
ที่มาภาพ: TechRadar
Microsoft เผย GigaWiper แพคเกจมัลแวร์หลายฟังก์ชันทำลายข้อมูลและสอดแนม
⚡ สรุป 30 วิ
Microsoft เตือนเกี่ยวกับมัลแวร์ใหม่ชื่อ GigaWiper ที่รวมคุณสมบัติของ wiper และ ransomware ไว้ในแพคเกจเดียว นอกจากนี้ยังมีโมดูลสอดแนมเช่นการถ่ายภาพหน้าจอ บันทึก…
Microsoft เตือนเกี่ยวกับมัลแวร์ใหม่ชื่อ GigaWiper ซึ่งรวมหลายรูปแบบของซอฟต์แวร์ประสงค์ร้ายไว้ในแพคเกจเดียวและถูกเชื่อมโยงกับกลุ่มผู้โจมตีจากอิหร่าน CyberAv3ngers ความสามารถในการทำลายข้อมูลพร้อมการสอดแนมทำให้เหตุการณ์นี้เป็นความเสี่ยงต่อองค์กรหลายระดับ
Overview
GigaWiper ถูกจัดประเภทว่าเป็น “multi‑malware package” ที่รวมคุณลักษณะของตัวทำลาย (wiper) และแรนซัมแวร์ไว้ในโค้ดเดียวกัน ตามข้อมูลที่ Microsoft เผยออกมามัลแวร์นี้สามารถทำลายฮาร์ดไดรฟ์โดยตรงหรือเข้ารหัสไฟล์ทั้งหมดบนระบบได้โดยไม่มีทางกู้คืน เนื้อหาที่ถูกทำลายจะหายไปอย่างถาวร
การทำงานของ GigaWiper ไม่ได้จำกัดอยู่แค่การทำลายเท่านั้น แต่ยังมีโมดูลสอดแนมที่สามารถจับภาพหน้าจอ บันทึกวิดีโอจาก VNC session หรือดึงข้อมูลระบบต่าง ๆ ได้ ทำให้ผู้โจมตีสามารถเฝ้าติดตามกิจกรรมของเหยื่อได้แบบเรียลไทม์
Microsoft ระบุว่าแพคเกจนี้เป็นการผสานรวมของส่วนประกอบที่เคยพบในมัลแวร์อื่น ๆ ที่มีความเชื่อมโยงกับกลุ่ม CyberAv3ngers ซึ่งได้รับการสนับสนุนจากรัฐอิหร่าน การรวมหลายฟังก์ชันเข้าด้วยกันทำให้การตรวจจับและการตอบโต้ซับซ้อนยิ่งขึ้น
Capabilities
มัลแวร์นี้มีวิธีการทำลายข้อมูลหลักสามรูปแบบ:
- Overwrite physical drive – เขียนทับข้อมูลบนดิสก์หลายรอบด้วยแพเทิร์นต่าง ๆ ทำให้ตารางพาร์ทิชันและข้อมูลทั้งหมดเสียหายอย่างถาวร
- Encrypt files with a fake ransomware extension – เข้ารหัสไฟล์ทั้งหมดโดยเพิ่มสกุล .candy พร้อมแสดงภาพพื้นหลังเตือนว่าถูกเข้ารหัส แม้ว่าจะไม่มีโน๊ตเรียกร้องค่าไถ่หรือคีย์การถอดรหัสใด ๆ
- Wipe partition table – ลบข้อมูลของพาร์ทิชันโดยตรง ทำให้ระบบไม่สามารถบูตได้และต้องทำการฟอร์แมตใหม่
นอกจากการทำลายแล้ว มัลแวร์ยังมีโมดูลสอดแนมที่สามารถ:
- ถ่ายภาพหน้าจอหรือบันทึกวีดีโอของกิจกรรมผู้ใช้
- เปิดเซสชัน VNC ให้ผู้โจมตีควบคุมเมาส์และคีย์บอร์ดจากระยะไกล
- ดึงข้อมูลระบบ, จัดการโปรแกรมและบริการ, แก้ไขรีจิสทรี
Technical Details
