คณะผู้ตรวจพบสายลับจีนเจาะระบบอีเมล Roundcube ของมหาวิทยาลัยหลายแห่ง

ที่มาภาพ: The Register

Security-อ่าน 6 นาทีThe Register

คณะผู้ตรวจพบสายลับจีนเจาะระบบอีเมล Roundcube ของมหาวิทยาลัยหลายแห่ง

⚡ สรุป 30 วิ

Proofpoint รายงานว่ากลุ่มแฮกเกอร์ที่สงสัยว่าเป็นสายลับจีนเจาะระบบอีเมล Roundcube ของมหาวิทยาลัยในสหรัฐและแคนาดาตั้งแต่พฤษภาคมที่ผ่านมา. การโจมตีใช้ช่องโหว่…

การวิจัยของ Proofpoint เปิดเผยว่ากลุ่มแฮกเกอร์ที่เชื่อว่าเป็นสายลับจากจีนได้เจาะระบบอีเมล Roundcube ของมหาวิทยาลัยชั้นนำในสหรัฐและแคนาดาตั้งแต่เดือนพฤษภาคมที่ผ่านมา การโจมตีใช้ช่องโหว่หลายจุดเพื่อขโมยข้อมูลของผู้ดูแลและนักวิจัยด้านฟิสิกส์และวิศวกรรม ซึ่งอาจส่งผลต่อการวิจัยที่เกี่ยวข้องกับความมั่นคงระดับชาติ

Overview

ตามรายงานของ Proofpoint ทีมวิจัยได้สังเกตว่ามีมหาวิทยาลัย น้อยกว่า 10 แห่งที่ถูกโจมตีโดยตรงในช่วงแรก แต่ผู้เชี่ยวชาญคาดว่าอาจมีหลายสิบแห่งที่เป็นเป้าหมาย การสำรวจพบว่าแคมเปญนี้ยังคงดำเนินต่อไปจนถึงต้นเดือนมิถุนายนและไม่มีสัญญาณว่าการโจมตีนั้นหยุดลง

กลุ่มที่ถูกตั้งชื่อ UNK_MassTraction มุ่งเน้นที่บุคลากรในภาควิชาที่มีความเชื่อมโยงกับการรักษาความมั่นคงของชาติ รวมถึงแผนกดาราศาสตร์และฟิสิกส์อนุภาคมูลฐาน ซึ่งสอดคล้องกับเป้าหมายทางข่าวกรองของจีน การเลือกเป้าหมายเหล่านี้ชี้ให้เห็นว่าการเก็บข้อมูลไม่ได้เป็นเพียงการโจรกรรมทั่วไป แต่มีความสัมพันธ์เชิงยุทธศาสตร์

Threat Actor Profile

ผู้ที่อยู่เบื้องหลังกลุ่มนี้ยังไม่มีการระบุตัวตนอย่างแน่ชัด อย่างไรก็ตาม Proofpoint ระบุว่าอีเมลฟิชชิ่งหลายฉบับมาจากโดเมนที่สามารถสปูฟได้และมีร่องรอยของ ภาษาจีน รวมถึงโครงสร้างพื้นฐานแบบ VPN ที่เคยใช้โดยกลุ่มคอมพิวเตอร์สนับสนุนจากจีน การวิเคราะห์แสดงให้เห็นว่ากลุ่มนี้มีความรู้ด้านการทำ reconnaissance ก่อนเริ่มโจมตี

Greg Lesnewich วิศวกรวิจัยหลักของ Proofpoint กล่าวว่า “แม้ข้อมูลที่เรามีจะจำกัด แต่รูปแบบการใช้งานและเครื่องมือที่พบบ่งชี้ถึง การดำเนินงานระดับกลาง ของผู้กระทำผิดที่มีความตระหนักด้านการรักษาความลับทางเทคนิค” การประเมินนี้สอดคล้องกับพฤติกรรมของกลุ่ม APT ที่มักใช้วิธีการซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับ

