
ที่มาภาพ: The Hacker News
GoldenEyeDog แยกย้าย DigiCert ขโมยใบรับรองโค้ด‑เซ็นจ์หลายฉบับ
⚡ สรุป 30 วิ
กลุ่มอาชญากรรมไซเบอร์ GoldenEyeDog (APT‑Q‑27) แฮก DigiCert และขโมยใบรับรองโค้ด‑เซ็นจ์หลายฉบับ ส่งผลต่อความเชื่อมั่นของซอฟต์แวร์ทั่วโลก…
การโจมตีระบบของบริษัทออกใบรับรองดิจิทัล DigiCert ในเดือนเมษายน 2026 ถูกสืบค้นโดยนักวิจัยด้านความปลอดภัยว่าเป็นผลจากกลุ่มอาชญากรรมไซเบอร์ที่เรียกว่า CylindricalCanine ซึ่งต่อมาได้รับการระบุว่ามาจากหน่วยงานย่อยของ GoldenEyeDog (หรือที่รู้จักในชื่อ APT‑Q‑27, Dragon Breath, Miuuti Group) กลุ่มนี้มีประวัติกำหนดเป้าหมายไปยังอุตสาหกรรมการพนันและเกมเป็นหลัก การขโมยใบรับรองรหัสลงนามของ DigiCert นั้นส่งผลต่อความเชื่อมั่นของระบบซอฟต์แวร์ทั่วโลก
Overview
เหตุการณ์ที่เกิดขึ้นกับ DigiRoot (ส่วนหนึ่งของ DigiCert) ทำให้ผู้โจมตีสามารถเข้าถึงและขโมย code‑signing certificates จำนวนหลายใบได้ รายงานจากบริษัทความปลอดภัย Expel ระบุว่าแฮกเกอร์ใช้เทคนิคการเจาะระบบแบบ “living off the land” เพื่อหลีกเลี่ยงการตรวจจับในขั้นต้น การกระทำดังกล่าวอาจทำให้ซอฟต์แวร์ที่ไม่ได้รับอนุมัติสามารถเผยแพร่ได้โดยดูเหมือนเป็นผลิตภัณฑ์ที่ได้รับการยืนยันจาก DigiCert
Threat Actor Profile
GoldenEyeDog เป็นกลุ่มอาชญากรรมไซเบอร์ของจีนที่เคยทำการโจมตีต่อระบบเกมออนไลน์และเว็บไซต์การพนันหลายแห่งในช่วงหลายปีที่ผ่านมา กลุ่มนี้ใช้เครื่องมือและเทคนิคขั้นสูงในการเข้าถึงข้อมูลสำคัญขององค์กรเป้าหมาย
- ชื่อเรียกอื่น: APT‑Q‑27, Dragon Breath, Miuuti Group
- ภูมิภาคที่ให้ความสนใจหลัก: จีน, เกาหลีใต้, ญี่ปุ่น (โดยมุ่งเน้นอุตสาหกรรมเกมและการพนัน)
- วิธีการโจมตีทั่วไป: ฟิชชิงขั้นสูง, การใช้มัลแวร์แบบไฟล์‑ไรต์เออร์ (fileless), การขโมยใบรับรองดิจิทัล
Technical Details of the Breach
Expel เปิดเผยว่า CylindricalCanine ใช้เทคนิค “certificate exfiltration” ผ่านช่องโหว่ในระบบจัดการคีย์ของ DigiCert โดยเจาะเข้าระบบหลังบ้านโดยตรงและทำการดึงข้อมูลใบรับรองออกมาเป็นไฟล์ PEM พร้อมกับคีย์ส่วนตัวที่เกี่ยวข้อง การสกัดกั้นนี้เกิดขึ้นภายในระยะเวลาสองสัปดาห์ หลังจากนั้นผู้โจมตีได้ทดสอบการใช้ใบรับรองเหล่านั้นเพื่อลงนามซอฟต์แวร์บนแพลตฟอร์ม Windows และ macOS
Impact on the Industry
