
ที่มาภาพ: The Hacker News
20 เว็บไซต์ราชการบราซิลถูกยึดใช้เป็นช่องทางส่งมัลแวร์ PhantomEnigma
⚡ สรุป 30 วิ
ANY.RUN พบว่าเว็บไซต์ราชการบราซิลกว่าที่กว่า 20 แห่งถูกยึดและเปลี่ยนเป็นช่องทางส่งมัลแวร์แบบ drive‑by download ผ่านแคมเปญ PhantomEnigma…
การตรวจจับใหม่ของ ANY.RUN พบว่าเว็บไซต์ราชการของบราซิลจำนวนกว่า 20 แห่งถูกยึดและแปลงเป็นช่องทางส่งมอบมัลแวร์ในแคมเปญที่ชื่อ PhantomEnigma ซึ่งกำลังดำเนินอยู่ การโจมตีนี้ทำให้ผู้ใช้ที่เข้าชมเว็บไซต์เหล่านั้นอาจติดตั้งโค้ดประสงค์ร้ายโดยไม่ได้รับรู้ ส่งผลกระทบต่อความปลอดภัยของข้อมูลภาครัฐและประชาชนอย่างกว้างขวาง
Overview
แคมเปญ PhantomEnigma ถูกเปิดเผยหลังจากทีมวิจัยของ ANY.RUN ทำการวิเคราะห์ไฟล์อันตรายที่เชื่อมโยงกับเว็บไซต์ราชการหลายแห่ง รายงานระบุว่ามีการฉีดโค้ดอันตรายในหน้าเว็บโดยตรง (drive‑by download) ซึ่งทำให้ผู้เยี่ยมชมเครื่องคอมพิวเตอร์หรือมือถือของตนติดตั้ง backdoor โดยอัตโนมัติ กระบวนการนี้ไม่ต้องอาศัยการคลิกเพิ่มเติมจากผู้ใช้และสามารถหลีกเลี่ยงระบบป้องกันพื้นฐานได้อย่างมีประสิทธิภาพ
ในแง่ของเทคนิค การโจมตีใช้ช่องโหว่ทั่วไปของแพลตฟอร์มเว็บที่นิยม เช่น ระบบจัดการเนื้อหา (CMS) ที่ไม่ได้อัปเดตหรือปลั๊กอินที่มีความเสี่ยง รายงานชี้ว่าไม่มีหลักฐานว่ามีการเจาะระบบโดยตรงเข้าสู่เซิร์ฟเวอร์ของหน่วยงานรัฐ แต่เป็นการแทรกสคริปต์ผ่านโฮสต์ภายนอกที่ควบคุมโดยผู้โจมตี
Campaign Mechanics
พฤติกรรมหลักของมัลแวร์ที่ส่งมอบจากเว็บไซต์เหล่านี้คือการดาวน์โหลดไฟล์ .exe หรือ .dll ที่ซ่อนอยู่ในคำขอ HTTP ปกติ หลังจากไฟล์ถูกดึงลงเครื่องแล้ว มัลแวร์จะทำหน้าที่เชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) เพื่อรับคำสั่งเพิ่มเติม เช่น การเก็บรวบรวมข้อมูลส่วนบุคคลหรือการกระจายโค้ดอันตรายต่อไป
นอกจากนี้ ทีมวิจัยยังพบว่ามัลแวร์มีความสามารถในการ persistence ผ่านการสร้างรีจิสทรี (Registry) หรือการเพิ่มงานตารางเวลา (Scheduled Task) บนอุปกรณ์เป้าหมาย ทำให้การตรวจจับและกำจัดเป็นเรื่องที่ซับซ้อนมากขึ้น การใช้เทคนิคหลายชั้นนี้แสดงถึงความพยายามของผู้โจมตีที่จะคงอยู่บนระบบเป็นระยะเวลานาน
Infrastructure & Backdoors
ANY.RUN ระบุว่าโครงสร้างพื้นฐานของ PhantomEnigma มีการเชื่อมต่อกับโดเมนและ IP ที่เคยใช้ในแคมเปญมัลแวร์อื่น ๆ ซึ่งบ่งชี้ถึง hidden infrastructure relationships ระหว่างหลายกลุ่มอาชญากรรมไซเบอร์ ตัวอย่างของความสัมพันธ์ที่พบ ได้แก่
- โดเมนระดับบน (C‑level) ที่ทำหน้าที่เป็นจุดเชื่อมต่อหลักกับเซิร์ฟเวอร์ C2