Attack Methodology

แฮกเกอร์เริ่มต้นด้วยอีเมลฟิชชิ่งที่ดูเหมือนเป็นข้อความตลาดหรือประกาศภายในมหาวิทยาลัย เนื้อหามักจะเป็นข้อความทั่วไปทำให้ผู้รับไม่น่าสังเกตว่าเป็นภัยคุกคาม เมื่อเปิดอีเมลในเว็บไคลเอนต์ของ Roundcube ที่มีการใช้เวอร์ชันที่ยังไม่ได้อัปเดต ช่องโหว่ CVE-2024-42009 (Cross‑Site Scripting) จะถูกกระตุ้น

ช่องโหว่นี้ทำให้สคริปต์ JavaScript ที่ฝังอยู่ในข้อความสามารถรันบนเบราว์เซอร์ของผู้ใช้และส่งต่อการควบคุมไปยังเครื่องของโจมตี หลังจากนั้นแฮกเกอร์จะดาวน์โหลดตัวขโมยข้อมูลชื่อ IceCube ซึ่งสามารถหลบหนีออกจาก iFrame ของ Roundcube เพื่อเข้าถึงข้อมูล session, คุกกี้ และรหัสผ่านของผู้ใช้ได้

Tools & Payloads

การทำงานต่อเนื่องของมูลแฮกเกอร์รวมถึงการใช้ช่องโหว่อื่นเพื่อเสริมสร้างการควบคุมระยะไกล:

  • IceCube – ตัวขโมยข้อมูลที่รวบรวม credential, session token และข้อมูลเบราว์เซอร์ ส่งไปยัง C2 server ผ่าน HTTP POST
  • SquareShell – เว็บเชลล์ที่ติดตั้งผ่านช่องโหว่การ deserialize CVE-2025-49113 ทำให้แฮกเกอร์สามารถรันคำสั่งบนเซิร์ฟเวอร์ได้โดยตรง
  • VShell – แบ็กดอร์ที่พัฒนาขึ้นด้วยภาษา Go ใช้สำหรับการเข้าถึงระยะไกลและการจัดการไฟล์หลังการเจาะระบบ
  • SnowLight – ตัวโหลดสำรองที่ทำงานเมื่อ SquareShell ไม่สามารถทำงานได้ โดยใช้สคริปต์เชลล์เพื่อเรียกใช้โหลดเดอร์เพิ่มเติม

กระบวนการเหล่านี้ถูกออกแบบให้มีขั้นตอนหลายชั้น ทำให้ยากต่อการตรวจจับและปิดกั้นจากระบบป้องกันมาตรฐาน

Implications

การโจมตีครั้งนี้เปิดเผยจุดอ่อนที่สำคัญของ Roundcube ซึ่งยังคงใช้ในหลายสถาบันการศึกษา แม้ว่าผู้ดูแลระบบจะมีนโยบายอัปเดตซอฟต์แวร์บ่อยครั้ง แต่การใช้งานเวอร์ชันเก่าอย่างต่อเนื่องทำให้เป็นเป้าหมายที่ง่ายสำหรับผู้โจมตี

ผลกระทบของการขโมยข้อมูลในภาควิชาฟิสิกส์และวิศวกรรมอาจส่งผลต่อโครงการวิจัยระดับชาติ รวมถึงเทคโนโลยีที่เกี่ยวข้องกับระบบอาวุธหรืออวกาศ การเปิดเผยข้อมูลสำคัญเหล่านี้ให้แก่รัฐจีนอาจทำให้ความได้เปรียบด้านเทคโนโลยีของสหรัฐและพันธมิตรลดลง

Proofpoint ได้แจ้งเตือนมหาวิทยาลัยที่ได้รับผลกระทบแล้วและร่วมมือกับหน่วยงานรัฐบาลเพื่อทำความสะอาดระบบ นอกจากนี้ยังส่งเสริมให้สถาบันทั่วโลกตรวจสอบและอัปเดต Roundcube ให้เป็นเวอร์ชันล่าสุด และเพิ่มการฝึกอบรมพนักงานด้านความปลอดภัยต่อการระบุอีเมลฟิชชิ่งที่มีลักษณะทั่วไป