การขโมย code‑signing certificates มีผลกระทบต่อหลายภาคส่วน เนื่องจากใบรับรองดังกล่าวเป็นตัวกลางที่ทำให้ผู้ใช้เชื่อถือไฟล์ซอฟต์แวร์ การนำใบรับรองไปใช้งานโดยไม่ได้รับอนุญาตอาจทำให้มัลแวร์หลบการตรวจจับของระบบป้องกันไวรัสและเครื่องมือตรวจสอบความปลอดภัยได้อย่างง่ายดาย ผลกระทบหลักที่คาดว่าจะเกิดขึ้น ได้แก่
- การเพิ่มจำนวนกรณีซอฟต์แวร์ปลอมที่ได้รับการลงนามโดยใบรับรองที่ถูกขโมย
- ความเสี่ยงต่อผู้พัฒนาแอปพลิเคชันที่ต้องอัปเดตหรือเปลี่ยนใบรับรองใหม่เพื่อรักษาความเชื่อมั่นของลูกค้า
- การสร้างแรงกดดันต่อบริษัท Certificate Authority (CA) ทั้งหลายในการปรับมาตรการตรวจสอบและจัดการคีย์ภายในองค์กร
Response and Mitigation
หลังจากที่ข้อมูลการโจมตีถูกเปิดเผย DigiCert ได้แจ้งให้ผู้ใช้ทุกคนรีโค้ด revoke ใบรับรองที่อาจได้รับผลกระทบทั้งหมด พร้อมออกใบรับรองใหม่โดยใช้ระบบการตรวจสอบหลายชั้น (multi‑factor authentication) เพื่อยับยั้งการเข้าถึงคีย์ส่วนตัวในอนาคต บริษัท Expel แนะนำให้องค์กรต่าง ๆ ปฏิบัติตามขั้นตอนต่อไปนี้:
- ตรวจสอบว่ามีการใช้งานใบรับรองที่ออกโดย DigiCert อยู่หรือไม่ และทำการ revoke หากพบข้อสงสัย
- ใช้เครื่องมือตรวจจับพฤติกรรมแบบ anomaly detection เพื่อตรวจหาการใช้คีย์ส่วนตัวในลักษณะที่ผิดปกติ
- เสริมสร้างกระบวนการจัดการคีย์ภายใน (Key Management) ด้วยฮาร์ดแวร์เซคิวริตี้โมดูล (HSM) และการเข้ารหัสแบบ end‑to‑end
Analysis
จากมุมมองของนักวิจัยความปลอดภัย การโจมตีครั้งนี้ยืนยันถึงความสำคัญของ PKI ในโครงสร้างพื้นฐานไซเบอร์สเปซที่กว้างขึ้น แม้ว่าการรักษาความปลอดภัยของ CA จะเป็นเรื่องปัจจัยหลัก แต่การเจาะระบบภายในองค์กรผู้ให้บริการก็ยังคงเป็นช่องทางที่อาชญากรรมไซเบอร์ใช้บ่อย การโจมตีของ GoldenEyeDog แสดงให้เห็นว่ากลุ่มนี้กำลังพัฒนาความเชี่ยวชาญในการขโมยใบรับรองเพื่อเปิดตัวซอฟต์แวร์ปลอมในระดับสูง ซึ่งอาจทำให้ตลาดซอฟต์แวร์และแอปพลิเคชันเสี่ยงต่อการละเมิดความเชื่อมั่นของผู้ใช้มากขึ้น
Summary
การโจมตีของ CylindricalCanine ที่เกี่ยวข้องกับกลุ่มย่อยของ GoldenEyeDog ทำให้ DigiCert สูญเสีย code‑signing certificates จำนวนหลายใบ ส่งผลกระทบต่อความปลอดภัยของซอฟต์แวร์ระดับโลก DigiCert และผู้ใช้จึงต้องรีโค้ดใบรับรองที่ถูกคุกคามและเสริมมาตรการจัดการคีย์เพื่อป้องกันเหตุการณ์ลักษณะนี้ในอนาคต.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- GoldenEyeDog Subgroup Linked to DigiCert Breach and Code-Signing Certificate Theft
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 17 กรกฎาคม 2569 เวลา 23:39



