20 เว็บไซต์ราชการบราซิลถูกยึดใช้เป็นช่องทางส่งมัลแวร์ PhantomEnigma

ที่มาภาพ: The Hacker News

Security-อ่าน 6 นาทีThe Hacker News

20 เว็บไซต์ราชการบราซิลถูกยึดใช้เป็นช่องทางส่งมัลแวร์ PhantomEnigma

⚡ สรุป 30 วิ

ANY.RUN พบว่าเว็บไซต์ราชการบราซิลกว่าที่กว่า 20 แห่งถูกยึดและเปลี่ยนเป็นช่องทางส่งมัลแวร์แบบ drive‑by download ผ่านแคมเปญ PhantomEnigma…

การตรวจจับใหม่ของ ANY.RUN พบว่าเว็บไซต์ราชการของบราซิลจำนวนกว่า 20 แห่งถูกยึดและแปลงเป็นช่องทางส่งมอบมัลแวร์ในแคมเปญที่ชื่อ PhantomEnigma ซึ่งกำลังดำเนินอยู่ การโจมตีนี้ทำให้ผู้ใช้ที่เข้าชมเว็บไซต์เหล่านั้นอาจติดตั้งโค้ดประสงค์ร้ายโดยไม่ได้รับรู้ ส่งผลกระทบต่อความปลอดภัยของข้อมูลภาครัฐและประชาชนอย่างกว้างขวาง

Overview

แคมเปญ PhantomEnigma ถูกเปิดเผยหลังจากทีมวิจัยของ ANY.RUN ทำการวิเคราะห์ไฟล์อันตรายที่เชื่อมโยงกับเว็บไซต์ราชการหลายแห่ง รายงานระบุว่ามีการฉีดโค้ดอันตรายในหน้าเว็บโดยตรง (drive‑by download) ซึ่งทำให้ผู้เยี่ยมชมเครื่องคอมพิวเตอร์หรือมือถือของตนติดตั้ง backdoor โดยอัตโนมัติ กระบวนการนี้ไม่ต้องอาศัยการคลิกเพิ่มเติมจากผู้ใช้และสามารถหลีกเลี่ยงระบบป้องกันพื้นฐานได้อย่างมีประสิทธิภาพ

ในแง่ของเทคนิค การโจมตีใช้ช่องโหว่ทั่วไปของแพลตฟอร์มเว็บที่นิยม เช่น ระบบจัดการเนื้อหา (CMS) ที่ไม่ได้อัปเดตหรือปลั๊กอินที่มีความเสี่ยง รายงานชี้ว่าไม่มีหลักฐานว่ามีการเจาะระบบโดยตรงเข้าสู่เซิร์ฟเวอร์ของหน่วยงานรัฐ แต่เป็นการแทรกสคริปต์ผ่านโฮสต์ภายนอกที่ควบคุมโดยผู้โจมตี

Campaign Mechanics

พฤติกรรมหลักของมัลแวร์ที่ส่งมอบจากเว็บไซต์เหล่านี้คือการดาวน์โหลดไฟล์ .exe หรือ .dll ที่ซ่อนอยู่ในคำขอ HTTP ปกติ หลังจากไฟล์ถูกดึงลงเครื่องแล้ว มัลแวร์จะทำหน้าที่เชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) เพื่อรับคำสั่งเพิ่มเติม เช่น การเก็บรวบรวมข้อมูลส่วนบุคคลหรือการกระจายโค้ดอันตรายต่อไป

นอกจากนี้ ทีมวิจัยยังพบว่ามัลแวร์มีความสามารถในการ persistence ผ่านการสร้างรีจิสทรี (Registry) หรือการเพิ่มงานตารางเวลา (Scheduled Task) บนอุปกรณ์เป้าหมาย ทำให้การตรวจจับและกำจัดเป็นเรื่องที่ซับซ้อนมากขึ้น การใช้เทคนิคหลายชั้นนี้แสดงถึงความพยายามของผู้โจมตีที่จะคงอยู่บนระบบเป็นระยะเวลานาน

