ลุงบ้าคอม ได้ทำการแชร์ลิงก์
2025-09-26 05:12:37 -
“BRICKSTORM: ช่องโหว่เงียบจากจีนที่แฝงตัวในระบบสหรัฐฯ นานกว่า 1 ปี — เมื่อขอบระบบกลายเป็นประตูหลังของการจารกรรมไซเบอร์”

ในรายงานล่าสุดจาก Mandiant และ Google Threat Intelligence Group ได้เปิดเผยการโจมตีไซเบอร์ที่ซับซ้อนและยาวนานโดยกลุ่มแฮกเกอร์จีน UNC5221 ซึ่งสามารถแฝงตัวอยู่ในระบบของบริษัทเทคโนโลยี, กฎหมาย, SaaS และ BPO ในสหรัฐฯ ได้ถึง 393 วันโดยไม่ถูกตรวจจับ

กลุ่มนี้ใช้มัลแวร์ชื่อว่า “BRICKSTORM” ซึ่งเป็น backdoor ที่เขียนด้วยภาษา Go สำหรับระบบ Linux และ BSD โดยถูกฝังไว้ในอุปกรณ์ edge เช่น firewall, VPN gateway และ network appliance ที่มักไม่มีระบบตรวจจับภัยคุกคามแบบ endpoint หรือ SIEM ทำให้การตรวจจับแทบเป็นไปไม่ได้หากไม่มีการ threat hunting เชิงรุก

จากจุดเริ่มต้นที่อุปกรณ์ edge แฮกเกอร์สามารถเคลื่อนตัวไปยังระบบภายใน เช่น VMware vCenter, ESXi, Windows Server และแม้แต่ Microsoft 365 โดยใช้เทคนิคหลากหลาย เช่น การขโมย credentials, การฝัง Java Servlet filter (BRICKSTEAL) เพื่อดัก username/password และการติดตั้ง web shell (SLAYSTYLE) เพื่อควบคุมระบบผ่าน HTTP

เป้าหมายของการโจมตีไม่ใช่แค่การขโมยข้อมูล แต่รวมถึงการวิเคราะห์ source code เพื่อพัฒนา zero-day exploit และการเข้าถึงระบบ downstream ของลูกค้าบริษัทเป้าหมาย เช่น SaaS ที่มีข้อมูลผู้ใช้จำนวนมาก

ที่น่ากังวลคือ BRICKSTORM ยังสามารถทำงานเป็น SOCKS proxy เพื่อเปิดช่องให้แฮกเกอร์เข้าถึงระบบภายในโดยตรง และใช้ Microsoft Entra ID เพื่อเข้าถึง mailbox ของผู้ดูแลระบบหรือผู้พัฒนาซอฟต์แวร์ ซึ่งมักมีข้อมูลสำคัญระดับองค์กร

แม้จะมีการออก scanner script เพื่อค้นหา BRICKSTORM แล้ว แต่การตรวจสอบย้อนหลังยังเป็นเรื่องยาก เพราะ log ของอุปกรณ์ edge มักถูกลบหรือไม่มีการเก็บไว้แบบ centralized ทำให้ไม่สามารถระบุได้ว่าการเจาะระบบเริ่มต้นจากจุดใด

ข้อมูลสำคัญจากข่าว
กลุ่ม UNC5221 จากจีนใช้มัลแวร์ BRICKSTORM เจาะระบบบริษัทสหรัฐฯ นานกว่า 393 วัน
ฝังตัวในอุปกรณ์ edge เช่น firewall และ VPN gateway ที่ไม่มีระบบตรวจจับภัยคุกคาม
เคลื่อนตัวไปยังระบบภายใน เช่น VMware vCenter, ESXi, Windows Server และ Microsoft 365
ใช้ Java Servlet filter (BRICKSTEAL) เพื่อดัก username/password
ใช้ web shell (SLAYSTYLE) เพื่อควบคุมระบบผ่าน HTTP
ใช้ Microsoft Entra ID เพื่อเข้าถึง mailbox ของผู้ดูแลระบบ
BRICKSTORM ทำงานเป็น SOCKS proxy เพื่อเปิดช่องเข้าระบบภายใน
เป้าหมายรวมถึงการขโมยข้อมูล, วิเคราะห์ source code และพัฒนา zero-day exploit
Mandiant ออก scanner script เพื่อค้นหา BRICKSTORM บนอุปกรณ์ edge

ข้อมูลเสริมจากภายนอก
BRICKSTORM ถูกพบครั้งแรกในยุโรปตั้งแต่ปี 2022 และกลับมาโจมตีในสหรัฐฯ ปี 2025
มัลแวร์นี้ใช้ nested TLS และ reverse proxy ผ่าน Cloudflare/Heroku เพื่อหลบการตรวจจับ
UNC5221 มีความเชื่อมโยงกับ Silk Typhoon แต่ Google เชื่อว่าเป็นกลุ่มแยกต่างหาก
การโจมตีเน้นเป้าหมายที่มีข้อมูลเชิงเศรษฐกิจและความมั่นคง เช่น กฎหมายและเทคโนโลยี
การใช้ edge device เป็นจุดเริ่มต้นทำให้การตรวจจับยากและการป้องกันต้องเปลี่ยนแนวคิด