Summary

กลุ่มแฮกเกอร์ที่คาดว่าเชื่อมโยงกับจีนได้ใช้ช่องโหว่ CVE-2024‑42009 ของ Roundcube เพื่อเจาะระบบมหาวิทยาลัยในสหรัฐและแคนาดาโดยมุ่งเป้าไปยังภาควิชาที่เกี่ยวข้องกับความมั่นคงระดับชาติ การโจมตีนี้เน้นการใช้หลายเครื่องมือเชิงลึกเช่น IceCube, SquareShell, VShell และ SnowLight ทำให้ต้องมีการอัปเดตซอฟต์แวร์และเสริมสร้างการฝึกอบรมความปลอดภัยอย่างเร่งด่วนเพื่อป้องกันเหตุการณ์ในอนาคต.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
Suspected Chinese snoops caught breaking into universities' Roundcube mailservers
ผู้เขียน
Unknown
แหล่ง
The Register
วันที่เผยแพร่
9 กรกฎาคม 2569 เวลา 04:35

Related

บทความที่เกี่ยวข้อง

Cybersecurity พื้นฐานที่คนไทยต้องรู้ 2026Security
23 พฤษภาคม 2569 เวลา 09:00

Cybersecurity พื้นฐานที่คนไทยต้องรู้ 2026

ภัยไซเบอร์ไทย 2026 เพิ่มสูงขึ้นทุกปี ทั้ง call center scam, phishing LINE/Facebook, OTP hijacking และ deepfake มาเรียนรู้ 10 วิธีป้องกันตัวเองพื้นฐาน ที่ทำได้วันนี้เลยโดยไม่ต้องเป็น IT expert

Editorial14 นาที
การหลอกลวง IT Support ผ่าน Microsoft Teams ส่งลิงก์ดาวน์โหลด EtherRATSecurity
-

การหลอกลวง IT Support ผ่าน Microsoft Teams ส่งลิงก์ดาวน์โหลด EtherRAT

กลุ่มอาชญากรรมไซเบอร์ใช้การโทรผ่าน Microsoft Teams แอบอ้างเป็นฝ่าย IT เพื่อหลอกพนักงานดาวน์โหลดไฟล์ปลอมที่มีมอลแวร์ EtherRAT ซึ่งเชื่อมต่อกับเซิร์ฟเวอร์ C2…

BleepingComputer7 นาที
EY ไล่ออกพนักงานสองคนหลังพบว่าถูกเข้าถึงบัญชีธนาคารนายกรัฐมนตรีออสเตรเลียโดยไม่ได้รับอนุญาตSecurity
8 กรกฎาคม 2569 เวลา 05:30

EY ไล่ออกพนักงานสองคนหลังพบว่าถูกเข้าถึงบัญชีธนาคารนายกรัฐมนตรีออสเตรเลียโดยไม่ได้รับอนุญาต

บริษัทตรวจสอบระดับโลก EY ออสเตรเลียได้ไล่พนักงานสองคนหลังพบว่าพวกเขาเข้าถึงข้อมูลบัญชีธนาคารของนายกรัฐมนตรี Anthony Albanese โดยไม่ได้รับอนุญาต…

The Register7 นาที
เปลี่ยนจาก Pi‑hole ไปใช้ AdGuard Home พร้อม Unbound บน OPNsense ทำให้เครือข่ายสะอาดขึ้น.Security
6 กรกฎาคม 2569 เวลา 17:30

เปลี่ยนจาก Pi‑hole ไปใช้ AdGuard Home พร้อม Unbound บน OPNsense ทำให้เครือข่ายสะอาดขึ้น.

ผู้เขียนย้ายจาก Pi‑hole ไปใช้ AdGuard Home ร่วมกับ Unbound บนเราเตอร์ OPNsense เพื่อรวมฟีเจอร์กรองโฆษณาและไฟร์วอลล์ในเครื่องเดียว…

XDA Developers7 นาที
คัดลอกลิงก์แล้ว!