Infrastructure & Backdoors

ANY.RUN ระบุว่าโครงสร้างพื้นฐานของ PhantomEnigma มีการเชื่อมต่อกับโดเมนและ IP ที่เคยใช้ในแคมเปญมัลแวร์อื่น ๆ ซึ่งบ่งชี้ถึง hidden infrastructure relationships ระหว่างหลายกลุ่มอาชญากรรมไซเบอร์ ตัวอย่างของความสัมพันธ์ที่พบ ได้แก่

  • โดเมนระดับบน (C‑level) ที่ทำหน้าที่เป็นจุดเชื่อมต่อหลักกับเซิร์ฟเวอร์ C2
  • เซิร์ฟเวอร์พร็อกซี่ที่ใช้เพื่อบิดเบือนแหล่งที่มาตลอดการสื่อสาร
  • ไฟล์แบคดอร์ที่มี command‑and‑control ฟังก์ชันสำหรับอัปโหลดไฟล์และดำเนินการเรียกใช้งานระยะไกล

โดยเฉพาะ แบคดอร์ที่ตรวจพบในแคมเปญนี้เป็นแบบ previously undocumented, มีความสามารถในการเข้ารหัสข้อมูลที่ส่งกลับไปยังผู้โจมตี ซึ่งทำให้การวิเคราะห์เครือข่ายยากขึ้นและเพิ่มระดับของความเสี่ยงต่อข้อมูลสำคัญ

Impact on Brazilian Government Services

เว็บไซต์ราชการที่ถูกยึดเป็นช่องทางหลักของ PhantomEnigma ครอบคลุมหลายภาคส่วน ได้แก่ การบริการสาธารณะ, ระบบสุขภาพ, และหน่วยงานด้านการศึกษา ผู้เยี่ยมชมอาจได้รับมัลแวร์โดยไม่ตั้งใจ ทำให้ข้อมูลส่วนบุคคลเช่น หมายเลขประจำตัวประชาชน หรือรายละเอียดทางการเงิน ถูกขโมยหรือใช้ในการทำกิจกรรมฉ้อโกง

ผลกระทบต่อความเชื่อถือของระบบดิจิทัลภาครัฐก็เป็นประเด็นสำคัญ เนื่องจากการโจมตีครั้งนี้อาจสร้างความสับสนและลดระดับความมั่นใจของประชาชนต่อบริการออนไลน์ที่ควรปลอดภัย การตอบโต้โดยหน่วยงานรัฐจึงต้องเร่งทำการตรวจสอบเว็บไซต์ทั้งหมด, ปิดช่องโหว่ที่พบ และเสริมมาตรการตรวจจับแบบเรียลไทม์

Analysis & Attribution

จากข้อมูลที่ ANY.RUN เปิดเผย ไม่สามารถสรุปได้อย่างชัดเจนว่าแคมเปญ PhantomEnigma มีผู้สนับสนุนหรืออุดมการณ์ใดเป็นหลัก อย่างไรก็ตาม การใช้โครงสร้างพื้นฐานร่วมกับกลุ่มอื่น ๆ บ่งบอกถึงการทำงานแบบ collaborative cyber‑crime, ซึ่งเป็นรูปแบบที่เพิ่มประสิทธิภาพและลดความเสี่ยงต่อการถูกระบุตัว

นักวิจัยชี้ว่าองค์กรรัฐควรพิจารณาใช้เทคโนโลยี threat intelligence sharing เพื่อรับข้อมูลอัพเดตจากแหล่งภายนอกอย่าง ANY.RUN อย่างต่อเนื่อง รวมถึงปรับปรุงกระบวนการ patch management และตรวจสอบความปลอดภัยของซอฟต์แวร์ที่ใช้งานบนเว็บไซต์สาธารณะ การเสริมสร้างแนวทางเชิงรุกจะช่วยลดโอกาสให้แคมเปญแบบนี้เกิดขึ้นในอนาคต

