Microsoft เผย GigaWiper แพคเกจมัลแวร์หลายฟังก์ชันทำลายข้อมูลและสอดแนม

ที่มาภาพ: TechRadar

Security-อ่าน 6 นาทีTechRadar

Microsoft เผย GigaWiper แพคเกจมัลแวร์หลายฟังก์ชันทำลายข้อมูลและสอดแนม

⚡ สรุป 30 วิ

Microsoft เตือนเกี่ยวกับมัลแวร์ใหม่ชื่อ GigaWiper ที่รวมคุณสมบัติของ wiper และ ransomware ไว้ในแพคเกจเดียว นอกจากนี้ยังมีโมดูลสอดแนมเช่นการถ่ายภาพหน้าจอ บันทึก…

Microsoft เตือนเกี่ยวกับมัลแวร์ใหม่ชื่อ GigaWiper ซึ่งรวมหลายรูปแบบของซอฟต์แวร์ประสงค์ร้ายไว้ในแพคเกจเดียวและถูกเชื่อมโยงกับกลุ่มผู้โจมตีจากอิหร่าน CyberAv3ngers  ความสามารถในการทำลายข้อมูลพร้อมการสอดแนมทำให้เหตุการณ์นี้เป็นความเสี่ยงต่อองค์กรหลายระดับ

Overview

GigaWiper ถูกจัดประเภทว่าเป็น “multi‑malware package” ที่รวมคุณลักษณะของตัวทำลาย (wiper) และแรนซัมแวร์ไว้ในโค้ดเดียวกัน ตามข้อมูลที่ Microsoft เผยออกมามัลแวร์นี้สามารถทำลายฮาร์ดไดรฟ์โดยตรงหรือเข้ารหัสไฟล์ทั้งหมดบนระบบได้โดยไม่มีทางกู้คืน เนื้อหาที่ถูกทำลายจะหายไปอย่างถาวร

การทำงานของ GigaWiper ไม่ได้จำกัดอยู่แค่การทำลายเท่านั้น แต่ยังมีโมดูลสอดแนมที่สามารถจับภาพหน้าจอ บันทึกวิดีโอจาก VNC session หรือดึงข้อมูลระบบต่าง ๆ ได้ ทำให้ผู้โจมตีสามารถเฝ้าติดตามกิจกรรมของเหยื่อได้แบบเรียลไทม์

Microsoft ระบุว่าแพคเกจนี้เป็นการผสานรวมของส่วนประกอบที่เคยพบในมัลแวร์อื่น ๆ ที่มีความเชื่อมโยงกับกลุ่ม CyberAv3ngers ซึ่งได้รับการสนับสนุนจากรัฐอิหร่าน การรวมหลายฟังก์ชันเข้าด้วยกันทำให้การตรวจจับและการตอบโต้ซับซ้อนยิ่งขึ้น

Capabilities

มัลแวร์นี้มีวิธีการทำลายข้อมูลหลักสามรูปแบบ:

  • Overwrite physical drive – เขียนทับข้อมูลบนดิสก์หลายรอบด้วยแพเทิร์นต่าง ๆ ทำให้ตารางพาร์ทิชันและข้อมูลทั้งหมดเสียหายอย่างถาวร
  • Encrypt files with a fake ransomware extension – เข้ารหัสไฟล์ทั้งหมดโดยเพิ่มสกุล .candy พร้อมแสดงภาพพื้นหลังเตือนว่าถูกเข้ารหัส แม้ว่าจะไม่มีโน๊ตเรียกร้องค่าไถ่หรือคีย์การถอดรหัสใด ๆ
  • Wipe partition table – ลบข้อมูลของพาร์ทิชันโดยตรง ทำให้ระบบไม่สามารถบูตได้และต้องทำการฟอร์แมตใหม่

นอกจากการทำลายแล้ว มัลแวร์ยังมีโมดูลสอดแนมที่สามารถ:

  • ถ่ายภาพหน้าจอหรือบันทึกวีดีโอของกิจกรรมผู้ใช้
  • เปิดเซสชัน VNC ให้ผู้โจมตีควบคุมเมาส์และคีย์บอร์ดจากระยะไกล
  • ดึงข้อมูลระบบ, จัดการโปรแกรมและบริการ, แก้ไขรีจิสทรี

Technical Details

GigaWiper ใช้วิธีซ่อนตัวโดยสร้างงาน (task) ที่มีชื่อว่า “OneDrive Update” ใน Task Scheduler และบันทึกคีย์ในรีจิสทรีภายใต้เส้นทาง OneDrive\Environment วิธีการนี้อาจทำให้ผู้ดูแลระบบมองข้ามได้ เนื่องจาก OneDrive เป็นบริการคลาวด์ที่หลายองค์กรใช้เป็นพื้นฐาน

โค้ดของมัลแวร์มีการทำ obfuscation ที่แฝงคำสั่งที่ชี้ไปยัง Microsoft เอง ซึ่ง Microsoft แปลว่าเป็น “cheeky dig” หรือการเย้าเล่นกับบริษัทผู้พัฒนา ระบบจะเรียกใช้ไบนารีหลายส่วนซึ่งเคยปรากฏในมัลแวร์อื่น ๆ ที่ถูกระบุว่ามาจาก CyberAv3ngers ทำให้การแยกแยะแต่ละโมดูลเป็นเรื่องท้าทาย

