Warlock Ransomware: จู่โจมองค์กรสหรัฐฯ ผ่านช่องโหว่ SharePoint โดยกลุ่มแฮกเกอร์จีน CamoFei
ภัยคุกคามไซเบอร์ครั้งใหม่กำลังเขย่าโลกธุรกิจสหรัฐฯ เมื่อ Warlock ransomware ปรากฏตัวในเดือนมิถุนายน 2025 และถูกใช้ในการโจมตีองค์กรต่างๆ โดยอาศัยช่องโหว่ ToolShell zero-day ใน Microsoft SharePoint (CVE-2025-53770) ซึ่งสามารถเจาะระบบได้โดยไม่ต้องยืนยันตัวตน
สิ่งที่ทำให้ Warlock แตกต่างจาก ransomware ทั่วไปคือความเชื่อมโยงกับกลุ่มแฮกเกอร์จีนสายข่าวกรอง เช่น CamoFei (หรือ ChamelGang) และ Storm-2603 ซึ่งเคยใช้เครื่องมือจารกรรมอย่าง Cobalt Strike และเทคนิค DLL sideloading ในการแทรกซึมระบบมาก่อน
Warlock ถูกพบว่ามีลักษณะคล้ายกับ Anylock ransomware โดยใช้ extension .x2anylock และมีโครงสร้าง payload ที่ใกล้เคียงกัน บ่งชี้ว่าอาจเป็นการรีแบรนด์หรือพัฒนาต่อยอดจาก LockBit 3.0
หนึ่งในเทคนิคที่น่ากังวลที่สุดคือการใช้ BYOVD (Bring Your Own Vulnerable Driver) โดยแฮกเกอร์นำ driver จาก Baidu Antivirus ปี 2016 ที่มีช่องโหว่มาใช้ร่วมกับ certificate ปลอมจากนักพัฒนาชื่อ “coolschool” เพื่อปิดการทำงานของโปรแกรมป้องกันไวรัสในระบบเป้าหมาย
การโจมตีครั้งนี้ไม่ใช่แค่การเรียกค่าไถ่ แต่ยังสะท้อนถึงการบูรณาการระหว่างกลุ่มแฮกเกอร์สายข่าวกรองกับกลุ่มอาชญากรรมไซเบอร์ ซึ่งอาจเป็นยุทธศาสตร์ใหม่ของการโจมตีระดับประเทศ
ลักษณะของ Warlock ransomware
ปรากฏตัวครั้งแรกในเดือนมิถุนายน 2025
ใช้ช่องโหว่ CVE-2025-53770 ใน SharePoint
เชื่อมโยงกับกลุ่มแฮกเกอร์จีน เช่น CamoFei และ Storm-2603
เทคนิคการโจมตี
ใช้ BYOVD ด้วย driver จาก Baidu Antivirus ปี 2016
ใช้ certificate ปลอมจากนักพัฒนาชื่อ “coolschool”
ใช้ DLL sideloading และ toolkit “Project AK47”
ความสัมพันธ์กับ ransomware อื่น
มีลักษณะคล้าย Anylock และ LockBit 3.0
ใช้ extension .x2anylock ในการเข้ารหัสไฟล์
อาจเป็นการรีแบรนด์หรือพัฒนาต่อยอดจาก ransomware เดิม
กลุ่มเป้าหมาย
องค์กรในสหรัฐฯ และหน่วยงานรัฐบาล
ใช้ช่องโหว่ zero-day เพื่อเข้าถึงระบบโดยไม่ต้องยืนยันตัวตน
มีการโจมตีแบบผสมระหว่างจารกรรมและเรียกค่าไถ่
https://securityonline.info/warlock-ransomware-hits-us-firms-exploiting-sharepoint-zero-day-linked-to-chinas-camofei-apt/
ภัยคุกคามไซเบอร์ครั้งใหม่กำลังเขย่าโลกธุรกิจสหรัฐฯ เมื่อ Warlock ransomware ปรากฏตัวในเดือนมิถุนายน 2025 และถูกใช้ในการโจมตีองค์กรต่างๆ โดยอาศัยช่องโหว่ ToolShell zero-day ใน Microsoft SharePoint (CVE-2025-53770) ซึ่งสามารถเจาะระบบได้โดยไม่ต้องยืนยันตัวตน
สิ่งที่ทำให้ Warlock แตกต่างจาก ransomware ทั่วไปคือความเชื่อมโยงกับกลุ่มแฮกเกอร์จีนสายข่าวกรอง เช่น CamoFei (หรือ ChamelGang) และ Storm-2603 ซึ่งเคยใช้เครื่องมือจารกรรมอย่าง Cobalt Strike และเทคนิค DLL sideloading ในการแทรกซึมระบบมาก่อน
Warlock ถูกพบว่ามีลักษณะคล้ายกับ Anylock ransomware โดยใช้ extension .x2anylock และมีโครงสร้าง payload ที่ใกล้เคียงกัน บ่งชี้ว่าอาจเป็นการรีแบรนด์หรือพัฒนาต่อยอดจาก LockBit 3.0
หนึ่งในเทคนิคที่น่ากังวลที่สุดคือการใช้ BYOVD (Bring Your Own Vulnerable Driver) โดยแฮกเกอร์นำ driver จาก Baidu Antivirus ปี 2016 ที่มีช่องโหว่มาใช้ร่วมกับ certificate ปลอมจากนักพัฒนาชื่อ “coolschool” เพื่อปิดการทำงานของโปรแกรมป้องกันไวรัสในระบบเป้าหมาย
