แฮกเกอร์จีนเปิด LONGLEASH ขยายเครือข่าย ORB ผ่านเราเตอร์ Ruckus ที่ยังไม่อัปเดต

ที่มาภาพ: BleepingComputer

Security-อ่าน 7 นาทีBleepingComputer

แฮกเกอร์จีนเปิด LONGLEASH ขยายเครือข่าย ORB ผ่านเราเตอร์ Ruckus ที่ยังไม่อัปเดต

⚡ สรุป 30 วิ

LONGLEASH ของกลุ่ม UAT‑7810 ใช้ช่องโหว่เร้าเตอร์ Ruckus ที่ยังไม่อัปเดตเพื่อขยายเครือข่าย ORB ทำใหแฮกเกอร์ควบคุมหลายพันอุปกรณ์ได้…

การวิจัยของบริษัทความปลอดภัยไซเบอร์ระบุว่าแฮกเกอร์ชาวจีนที่รู้จักในนาม UAT‑7810 ได้เปิดตัวมัลแวร์ใหม่ชื่อ LONGLEASH เพื่อขยายเครือข่าย Operational Relay Box (ORB) โดยมุ่งโจมตีอุปกรณ์เครือข่ายที่เชื่อมต่ออินเทอร์เน็ตโดยตรง ซึ่งส่วนใหญ่เป็นเราเตอร์ของ Ruckus** ที่ยังไม่ได้รับการอัปเดตแพทช์ ความเคลื่อนไหวนี้ทำให้ผู้ดูแลระบบต้องเร่งตรวจสอบและแก้ไขช่องโหว่บนอุปกรณ์เครือข่ายเพื่อป้องกันการใช้เป็นจุดเชื่อมต่อระยะไกลของแฮกเกอร์

Overview

ตามรายงานของ BleepingComputer แฮกเกอร์กลุ่ม UAT‑7810 ได้พัฒนามัลแวร์ LONGLEASH ซึ่งออกแบบมาเพื่อทำลายการป้องกันของอุปกรณ์เครือข่ายที่เผยแพร่ต่อสาธารณะโดยเฉพาะเราเตอร์จากผู้ผลิต Ruckus ที่ยังไม่มีการติดตั้งแพทช์ล่าสุด กลยุทธ์นี้ช่วยให้กลุ่มสามารถเพิ่มจำนวน OR​B node ได้อย่างรวดเร็วและต่อเนื่อง

ความสำคัญของการขยายเครือข่าย ORB อยู่ที่การสร้างเส้นทางสื่อสารระหว่างเซิร์ฟเวอร์ควบคุมกลางกับอุปกรณ์ปลายทางหลายพันเครื่อง ทำให้แฮกเกอร์สามารถส่งคำสั่งหรือดึงข้อมูลจากระบบต่าง ๆ ผ่านจุดเชื่อมต่อที่ดูเหมือน “ธรรมดา” นั่นหมายความว่าแม้การโจมตีจะเริ่มจากเราเตอร์เดียว ก็อาจทำให้ผู้เสียหายหลายพันเครื่องอยู่ภายใต้การควบคุมของแฮกเกอร์ได้

Malware Characteristics

LONGLEASH เป็นมัลแวร์แบบโมดูลาร์ที่ประกอบด้วยส่วนหลักสามส่วน ได้แก่ ตัวติดตั้ง (installer) ที่ทำหน้าที่เข้าถึงอุปกรณ์, มอดูลสื่อสาร (communication module) เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ C2 ของผู้โจมตี, และส่วนขยาย (payload) สำหรับการรันคำสั่งเพิ่มเติมบนระบบที่ถูกยึดครอง

ตัวติดตั้งของ LONGLEASH ใช้วิธีการบังคับให้ผู้ใช้หรืออุปกรณ์ทำการดาวน์โหลดเฟิร์มแวร์ปลอมผ่านช่องโหว่ในบริการจัดการระยะไกล (remote‑management) ของเราเตอร์ Ruckus โดยส่วนใหญ่พบว่าผู้โจมตีพึ่งพา ความล้าสมัยของแพทช์ ที่ยังไม่ได้รับการอัปเดตจากผู้ผลิต

นอกจากนี้ มอดูลสื่อสารได้ใช้เทคนิค tunneling ผ่านโปรโตคอล HTTPS หรือ SSH เพื่อหลบเลี่ยงระบบตรวจจับแบบดั้งเดิม ทำให้การสังเกตพฤติกรรมของทราฟฟิกที่ผิดปกติเป็นเรื่องยากสำหรับองค์กรที่ไม่ได้มีเครื่องมือ IDS/IPS ขั้นสูง

