโจมตีถูกเปิดเผย DigiCert ได้แจ้งให้ผู้ใช้ทุกคนรีโค้ด revoke ใบรับรองที่อาจได้รับผลกระทบทั้งหมด พร้อมออกใบรับรองใหม่โดยใช้ระบบการตรวจสอบหลายชั้น (multi‑factor authentication) เพื่อยับยั้งการเข้าถึงคีย์ส่วนตัวในอนาคต บริษัท Expel แนะนำให้องค์กรต่าง ๆ ปฏิบัติตามขั้นตอนต่อไปนี้:

  • ตรวจสอบว่ามีการใช้งานใบรับรองที่ออกโดย DigiCert อยู่หรือไม่ และทำการ revoke หากพบข้อสงสัย
  • ใช้เครื่องมือตรวจจับพฤติกรรมแบบ anomaly detection เพื่อตรวจหาการใช้คีย์ส่วนตัวในลักษณะที่ผิดปกติ
  • เสริมสร้างกระบวนการจัดการคีย์ภายใน (Key Management) ด้วยฮาร์ดแวร์เซคิวริตี้โมดูล (HSM) และการเข้ารหัสแบบ end‑to‑end

Analysis

จากมุมมองของนักวิจัยความปลอดภัย การโจมตีครั้งนี้ยืนยันถึงความสำคัญของ PKI ในโครงสร้างพื้นฐานไซเบอร์สเปซที่กว้างขึ้น แม้ว่าการรักษาความปลอดภัยของ CA จะเป็นเรื่องปัจจัยหลัก แต่การเจาะระบบภายในองค์กรผู้ให้บริการก็ยังคงเป็นช่องทางที่อาชญากรรมไซเบอร์ใช้บ่อย การโจมตีของ GoldenEyeDog แสดงให้เห็นว่ากลุ่มนี้กำลังพัฒนาความเชี่ยวชาญในการขโมยใบรับรองเพื่อเปิดตัวซอฟต์แวร์ปลอมในระดับสูง ซึ่งอาจทำให้ตลาดซอฟต์แวร์และแอปพลิเคชันเสี่ยงต่อการละเมิดความเชื่อมั่นของผู้ใช้มากขึ้น

Summary

การโจมตีของ CylindricalCanine ที่เกี่ยวข้องกับกลุ่มย่อยของ GoldenEyeDog ทำให้ DigiCert สูญเสีย code‑signing certificates จำนวนหลายใบ ส่งผลกระทบต่อความปลอดภัยของซอฟต์แวร์ระดับโลก DigiCert และผู้ใช้จึงต้องรีโค้ดใบรับรองที่ถูกคุกคามและเสริมมาตรการจัดการคีย์เพื่อป้องกันเหตุการณ์ลักษณะนี้ในอนาคต.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
GoldenEyeDog Subgroup Linked to DigiCert Breach and Code-Signing Certificate Theft
ผู้เขียน
[email protected] (The Hacker News)
แหล่ง
The Hacker News
วันที่เผยแพร่
17 กรกฎาคม 2569 เวลา 23:39

Related

บทความที่เกี่ยวข้อง

ชายฟลอริด้าจับกุมหลังฝังมัลแวร์ในเกม Steam ขโมยคริปโตมูลค่า 220,000 ดอลลาร์Security
19 กรกฎาคม 2569 เวลา 21:00

ชายฟลอริด้าจับกุมหลังฝังมัลแวร์ในเกม Steam ขโมยคริปโตมูลค่า 220,000 ดอลลาร์

ผู้ต้องหาอายุ 21 ปีจากฟลอริด้าใช้มัลแวร์ฝังในสี่เกมบน Steam ทำให้คอมพิวเตอร์ประมาณ 8,000 เครื่องติดเชื้อและขโมยคริปโตมูลค่าเกือบ 220,000 ดอลลาร์ FBI…

Tom's Hardware6 นาที
Proton VPN ปฏิเสธข้อมูล 47 คำร้องในปี 2569 ด้วยนโยบาย no‑logs อย่างเคร่งครัดSecurity
18 กรกฎาคม 2569 เวลา 21:00

Proton VPN ปฏิเสธข้อมูล 47 คำร้องในปี 2569 ด้วยนโยบาย no‑logs อย่างเคร่งครัด

Proton VPN ปฏิเสธคำขอข้อมูลจากหน่วยงานสวิสทั้งหมด 47 รายการในไตรมาสแรกของปี 2026 เนื่องจากไม่มีบันทึกใด ๆ ตามนโยบาย no‑logs ของบริษัท…

TechRadar6 นาที
การโจมตีไซเบอร์ทำให้ระบบโลจิสติกของ Nichirei Group ขัดขวาง ส่งผลต่อ KFC ญี่ปุ่นSecurity
18 กรกฎาคม 2569 เวลา 09:00

การโจมตีไซเบอร์ทำให้ระบบโลจิสติกของ Nichirei Group ขัดขวาง ส่งผลต่อ KFC ญี่ปุ่น

Nichirei Group ยอมรับว่าระบบคอมพิวเตอร์ถูกแฮ็กโดย ransomware ทำให้การจัดส่งอาหารแช่แข็งและโลจิสติกหยุดชะงัก. KFC…

The Register7 นาที
รัฐบาลออสเตรเลียสั่งทิ้งเราเตอร์ 4,000 เครื่อง แม้ผู้เชี่ยวชาญเตือนความเสี่ยงด้านความปลอดภัยSecurity
18 กรกฎาคม 2569 เวลา 07:30

รัฐบาลออสเตรเลียสั่งทิ้งเราเตอร์ 4,000 เครื่อง แม้ผู้เชี่ยวชาญเตือนความเสี่ยงด้านความปลอดภัย

ACCC บล็อกเราเตอร์ SamKnows SK‑WB8 จำนวนประมาณ 4,000 เครื่องจากโครงการ MBA โดยอ้างว่าเครื่องหมดอายุ แม้ว่ายังทำงานได้…

TechRadar6 นาที
คัดลอกลิงก์แล้ว!