
ที่มาภาพ: The Register
คณะผู้ตรวจพบสายลับจีนเจาะระบบอีเมล Roundcube ของมหาวิทยาลัยหลายแห่ง
⚡ สรุป 30 วิ
Proofpoint รายงานว่ากลุ่มแฮกเกอร์ที่สงสัยว่าเป็นสายลับจีนเจาะระบบอีเมล Roundcube ของมหาวิทยาลัยในสหรัฐและแคนาดาตั้งแต่พฤษภาคมที่ผ่านมา. การโจมตีใช้ช่องโหว่…
การวิจัยของ Proofpoint เปิดเผยว่ากลุ่มแฮกเกอร์ที่เชื่อว่าเป็นสายลับจากจีนได้เจาะระบบอีเมล Roundcube ของมหาวิทยาลัยชั้นนำในสหรัฐและแคนาดาตั้งแต่เดือนพฤษภาคมที่ผ่านมา การโจมตีใช้ช่องโหว่หลายจุดเพื่อขโมยข้อมูลของผู้ดูแลและนักวิจัยด้านฟิสิกส์และวิศวกรรม ซึ่งอาจส่งผลต่อการวิจัยที่เกี่ยวข้องกับความมั่นคงระดับชาติ
Overview
ตามรายงานของ Proofpoint ทีมวิจัยได้สังเกตว่ามีมหาวิทยาลัย น้อยกว่า 10 แห่งที่ถูกโจมตีโดยตรงในช่วงแรก แต่ผู้เชี่ยวชาญคาดว่าอาจมีหลายสิบแห่งที่เป็นเป้าหมาย การสำรวจพบว่าแคมเปญนี้ยังคงดำเนินต่อไปจนถึงต้นเดือนมิถุนายนและไม่มีสัญญาณว่าการโจมตีนั้นหยุดลง
กลุ่มที่ถูกตั้งชื่อ UNK_MassTraction มุ่งเน้นที่บุคลากรในภาควิชาที่มีความเชื่อมโยงกับการรักษาความมั่นคงของชาติ รวมถึงแผนกดาราศาสตร์และฟิสิกส์อนุภาคมูลฐาน ซึ่งสอดคล้องกับเป้าหมายทางข่าวกรองของจีน การเลือกเป้าหมายเหล่านี้ชี้ให้เห็นว่าการเก็บข้อมูลไม่ได้เป็นเพียงการโจรกรรมทั่วไป แต่มีความสัมพันธ์เชิงยุทธศาสตร์
Threat Actor Profile
ผู้ที่อยู่เบื้องหลังกลุ่มนี้ยังไม่มีการระบุตัวตนอย่างแน่ชัด อย่างไรก็ตาม Proofpoint ระบุว่าอีเมลฟิชชิ่งหลายฉบับมาจากโดเมนที่สามารถสปูฟได้และมีร่องรอยของ ภาษาจีน รวมถึงโครงสร้างพื้นฐานแบบ VPN ที่เคยใช้โดยกลุ่มคอมพิวเตอร์สนับสนุนจากจีน การวิเคราะห์แสดงให้เห็นว่ากลุ่มนี้มีความรู้ด้านการทำ reconnaissance ก่อนเริ่มโจมตี
Greg Lesnewich วิศวกรวิจัยหลักของ Proofpoint กล่าวว่า “แม้ข้อมูลที่เรามีจะจำกัด แต่รูปแบบการใช้งานและเครื่องมือที่พบบ่งชี้ถึง การดำเนินงานระดับกลาง ของผู้กระทำผิดที่มีความตระหนักด้านการรักษาความลับทางเทคนิค” การประเมินนี้สอดคล้องกับพฤติกรรมของกลุ่ม APT ที่มักใช้วิธีการซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับ
Attack Methodology
แฮกเกอร์เริ่มต้นด้วยอีเมลฟิชชิ่งที่ดูเหมือนเป็นข้อความตลาดหรือประกาศภายในมหาวิทยาลัย เนื้อหามักจะเป็นข้อความทั่วไปทำให้ผู้รับไม่น่าสังเกตว่าเป็นภัยคุกคาม เมื่อเปิดอีเมลในเว็บไคลเอนต์ของ Roundcube ที่มีการใช้เวอร์ชันที่ยังไม่ได้อัปเดต ช่องโหว่ CVE-2024-42009 (Cross‑Site Scripting) จะถูกกระตุ้น