GigaWiper ใช้วิธีซ่อนตัวโดยสร้างงาน (task) ที่มีชื่อว่า “OneDrive Update” ใน Task Scheduler และบันทึกคีย์ในรีจิสทรีภายใต้เส้นทาง OneDrive\Environment วิธีการนี้อาจทำให้ผู้ดูแลระบบมองข้ามได้ เนื่องจาก OneDrive เป็นบริการคลาวด์ที่หลายองค์กรใช้เป็นพื้นฐาน
โค้ดของมัลแวร์มีการทำ obfuscation ที่แฝงคำสั่งที่ชี้ไปยัง Microsoft เอง ซึ่ง Microsoft แปลว่าเป็น “cheeky dig” หรือการเย้าเล่นกับบริษัทผู้พัฒนา ระบบจะเรียกใช้ไบนารีหลายส่วนซึ่งเคยปรากฏในมัลแวร์อื่น ๆ ที่ถูกระบุว่ามาจาก CyberAv3ngers ทำให้การแยกแยะแต่ละโมดูลเป็นเรื่องท้าทาย
Attribution & Geopolitics
แม้ Microsoft ไม่ได้เปิดเผยชื่อของกลุ่มผู้โจมตีโดยตรง แต่ส่วนประกอบหลายอย่างของ GigaWiper มีประวัติที่เชื่อมโยงกับ CyberAv3ngers ซึ่งถูกระบุว่าเป็นหน่วยงานสนับสนุนจากกองกำลังรักษาการปฏิวัติเยียรธรรมของอิหร่าน (IRGC) กลุ่มนี้เคยใช้เทคนิคการทำลายข้อมูลและสอดแนมเพื่อวางแผนโจมตีต่อโครงสร้างพื้นฐานสำคัญในหลายประเทศ
การพัฒนาแบบ “multi‑malware” นี้สะท้อนถึงแนวโน้มของผู้ก่ออาชญากรรมไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ ซึ่งต้องการเพิ่มความรุนแรงและความสับสนให้กับฝ่ายรับ การรวมคุณลักษณะหลายประเภทในแพคเกจเดียวทำให้เครื่องมือนี้มีศักยภาพในการโจมตีทั้งเชิงทหารและเชิงอุตสาหกรรม
Mitigation & Impact
Microsoft แนะนำให้องค์กรตรวจสอบงานที่มีชื่อ “OneDrive Update” ใน Task Scheduler และรีจิสทรีคีย์ภายใต้ OneDrive\Environment หากพบควรทำการลบหรือปิดใช้งานทันที นอกจากนี้ ควรอัปเดตซอฟต์แวร์ด้านความปลอดภัยให้เป็นรุ่นล่าสุดและตรวจสอบพฤติกรรมของไฟล์ที่มีสกุล .candy
ผลกระทบจากการโจมตีด้วย GigaWiper อาจทำให้ข้อมูลสำคัญสูญหายโดยไม่มีทางฟื้นคืน ซึ่งอาจส่งผลต่อความต่อเนื่องในการดำเนินธุรกิจและค่าใช้จ่ายในการฟื้นฟูระบบอย่างมหาศาล การสอดแนมที่เป็นไปพร้อมกับการทำลายยังเพิ่มความเสี่ยงด้านข้อมูลส่วนบุคคลและความลับขององค์กร
Summary
GigaWiper เป็นมัลแวร์แบบหลายหน้าที่ที่รวมคุณสมบัติของ wiper, ransomware ปลอม และสอดแนมไว้ในแพคเกจเดียว พร้อมกลไกการซ่อนตัวภายใต้ชื่อ OneDrive ทำให้เป็นภัยคุกคามระดับสูงสำหรับองค์กรต่าง ๆ Microsoft ได้เตือนและแนะนำมาตรการตรวจสอบเพื่อป้องกันการติดตั้งของมัลแวร์นี้.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Microsoft discovers new multi-malware package 'GigaWiper' capable of deploying wipers and ransomware
- ผู้เขียน
- Sead Fadilpašić
- แหล่ง
- TechRadar
- วันที่เผยแพร่
- 10 กรกฎาคม 2569 เวลา 23:50