Attribution & Geopolitics

แม้ Microsoft ไม่ได้เปิดเผยชื่อของกลุ่มผู้โจมตีโดยตรง แต่ส่วนประกอบหลายอย่างของ GigaWiper มีประวัติที่เชื่อมโยงกับ CyberAv3ngers ซึ่งถูกระบุว่าเป็นหน่วยงานสนับสนุนจากกองกำลังรักษาการปฏิวัติเยียรธรรมของอิหร่าน (IRGC) กลุ่มนี้เคยใช้เทคนิคการทำลายข้อมูลและสอดแนมเพื่อวางแผนโจมตีต่อโครงสร้างพื้นฐานสำคัญในหลายประเทศ

การพัฒนาแบบ “multi‑malware” นี้สะท้อนถึงแนวโน้มของผู้ก่ออาชญากรรมไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ ซึ่งต้องการเพิ่มความรุนแรงและความสับสนให้กับฝ่ายรับ การรวมคุณลักษณะหลายประเภทในแพคเกจเดียวทำให้เครื่องมือนี้มีศักยภาพในการโจมตีทั้งเชิงทหารและเชิงอุตสาหกรรม

Mitigation & Impact

Microsoft แนะนำให้องค์กรตรวจสอบงานที่มีชื่อ “OneDrive Update” ใน Task Scheduler และรีจิสทรีคีย์ภายใต้ OneDrive\Environment หากพบควรทำการลบหรือปิดใช้งานทันที นอกจากนี้ ควรอัปเดตซอฟต์แวร์ด้านความปลอดภัยให้เป็นรุ่นล่าสุดและตรวจสอบพฤติกรรมของไฟล์ที่มีสกุล .candy

ผลกระทบจากการโจมตีด้วย GigaWiper อาจทำให้ข้อมูลสำคัญสูญหายโดยไม่มีทางฟื้นคืน ซึ่งอาจส่งผลต่อความต่อเนื่องในการดำเนินธุรกิจและค่าใช้จ่ายในการฟื้นฟูระบบอย่างมหาศาล การสอดแนมที่เป็นไปพร้อมกับการทำลายยังเพิ่มความเสี่ยงด้านข้อมูลส่วนบุคคลและความลับขององค์กร

Summary

GigaWiper เป็นมัลแวร์แบบหลายหน้าที่ที่รวมคุณสมบัติของ wiper, ransomware ปลอม และสอดแนมไว้ในแพคเกจเดียว พร้อมกลไกการซ่อนตัวภายใต้ชื่อ OneDrive ทำให้เป็นภัยคุกคามระดับสูงสำหรับองค์กรต่าง ๆ Microsoft ได้เตือนและแนะนำมาตรการตรวจสอบเพื่อป้องกันการติดตั้งของมัลแวร์นี้.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
Microsoft discovers new multi-malware package 'GigaWiper' capable of deploying wipers and ransomware
ผู้เขียน
Sead Fadilpašić
แหล่ง
TechRadar
วันที่เผยแพร่
10 กรกฎาคม 2569 เวลา 23:50

Related

บทความที่เกี่ยวข้อง

GigaWiper แบ็กดอร์ Windows รวมฟังก์ชันทำลายหลายแบบในโมดูลเดียวSecurity
-

GigaWiper แบ็กดอร์ Windows รวมฟังก์ชันทำลายหลายแบบในโมดูลเดียว

Microsoft เผยว่า GigaWiper เป็นแบ็กดอร์ของ Windows ที่รวมการลบข้อมูลเต็มดิสก์ เขียนทับพาร์ทิชันระบบ และแรนซัมแวร์ปลอมไว้ในโมดูลเดียว…

The Hacker News5 นาที
ติดตั้งปลอม 7‑Zip ทำอุปกรณ์เป็นโหนดพร็อกซี่เรสิดเชียนSecurity
-

ติดตั้งปลอม 7‑Zip ทำอุปกรณ์เป็นโหนดพร็อกซี่เรสิดเชียน

กลุ่ม Lurking Lizard ใช้ตัวติดตั้งปลอมของ 7‑Zip เพื่อสร้างโหนดพร็อกซี่เรสิดเชียนจากคอมพิวเตอร์ผู้ใช้ ส่งทราฟฟิกโดยไม่เปิดเผยตัวตน…

The Hacker News9 นาที
สเปนจับผู้ต้องสงสัยแฮกติวิสต์สนับสนุนรัสเซียหลั่งข้อมูล FBISecurity
9 กรกฎาคม 2569 เวลา 14:31

สเปนจับผู้ต้องสงสัยแฮกติวิสต์สนับสนุนรัสเซียหลั่งข้อมูล FBI

สเปนจับผู้ต้องสงสัยในเมือง Palencia เชื่อมโยงกับกลุ่มแฮกติวิสต์รัสเซียหลายองค์กร ได้รับข้อมูลจาก FBI…

The Register7 นาที
EY ไล่ออกพนักงานสองคนหลังพบว่าถูกเข้าถึงบัญชีธนาคารนายกรัฐมนตรีออสเตรเลียโดยไม่ได้รับอนุญาตSecurity
8 กรกฎาคม 2569 เวลา 05:30

EY ไล่ออกพนักงานสองคนหลังพบว่าถูกเข้าถึงบัญชีธนาคารนายกรัฐมนตรีออสเตรเลียโดยไม่ได้รับอนุญาต

บริษัทตรวจสอบระดับโลก EY ออสเตรเลียได้ไล่พนักงานสองคนหลังพบว่าพวกเขาเข้าถึงข้อมูลบัญชีธนาคารของนายกรัฐมนตรี Anthony Albanese โดยไม่ได้รับอนุญาต…

The Register7 นาที
คัดลอกลิงก์แล้ว!