https://www.csoonline.com/article/4062723/chinese-spies-had-year-long-access-to-us-tech-and-legal-firms.html
🕵️ “BRICKSTORM: ช่องโหว่เงียบจากจีนที่แฝงตัวในระบบสหรัฐฯ นานกว่า 1 ปี — เมื่อขอบระบบกลายเป็นประตูหลังของการจารกรรมไซเบอร์” ในรายงานล่าสุดจาก Mandiant และ Google Threat Intelligence Group ได้เปิดเผยการโจมตีไซเบอร์ที่ซับซ้อนและยาวนานโดยกลุ่มแฮกเกอร์จีน UNC5221 ซึ่งสามารถแฝงตัวอยู่ในระบบของบริษัทเทคโนโลยี, กฎหมาย, SaaS และ BPO ในสหรัฐฯ ได้ถึง 393 วันโดยไม่ถูกตรวจจับ กลุ่มนี้ใช้มัลแวร์ชื่อว่า “BRICKSTORM” ซึ่งเป็น backdoor ที่เขียนด้วยภาษา Go สำหรับระบบ Linux และ BSD โดยถูกฝังไว้ในอุปกรณ์ edge เช่น firewall, VPN gateway และ network appliance ที่มักไม่มีระบบตรวจจับภัยคุกคามแบบ endpoint หรือ SIEM ทำให้การตรวจจับแทบเป็นไปไม่ได้หากไม่มีการ threat hunting เชิงรุก จากจุดเริ่มต้นที่อุปกรณ์ edge แฮกเกอร์สามารถเคลื่อนตัวไปยังระบบภายใน เช่น VMware vCenter, ESXi, Windows Server และแม้แต่ Microsoft 365 โดยใช้เทคนิคหลากหลาย เช่น การขโมย credentials, การฝัง Java Servlet filter (BRICKSTEAL) เพื่อดัก username/password และการติดตั้ง web shell (SLAYSTYLE) เพื่อควบคุมระบบผ่าน HTTP เป้าหมายของการโจมตีไม่ใช่แค่การขโมยข้อมูล แต่รวมถึงการวิเคราะห์ source code เพื่อพัฒนา zero-day exploit และการเข้าถึงระบบ downstream ของลูกค้าบริษัทเป้าหมาย เช่น SaaS ที่มีข้อมูลผู้ใช้จำนวนมาก ที่น่ากังวลคือ BRICKSTORM ยังสามารถทำงานเป็น SOCKS proxy เพื่อเปิดช่องให้แฮกเกอร์เข้าถึงระบบภายในโดยตรง และใช้ Microsoft Entra ID เพื่อเข้าถึง mailbox ของผู้ดูแลระบบหรือผู้พัฒนาซอฟต์แวร์ ซึ่งมักมีข้อมูลสำคัญระดับองค์กร แม้จะมีการออก scanner script เพื่อค้นหา BRICKSTORM แล้ว แต่การตรวจสอบย้อนหลังยังเป็นเรื่องยาก เพราะ log ของอุปกรณ์ edge มักถูกลบหรือไม่มีการเก็บไว้แบบ centralized ทำให้ไม่สามารถระบุได้ว่าการเจาะระบบเริ่มต้นจากจุดใด ✅ ข้อมูลสำคัญจากข่าว ➡️ กลุ่ม UNC5221 จากจีนใช้มัลแวร์ BRICKSTORM เจาะระบบบริษัทสหรัฐฯ นานกว่า 393 วัน ➡️ ฝังตัวในอุปกรณ์ edge เช่น firewall และ VPN gateway ที่ไม่มีระบบตรวจจับภัยคุกคาม ➡️ เคลื่อนตัวไปยังระบบภายใน เช่น VMware vCenter, ESXi, Windows Server และ Microsoft 365 ➡️ ใช้ Java Servlet filter (BRICKSTEAL) เพื่อดัก username/password ➡️ ใช้ web shell (SLAYSTYLE) เพื่อควบคุมระบบผ่าน HTTP ➡️ ใช้ Microsoft Entra ID เพื่อเข้าถึง mailbox ของผู้ดูแลระบบ ➡️ BRICKSTORM ทำงานเป็น SOCKS proxy เพื่อเปิดช่องเข้าระบบภายใน ➡️ เป้าหมายรวมถึงการขโมยข้อมูล, วิเคราะห์ source code และพัฒนา zero-day exploit ➡️ Mandiant ออก scanner script เพื่อค้นหา BRICKSTORM บนอุปกรณ์ edge ✅ ข้อมูลเสริมจากภายนอก ➡️ BRICKSTORM ถูกพบครั้งแรกในยุโรปตั้งแต่ปี 2022 และกลับมาโจมตีในสหรัฐฯ ปี 2025 ➡️ มัลแวร์นี้ใช้ nested TLS และ reverse proxy ผ่าน Cloudflare/Heroku เพื่อหลบการตรวจจับ ➡️ UNC5221 มีความเชื่อมโยงกับ Silk Typhoon แต่ Google เชื่อว่าเป็นกลุ่มแยกต่างหาก ➡️ การโจมตีเน้นเป้าหมายที่มีข้อมูลเชิงเศรษฐกิจและความมั่นคง เช่น กฎหมายและเทคโนโลยี ➡️ การใช้ edge device เป็นจุดเริ่มต้นทำให้การตรวจจับยากและการป้องกันต้องเปลี่ยนแนวคิด https://www.csoonline.com/article/4062723/chinese-spies-had-year-long-access-to-us-tech-and-legal-firms.html
WWW.CSOONLINE.COM
Chinese spies had year-long access to US tech and legal firms
Backdoor on edge devices allowed a starting point for threat actors to use lateral movement to access VMware vCenter and ESXi hosts, Windows workstations and servers and Microsoft 365 mailboxes.
0 ความคิดเห็น 0 การแบ่งปัน 18 มุมมอง 0 รีวิว
กรุณาเข้าสู่ระบบเพื่อกดถูกใจ แชร์ และแสดงความคิดเห็น!
© 2025 Thaitimes Thai
Thai English
เกี่ยวกับ เงื่อนไข ความเป็นส่วนตัว ติดต่อเรา รายการ