Target Devices & Exploits

  • เราเตอร์ Ruckus รุ่นหลายรุ่นที่ยังไม่ติดตั้งแพทช์ล่าสุด
  • บริการจัดการระยะไกล (Remote‑Management) ที่เปิดพอร์ตสาธารณะโดยไม่มีการตรวจสอบการเข้าถึง
  • การใช้บัญชีเริ่มต้นที่มีสิทธิ์สูงซึ่งผู้ดูแลระบบบางรายยังไม่ได้เปลี่ยนรหัสผ่าน

แหล่งข้อมูลชี้ให้เห็นว่าการโจมตีส่วนใหญ่เกิดจาก การคาดเดารหัสผ่านเริ่มต้น (default credentials) หรือการใช้ช่องโหว่ที่เปิดเผยในรุ่นเฟิร์มแวร์เก่า เช่น CVE‑2022‑xxxx ที่เกี่ยวข้องกับการตรวจสอบอัตโนมัติของระบบจัดการเครือข่าย การไม่อัปเดตซอฟต์แวร์เหล่านี้ทำให้อุปกรณ์กลายเป็น “ประตูเปิด” ให้แฮกเกอร์เข้ามาได้โดยตรง

แม้ว่าจะมีรายงานว่ากลุ่ม UAT‑7810 ยังเคยโจมตีอุปกรณ์ประเภทอื่นเช่นสวิตช์และไฟร์วอลล์บางรุ่น แต่ในปัจจุบัน Ruckus router ยังคงเป็นเป้าหมายหลัก เนื่องจากฐานการติดตั้งที่กว้างขวางในองค์กรระดับกลาง‑ใหญ่ทั่วโลก

Operational Relay Box (ORB) Network

เครือข่าย OR​B ทำหน้าที่เป็น “จุดต่อสาย” ระหว่างเซิร์ฟเวอร์ควบคุมของแฮกเกอร์กับอุปกรณ์ปลายทางที่ถูกยึดครอง โดยแต่ละ ORB node จะทำการรับส่งข้อมูลไป‑กลับอย่างต่อเนื่องและซ่อนตัวอยู่ในทราฟฟิกปกติของเครือข่าย

ด้วยการใช้ LONGLEASH เพื่อเพิ่มจำนวนเราตเตอร์ที่เป็น ORB node, แฮกเกอร์สามารถสร้าง โครงข่ายหลายชั้น ที่ทำให้การติดตามเส้นทางสื่อสารระหว่าง C2 กับอุปกรณ์ปลายทางกลายเป็นเรื่องยาก การกระจายนี้ยังช่วยลดความเสี่ยงต่อการถูกตรวจจับ หากหนึ่งหรือสอง node ถูกกำจัด ระบบโดยรวมก็ยังคงทำงานได้

ผลของโครงข่าย ORB ที่ขยายตัวอย่างรวดเร็วคือเพิ่ม ความสามารถในการสืบค้นข้อมูล (data exfiltration) และ การควบคุมระยะไกล ของแฮกเกอร์ต่อองค์กรที่มีหลายศูนย์ข้อมูลหรือสำนักงานกระจายทั่วโลก

Mitigation & Impact

ผู้ดูแลระบบควรให้ความสำคัญกับขั้นตอนพื้นฐานดังต่อไปนี้:

  • ตรวจสอบและ อัปเดตเฟิร์มแวร์ ของเราเตอร์ Ruckus ให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด
  • ปิดการเปิดพอร์ตจัดการระยะไกล (เช่น HTTPS/SSH) ไปยังอินเทอร์เน็ตโดยตรง หรือจำกัดให้เข้าถึงได้เฉพาะจาก IP ที่ได้รับอนุมัติ
  • เปลี่ยนรหัสผ่านเริ่มต้นของอุปกรณ์ทุกเครื่องเป็นรหัสที่ซับซ้อนและไม่ใช้ข้อมูลเดิมซ้ำกัน

ตามการวิเคราะห์ของผู้เชี่ยวชาญด้านความปลอดภัย, การโจมตีด้วย LONGLEASH อาจส่งผลต่อองค์กรหลายภาคส่วนรวมถึง ธนาคาร, สถาบันการศึกษา และหน่วยงานรัฐ ที่พึ่งพาอุปกรณ์ Ruckus ในโครงสร้างพื้นฐานเครือข่าย หากไม่ได้รับการแก้ไขเร็ว ๆ นี้ การแทรกซึมของข้อมูลสำคัญหรือการทำให้บริการล่มอาจเกิดขึ้นได้

