สปายแวร์ Memento และ ‘Hacking Team’ หวนคืน: โจมตี Chrome Zero-Day เพื่อล้วงข้อมูลรัฐบาลและสื่อ

Anat Obom

3 weeks ago

ภัยคุกคาม Zero-Day: แค่คลิกลิงก์ ก็ถูกล้วงความลับ!

การโจมตีทางไซเบอร์ที่มีชื่อรหัสว่า Operation ForumTroll ได้เผยให้เห็นถึงการใช้ช่องโหว่ Zero-Day ในเบราว์เซอร์ Google Chrome (CVE-2025-2783) เพื่อติดตั้งสปายแวร์ โดยการโจมตีครั้งนี้มีความซับซ้อนและพุ่งเป้าไปที่องค์กรระดับสูงในรัสเซียและเบลารุส เช่น สถาบันวิจัย สถาบันการเงิน และสื่อมวลชน

สิ่งที่น่ากังวลที่สุดคือการติดเชื้อมัลแวร์นั้นง่ายดายอย่างยิ่ง ไม่ต้องมีการดาวน์โหลดหรือการกระทำใดๆ เพิ่มเติมจากผู้ใช้ เพียงแค่เปิดเว็บไซต์ที่มีลิงก์ฟิชชิ่งส่วนตัวใน Chrome เท่านั้น การโจมตีก็จะเริ่มทำงานทันที

เบื้องหลัง ‘Dante’ สปายแวร์จาก Memento Labs

นักวิจัยจาก Kaspersky ได้เชื่อมโยงชุดเครื่องมือที่ใช้ในการโจมตีครั้งนี้เข้ากับ Memento Labs ซึ่งเป็นชื่อใหม่ของ Hacking Team บริษัทสัญชาติอิตาลีที่เคยเป็นที่รู้จักในฐานะผู้จำหน่ายสปายแวร์เชิงพาณิชย์ให้กับหน่วยงานรัฐบาลทั่วโลก โดยข้อมูลหลักที่ค้นพบคือ:

การกลับมาของ Hacking Team: Memento Labs ถูกระบุว่าเป็นผู้พัฒนาสปายแวร์เชิงพาณิชย์ตัวใหม่ชื่อ Dante ซึ่งมีรหัสและกลไกการทำงานบางส่วนคล้ายคลึงกับชุดเครื่องมือที่ใช้ในการโจมตี ForumTroll แม้ว่าในการโจมตีครั้งนี้จะใช้สปายแวร์อีกตัวชื่อ LeetAgent ก็ตาม การเชื่อมโยงนี้ตอกย้ำว่าอุตสาหกรรมสปายแวร์เชิงพาณิชย์ยังคงเป็นภัยคุกคามหลัก
การหลุดออกจาก Sandbox: ช่องโหว่ CVE-2025-2783 เป็นประเภท Sandbox Escape ซึ่งเป็นจุดบกพร่องทางตรรกะที่ซับซ้อนในระบบการสื่อสารระหว่างกระบวนการ (IPC) ของ Chrome ทำให้ผู้โจมตีสามารถข้ามการป้องกันของเบราว์เซอร์และสั่งรันโค้ดอันตรายในระดับระบบปฏิบัติการได้
เป้าหมายคือการจารกรรมข้อมูล: เมื่อติดตั้งสำเร็จ สปายแวร์จะสามารถ บันทึกการกดแป้นพิมพ์ (Keylogging), ขโมยไฟล์ข้อมูลสำคัญ เช่น .docx, .pdf, .xlsx และสามารถรับคำสั่งเพิ่มเติมจากเซิร์ฟเวอร์ควบคุม (C2) ซึ่งบ่งชี้อย่างชัดเจนว่าวัตถุประสงค์หลักคือการจารกรรมข้อมูล (Espionage)

มาตรการรับมือ: ป้องกันตนเองจากภัยคุกคามที่ซับซ้อน

การโจมตี Zero-Day ที่มีการใช้เครื่องมือสปายแวร์เชิงพาณิชย์สะท้อนให้เห็นถึงแนวโน้มที่ภัยคุกคามมีความซับซ้อนและเข้าถึงได้ง่ายขึ้นสำหรับกลุ่มผู้โจมตีที่มีทรัพยากรสูง

สิ่งที่คุณต้องทำทันทีเพื่อความปลอดภัย

Google ได้ออกแพตช์สำหรับช่องโหว่ CVE-2025-2783 ใน Chrome เวอร์ชัน 134.0.6998.177 แล้ว ดังนั้นมาตรการป้องกันที่สำคัญที่สุดคือ:

อัปเดตเบราว์เซอร์ทันที: ให้ผู้ใช้งานทุกคนและองค์กรต่าง ๆ ตรวจสอบและอัปเดต Google Chrome และเบราว์เซอร์อื่น ๆ ที่ใช้โค้ดฐาน Chromium ให้อยู่ในเวอร์ชันล่าสุดทันที เพื่อปิดช่องโหว่
เพิ่มความระมัดระวังในอีเมล: เนื่องจากรูปแบบการโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งส่วนตัวที่แนบลิงก์ที่ออกแบบมาเป็นพิเศษ ผู้ใช้จึงควรตั้งข้อสงสัยกับอีเมลที่ไม่คาดคิด แม้ว่าจะดูน่าเชื่อถือก็ตาม
ใช้การป้องกันหลายชั้น: องค์กรควรใช้กลยุทธ์การป้องกันแบบหลายชั้น (Layered Defense) เช่น การควบคุมการเข้าถึงที่เข้มงวด (Least Privilege), การบล็อกการเข้าถึงเว็บสำหรับบัญชีผู้ดูแลระบบ, และการใช้งานโซลูชันตรวจจับและตอบสนองต่อภัยคุกคาม (EDR) เพื่อจำกัดความเสียหายหากการโจมตีสามารถทะลุการป้องกันแรกได้

ภัยคุกคาม Zero-Day จะยังคงเกิดขึ้นต่อไป และการอัปเดตอย่างทันท่วงทีถือเป็นปราการด่านแรกที่ไม่อาจละเลยได้ในการต่อสู้กับการจารกรรมทางไซเบอร์ที่ซับซ้อนเช่นนี้

อ้างอิงจาก : https://www.darkreading.com/vulnerabilities-threats/memento-spyware-chrome-zero-day-attacks