ช่องโหว่นี้ทำให้สคริปต์ JavaScript ที่ฝังอยู่ในข้อความสามารถรันบนเบราว์เซอร์ของผู้ใช้และส่งต่อการควบคุมไปยังเครื่องของโจมตี หลังจากนั้นแฮกเกอร์จะดาวน์โหลดตัวขโมยข้อมูลชื่อ IceCube ซึ่งสามารถหลบหนีออกจาก iFrame ของ Roundcube เพื่อเข้าถึงข้อมูล session, คุกกี้ และรหัสผ่านของผู้ใช้ได้
Tools & Payloads
การทำงานต่อเนื่องของมูลแฮกเกอร์รวมถึงการใช้ช่องโหว่อื่นเพื่อเสริมสร้างการควบคุมระยะไกล:
- IceCube – ตัวขโมยข้อมูลที่รวบรวม credential, session token และข้อมูลเบราว์เซอร์ ส่งไปยัง C2 server ผ่าน HTTP POST
- SquareShell – เว็บเชลล์ที่ติดตั้งผ่านช่องโหว่การ deserialize CVE-2025-49113 ทำให้แฮกเกอร์สามารถรันคำสั่งบนเซิร์ฟเวอร์ได้โดยตรง
- VShell – แบ็กดอร์ที่พัฒนาขึ้นด้วยภาษา Go ใช้สำหรับการเข้าถึงระยะไกลและการจัดการไฟล์หลังการเจาะระบบ
- SnowLight – ตัวโหลดสำรองที่ทำงานเมื่อ SquareShell ไม่สามารถทำงานได้ โดยใช้สคริปต์เชลล์เพื่อเรียกใช้โหลดเดอร์เพิ่มเติม
กระบวนการเหล่านี้ถูกออกแบบให้มีขั้นตอนหลายชั้น ทำให้ยากต่อการตรวจจับและปิดกั้นจากระบบป้องกันมาตรฐาน
Implications
การโจมตีครั้งนี้เปิดเผยจุดอ่อนที่สำคัญของ Roundcube ซึ่งยังคงใช้ในหลายสถาบันการศึกษา แม้ว่าผู้ดูแลระบบจะมีนโยบายอัปเดตซอฟต์แวร์บ่อยครั้ง แต่การใช้งานเวอร์ชันเก่าอย่างต่อเนื่องทำให้เป็นเป้าหมายที่ง่ายสำหรับผู้โจมตี
ผลกระทบของการขโมยข้อมูลในภาควิชาฟิสิกส์และวิศวกรรมอาจส่งผลต่อโครงการวิจัยระดับชาติ รวมถึงเทคโนโลยีที่เกี่ยวข้องกับระบบอาวุธหรืออวกาศ การเปิดเผยข้อมูลสำคัญเหล่านี้ให้แก่รัฐจีนอาจทำให้ความได้เปรียบด้านเทคโนโลยีของสหรัฐและพันธมิตรลดลง
Proofpoint ได้แจ้งเตือนมหาวิทยาลัยที่ได้รับผลกระทบแล้วและร่วมมือกับหน่วยงานรัฐบาลเพื่อทำความสะอาดระบบ นอกจากนี้ยังส่งเสริมให้สถาบันทั่วโลกตรวจสอบและอัปเดต Roundcube ให้เป็นเวอร์ชันล่าสุด และเพิ่มการฝึกอบรมพนักงานด้านความปลอดภัยต่อการระบุอีเมลฟิชชิ่งที่มีลักษณะทั่วไป
Summary
กลุ่มแฮกเกอร์ที่คาดว่าเชื่อมโยงกับจีนได้ใช้ช่องโหว่ CVE-2024‑42009 ของ Roundcube เพื่อเจาะระบบมหาวิทยาลัยในสหรัฐและแคนาดาโดยมุ่งเป้าไปยังภาควิชาที่เกี่ยวข้องกับความมั่นคงระดับชาติ การโจมตีนี้เน้นการใช้หลายเครื่องมือเชิงลึกเช่น IceCube, SquareShell, VShell และ SnowLight ทำให้ต้องมีการอัปเดตซอฟต์แวร์และเสริมสร้างการฝึกอบรมความปลอดภัยอย่างเร่งด่วนเพื่อป้องกันเหตุการณ์ในอนาคต.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Suspected Chinese snoops caught breaking into universities' Roundcube mailservers
- ผู้เขียน
- Unknown
- แหล่ง
- The Register
- วันที่เผยแพร่
- 9 กรกฎาคม 2569 เวลา 04:35