Summary

แคมเปญ PhantomEnigma ที่ทำให้เว็บไซต์ราชการบราซิลกว่า 20 แห่งกลายเป็นช่องทางส่งมัลแวร์ แสดงถึงความเสี่ยงของโครงสร้างพื้นฐานดิจิทัลที่อ่อนแรงต่อการโจมตีแบบ drive‑by download. การตรวจจับและตอบสนองอย่างรวดเร็วจากหน่วยงานรัฐและผู้ให้บริการข้อมูลภัยคุกคามเป็นสิ่งจำเป็นเพื่อปกป้องความปลอดภัยของข้อมูลสาธารณะในยุคดิจิทัลนี้.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
20+ Hijacked Government Websites Became
an Attack Channel
ผู้เขียน
[email protected] (The Hacker News)
แหล่ง
The Hacker News
วันที่เผยแพร่
16 กรกฎาคม 2569 เวลา 18:58

Related

บทความที่เกี่ยวข้อง

บอทเน็ต TuxBot v3 Evolution เปิดเผยการใช้โมเดลภาษาใหญ่ช่วยพัฒนา IoT อย่างปลอดภัยจำกัดSecurity
-

บอทเน็ต TuxBot v3 Evolution เปิดเผยการใช้โมเดลภาษาใหญ่ช่วยพัฒนา IoT อย่างปลอดภัยจำกัด

นักวิจัยพบว่า TuxBot v3 Evolution ใช้ LLM ช่วยเขียนโค้ดบอทเน็ต IoT แต่วผลลัพธ์ยังถูกจำกัดด้วยข้อกำหนดความปลอดภัย. เหตุการณ์นี้ชี้ให้เห็นความเสี่ยงใหม่จาก AI…

The Hacker News6 นาที
อย่าติดตามฟุตบอลผ่านแอป Android หรือบริการ IPTV ที่ไม่มีใบอนุญาต – ความเสี่ยงด้านความปลอดภัยและกฎหมายSecurity
-

อย่าติดตามฟุตบอลผ่านแอป Android หรือบริการ IPTV ที่ไม่มีใบอนุญาต – ความเสี่ยงด้านความปลอดภัยและกฎหมาย

หลายคนใช้แอป Android หรือบริการ IPTV ไม่ได้ตรวจสอบเพื่อชมฟุตบอลฟรี แต่แหล่งเหล่านี้มีความเสี่ยงต่อมัลแวร์ ฟิชชิง และการละเมิดลิขสิทธิ์…

XDA Developers6 นาที
Microsoft เผย GigaWiper แพคเกจมัลแวร์หลายฟังก์ชันทำลายข้อมูลและสอดแนมSecurity
-

Microsoft เผย GigaWiper แพคเกจมัลแวร์หลายฟังก์ชันทำลายข้อมูลและสอดแนม

Microsoft เตือนเกี่ยวกับมัลแวร์ใหม่ชื่อ GigaWiper ที่รวมคุณสมบัติของ wiper และ ransomware ไว้ในแพคเกจเดียว นอกจากนี้ยังมีโมดูลสอดแนมเช่นการถ่ายภาพหน้าจอ บันทึก…

TechRadar6 นาที
ShinyHunters ใช้ OAuth เชื่อม Microsoft Maps ขโมยข้อมูล Salesforce อย่างเงียบ ๆSecurity
16 กรกฎาคม 2569 เวลา 13:00

ShinyHunters ใช้ OAuth เชื่อม Microsoft Maps ขโมยข้อมูล Salesforce อย่างเงียบ ๆ

ShinyHunters แทรกซึม Salesforce ผ่าน OAuth ของ Microsoft Maps ทำให้ข้อมูลลูกค้าและตำแหน่งถูกขโมยอย่างเงียบ ๆ โดยไม่ใช้ช่องโหว่ของระบบ.

The Hacker News6 นาที
คัดลอกลิงก์แล้ว!