การโจมตีครั้งนี้ไม่ใช่แค่การเรียกค่าไถ่ แต่ยังสะท้อนถึงการบูรณาการระหว่างกลุ่มแฮกเกอร์สายข่าวกรองกับกลุ่มอาชญากรรมไซเบอร์ ซึ่งอาจเป็นยุทธศาสตร์ใหม่ของการโจมตีระดับประเทศ
ลักษณะของ Warlock ransomware
ปรากฏตัวครั้งแรกในเดือนมิถุนายน 2025
ใช้ช่องโหว่ CVE-2025-53770 ใน SharePoint
เชื่อมโยงกับกลุ่มแฮกเกอร์จีน เช่น CamoFei และ Storm-2603
เทคนิคการโจมตี
ใช้ BYOVD ด้วย driver จาก Baidu Antivirus ปี 2016
ใช้ certificate ปลอมจากนักพัฒนาชื่อ “coolschool”
ใช้ DLL sideloading และ toolkit “Project AK47”
ความสัมพันธ์กับ ransomware อื่น
มีลักษณะคล้าย Anylock และ LockBit 3.0
ใช้ extension .x2anylock ในการเข้ารหัสไฟล์
อาจเป็นการรีแบรนด์หรือพัฒนาต่อยอดจาก ransomware เดิม
กลุ่มเป้าหมาย
องค์กรในสหรัฐฯ และหน่วยงานรัฐบาล
ใช้ช่องโหว่ zero-day เพื่อเข้าถึงระบบโดยไม่ต้องยืนยันตัวตน
มีการโจมตีแบบผสมระหว่างจารกรรมและเรียกค่าไถ่
https://securityonline.info/warlock-ransomware-hits-us-firms-exploiting-sharepoint-zero-day-linked-to-chinas-camofei-apt/
🧨 Warlock Ransomware: จู่โจมองค์กรสหรัฐฯ ผ่านช่องโหว่ SharePoint โดยกลุ่มแฮกเกอร์จีน CamoFei
ภัยคุกคามไซเบอร์ครั้งใหม่กำลังเขย่าโลกธุรกิจสหรัฐฯ เมื่อ Warlock ransomware ปรากฏตัวในเดือนมิถุนายน 2025 และถูกใช้ในการโจมตีองค์กรต่างๆ โดยอาศัยช่องโหว่ ToolShell zero-day ใน Microsoft SharePoint (CVE-2025-53770) ซึ่งสามารถเจาะระบบได้โดยไม่ต้องยืนยันตัวตน
สิ่งที่ทำให้ Warlock แตกต่างจาก ransomware ทั่วไปคือความเชื่อมโยงกับกลุ่มแฮกเกอร์จีนสายข่าวกรอง เช่น CamoFei (หรือ ChamelGang) และ Storm-2603 ซึ่งเคยใช้เครื่องมือจารกรรมอย่าง Cobalt Strike และเทคนิค DLL sideloading ในการแทรกซึมระบบมาก่อน
Warlock ถูกพบว่ามีลักษณะคล้ายกับ Anylock ransomware โดยใช้ extension .x2anylock และมีโครงสร้าง payload ที่ใกล้เคียงกัน บ่งชี้ว่าอาจเป็นการรีแบรนด์หรือพัฒนาต่อยอดจาก LockBit 3.0
หนึ่งในเทคนิคที่น่ากังวลที่สุดคือการใช้ BYOVD (Bring Your Own Vulnerable Driver) โดยแฮกเกอร์นำ driver จาก Baidu Antivirus ปี 2016 ที่มีช่องโหว่มาใช้ร่วมกับ certificate ปลอมจากนักพัฒนาชื่อ “coolschool” เพื่อปิดการทำงานของโปรแกรมป้องกันไวรัสในระบบเป้าหมาย
การโจมตีครั้งนี้ไม่ใช่แค่การเรียกค่าไถ่ แต่ยังสะท้อนถึงการบูรณาการระหว่างกลุ่มแฮกเกอร์สายข่าวกรองกับกลุ่มอาชญากรรมไซเบอร์ ซึ่งอาจเป็นยุทธศาสตร์ใหม่ของการโจมตีระดับประเทศ
✅ ลักษณะของ Warlock ransomware
➡️ ปรากฏตัวครั้งแรกในเดือนมิถุนายน 2025
➡️ ใช้ช่องโหว่ CVE-2025-53770 ใน SharePoint
➡️ เชื่อมโยงกับกลุ่มแฮกเกอร์จีน เช่น CamoFei และ Storm-2603
✅ เทคนิคการโจมตี
➡️ ใช้ BYOVD ด้วย driver จาก Baidu Antivirus ปี 2016
➡️ ใช้ certificate ปลอมจากนักพัฒนาชื่อ “coolschool”
➡️ ใช้ DLL sideloading และ toolkit “Project AK47”
✅ ความสัมพันธ์กับ ransomware อื่น
➡️ มีลักษณะคล้าย Anylock และ LockBit 3.0
➡️ ใช้ extension .x2anylock ในการเข้ารหัสไฟล์
➡️ อาจเป็นการรีแบรนด์หรือพัฒนาต่อยอดจาก ransomware เดิม
✅ กลุ่มเป้าหมาย
➡️ องค์กรในสหรัฐฯ และหน่วยงานรัฐบาล
➡️ ใช้ช่องโหว่ zero-day เพื่อเข้าถึงระบบโดยไม่ต้องยืนยันตัวตน
➡️ มีการโจมตีแบบผสมระหว่างจารกรรมและเรียกค่าไถ่
https://securityonline.info/warlock-ransomware-hits-us-firms-exploiting-sharepoint-zero-day-linked-to-chinas-camofei-apt/
0 ความคิดเห็น
0 การแบ่งปัน
38 มุมมอง
0 รีวิว
English