- เซิร์ฟเวอร์พร็อกซี่ที่ใช้เพื่อบิดเบือนแหล่งที่มาตลอดการสื่อสาร
- ไฟล์แบคดอร์ที่มี command‑and‑control ฟังก์ชันสำหรับอัปโหลดไฟล์และดำเนินการเรียกใช้งานระยะไกล
โดยเฉพาะ แบคดอร์ที่ตรวจพบในแคมเปญนี้เป็นแบบ previously undocumented, มีความสามารถในการเข้ารหัสข้อมูลที่ส่งกลับไปยังผู้โจมตี ซึ่งทำให้การวิเคราะห์เครือข่ายยากขึ้นและเพิ่มระดับของความเสี่ยงต่อข้อมูลสำคัญ
Impact on Brazilian Government Services
เว็บไซต์ราชการที่ถูกยึดเป็นช่องทางหลักของ PhantomEnigma ครอบคลุมหลายภาคส่วน ได้แก่ การบริการสาธารณะ, ระบบสุขภาพ, และหน่วยงานด้านการศึกษา ผู้เยี่ยมชมอาจได้รับมัลแวร์โดยไม่ตั้งใจ ทำให้ข้อมูลส่วนบุคคลเช่น หมายเลขประจำตัวประชาชน หรือรายละเอียดทางการเงิน ถูกขโมยหรือใช้ในการทำกิจกรรมฉ้อโกง
ผลกระทบต่อความเชื่อถือของระบบดิจิทัลภาครัฐก็เป็นประเด็นสำคัญ เนื่องจากการโจมตีครั้งนี้อาจสร้างความสับสนและลดระดับความมั่นใจของประชาชนต่อบริการออนไลน์ที่ควรปลอดภัย การตอบโต้โดยหน่วยงานรัฐจึงต้องเร่งทำการตรวจสอบเว็บไซต์ทั้งหมด, ปิดช่องโหว่ที่พบ และเสริมมาตรการตรวจจับแบบเรียลไทม์
Analysis & Attribution
จากข้อมูลที่ ANY.RUN เปิดเผย ไม่สามารถสรุปได้อย่างชัดเจนว่าแคมเปญ PhantomEnigma มีผู้สนับสนุนหรืออุดมการณ์ใดเป็นหลัก อย่างไรก็ตาม การใช้โครงสร้างพื้นฐานร่วมกับกลุ่มอื่น ๆ บ่งบอกถึงการทำงานแบบ collaborative cyber‑crime, ซึ่งเป็นรูปแบบที่เพิ่มประสิทธิภาพและลดความเสี่ยงต่อการถูกระบุตัว
นักวิจัยชี้ว่าองค์กรรัฐควรพิจารณาใช้เทคโนโลยี threat intelligence sharing เพื่อรับข้อมูลอัพเดตจากแหล่งภายนอกอย่าง ANY.RUN อย่างต่อเนื่อง รวมถึงปรับปรุงกระบวนการ patch management และตรวจสอบความปลอดภัยของซอฟต์แวร์ที่ใช้งานบนเว็บไซต์สาธารณะ การเสริมสร้างแนวทางเชิงรุกจะช่วยลดโอกาสให้แคมเปญแบบนี้เกิดขึ้นในอนาคต
Summary
แคมเปญ PhantomEnigma ที่ทำให้เว็บไซต์ราชการบราซิลกว่า 20 แห่งกลายเป็นช่องทางส่งมัลแวร์ แสดงถึงความเสี่ยงของโครงสร้างพื้นฐานดิจิทัลที่อ่อนแรงต่อการโจมตีแบบ drive‑by download. การตรวจจับและตอบสนองอย่างรวดเร็วจากหน่วยงานรัฐและผู้ให้บริการข้อมูลภัยคุกคามเป็นสิ่งจำเป็นเพื่อปกป้องความปลอดภัยของข้อมูลสาธารณะในยุคดิจิทัลนี้.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- 20+ Hijacked Government Websites Became an Attack Channel
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 16 กรกฎาคม 2569 เวลา 18:58