ในระดับกว้าง, ความเคลื่อนไหวนี้บ่งชี้ว่ากลุ่ม APT จากจีนยังคงพัฒนาวิธีการใหม่เพื่อ ขยายอิทธิพลบนอินเทอร์เน็ตของสาธารณะ ผ่านอุปกรณ์ IoT และเครือข่ายที่ไม่มีการจัดการอย่างเหมาะสม ซึ่งทำให้แนวโน้มภัยคุกคามไซเบอร์ในปีต่อ ๆ ไปต้องได้รับความสนใจเป็นพิเศษ

Summary

แฮกเกอร์กลุ่ม UAT‑7810 เปิดตัวมัลแวร์ LONGLEASH เพื่อเจาะอุปกรณ์ Ruckus router ที่ยังไม่ได้รับการแพทช์และขยายเครือข่าย ORB อย่างรวดเร็ว การโจมตีนี้ทำให้ผู้ดูแลระบบต้องเร่งตรวจสอบช่องโหว่และปรับมาตรการความปลอดภัยเพื่อป้องกันการใช้เราเตอร์เป็นจุดเชื่อมต่อระยะไกลของแฮกเกอร์.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
Chinese hackers develop LONGLEASH malware to expand ORB network
ผู้เขียน
Bill Toulas
แหล่ง
BleepingComputer
วันที่เผยแพร่
8 กรกฎาคม 2569 เวลา 01:52

Related

บทความที่เกี่ยวข้อง

Wallpaper Engine ลบฟีเจอร์สร้างภาพพื้นหลังหลังพบมัลแวร์ในไฟล์ .exeSecurity
3 กรกฎาคม 2569 เวลา 08:00

Wallpaper Engine ลบฟีเจอร์สร้างภาพพื้นหลังหลังพบมัลแวร์ในไฟล์ .exe

Wallpaper Engine ถูกบังคับให้ลบส่วนของแอปพลิเคชันที่สร้างภาพพื้นหลังออกจาก Steam เนื่องจากพบไฟล์ .exe ที่แฝงมัลแวร์ ผู้ใช้ต้องสำรองข้อมูลก่อนวันที่ 6 กรกฎาคม.

GameSpot5 นาที
SkillCloak ทำให้ทักษะ AI ที่เป็นอันตรายหลบการสแกนแบบคงที่ได้อย่างมีประสิทธิภาพ.Security
-

SkillCloak ทำให้ทักษะ AI ที่เป็นอันตรายหลบการสแกนแบบคงที่ได้อย่างมีประสิทธิภาพ.

การวิจัยของ HKUST เปิดเผยว่าเทคนิค SkillCloak สามารถบรรจุโค้ดอันตรายใน “skill” ของ AI‑coding agents ทำให้สแกนเนอร์แบบคงที่พลาดตรวจจับได้มากกว่า 90 %…

The Hacker News5 นาที
Amazon ปรับนโยบาย Fire TV ยกเลิกการติดตั้งแอปภายนอกเพื่อความปลอดภัยและต่อต้านการละเมิดลิขสิทธิ์Security
-

Amazon ปรับนโยบาย Fire TV ยกเลิกการติดตั้งแอปภายนอกเพื่อความปลอดภัยและต่อต้านการละเมิดลิขสิทธิ์

Amazon จะจำกัดการติดตั้งแอปจากไฟล์ APK บน Fire TV รุ่นใหม่เพื่อป้องกันมัลแวร์และลดการเข้าถึงเนื้อหาละเมิดลิขสิทธิ์ ผู้ใช้จะต้องใช้แอปจาก Amazon Appstore…

TechSpot7 นาที
เปลี่ยนจาก Pi‑hole ไปใช้ AdGuard Home พร้อม Unbound บน OPNsense ทำให้เครือข่ายสะอาดขึ้น.Security
6 กรกฎาคม 2569 เวลา 17:30

เปลี่ยนจาก Pi‑hole ไปใช้ AdGuard Home พร้อม Unbound บน OPNsense ทำให้เครือข่ายสะอาดขึ้น.

ผู้เขียนย้ายจาก Pi‑hole ไปใช้ AdGuard Home ร่วมกับ Unbound บนเราเตอร์ OPNsense เพื่อรวมฟีเจอร์กรองโฆษณาและไฟร์วอลล์ในเครื่องเดียว…

XDA Developers7 นาที
คัดลอกลิงก์แล้ว!