Microsoft เปิดเผยรายละเอียดของมัลแวร์อันตรายชื่อ GigaWiper ซึ่งถูกออกแบบมาเพื่อโจมตีคอมพิวเตอร์ Windows โดยเฉพาะ จุดเด่นของมัลแวร์ตัวนี้คือการรวมเครื่องมือทำลายข้อมูลรุ่นเก่าหลายรูปแบบไว้ภายในแพลตฟอร์มเดียว ทำให้ผู้โจมตีสามารถเลือกคำสั่งได้ว่าจะล้างข้อมูลทั้งดิสก์ ทำลายไดรฟ์ระบบ หรือเข้ารหัสไฟล์ในลักษณะคล้ายแรนซัมแวร์
GigaWiper ไม่ได้เป็นช่องโหว่ของ Windows ที่สามารถแก้ไขได้ด้วยการติดตั้งแพตช์ แต่เป็นมัลแวร์ที่ผู้โจมตีจะนำมาใช้งานหลังจากเจาะเข้าระบบสำเร็จแล้ว ดังนั้น การตรวจจับความผิดปกติตั้งแต่ระยะแรก การจำกัดสิทธิ์ผู้ใช้งาน และการสำรองข้อมูลแบบออฟไลน์จึงเป็นมาตรการสำคัญในการลดความเสียหาย
GigaWiper และ BLUERABBIT อาจเป็นมัลแวร์ตัวเดียวกัน
Microsoft ระบุค่าแฮชของไฟล์ GigaWiper จำนวน 4 รายการ ซึ่งตรงกับค่าแฮชที่บริษัท Binary Defense เปิดเผยในรายงานเกี่ยวกับมัลแวร์ชื่อ BLUERABBIT นอกจากนี้ ทั้งสองรายงานยังพบว่าเซิร์ฟเวอร์ควบคุมและสั่งการของมัลแวร์มีความตรงกัน
Binary Defense อ้างอิงข้อมูลจาก Google Threat Intelligence Group และเชื่อมโยงมัลแวร์ดังกล่าวกับกลุ่มผู้โจมตีที่มีความเกี่ยวข้องกับอิหร่าน โดยมีเป้าหมายหลักเป็นองค์กรในอิสราเอล ขณะที่ Microsoft ไม่ได้ระบุชื่อประเทศหรือกลุ่มผู้โจมตีอย่างชัดเจน
GigaWiper มีคำสั่งทำลายข้อมูล 3 รูปแบบ
GigaWiper พัฒนาด้วยภาษา Go หรือ Golang และทำงานบนระบบปฏิบัติการ Windows ผู้โจมตีสามารถส่งคำสั่งในรูปแบบตัวเลขเพื่อเลือกวิธีการทำลายเครื่องได้หลายแบบ
1. ล้างข้อมูลทั้งฮาร์ดดิสก์
คำสั่งแรกจะเขียนทับข้อมูลบนไดรฟ์จริงโดยตรง พร้อมลบตารางพาร์ทิชันซึ่งทำหน้าที่กำหนดโครงสร้างของดิสก์ หลังจากนั้นระบบจะรีสตาร์ต
วิธีนี้แตกต่างจากการลบไฟล์ทั่วไป เพราะมัลแวร์จะทำลายข้อมูลในระดับดิสก์ ทำให้ระบบปฏิบัติการไม่สามารถอ่านโครงสร้างของไดรฟ์ได้ และยากต่อการกู้คืนด้วยเครื่องมือทั่วไป
2. แรนซัมแวร์ปลอมที่ไม่สามารถถอดรหัสได้
GigaWiper มีคำสั่งเข้ารหัสไฟล์ที่พัฒนาต่อยอดจากโค้ดมัลแวร์ชื่อ Crucio โดยไฟล์ที่ถูกเข้ารหัสจะถูกเพิ่มนามสกุล .candy และมีการเปลี่ยนภาพพื้นหลังของเครื่องให้แสดงข้อความเตือน
อย่างไรก็ตาม มัลแวร์ไม่มีการสร้างบันทึกเรียกค่าไถ่ และไม่มีการจัดเก็บกุญแจสำหรับถอดรหัสไฟล์ ทำให้เหยื่อไม่สามารถจ่ายเงินเพื่อขอคืนข้อมูลได้
พฤติกรรมนี้แสดงให้เห็นว่าเป้าหมายหลักไม่ได้อยู่ที่การเรียกค่าไถ่ แต่เป็นการทำลายข้อมูลโดยใช้รูปแบบของแรนซัมแวร์เพื่อสร้างความสับสน
3. เขียนทับไดรฟ์ Windows หลายรอบ
คำสั่งอีกประเภทจะมุ่งโจมตีไดรฟ์ที่ติดตั้ง Windows โดยเขียนทับข้อมูลหลายรอบด้วยรูปแบบข้อมูลที่แตกต่างกัน
Microsoft ระบุว่าส่วนนี้เป็นการเขียนเครื่องมือ FlockWiper ขึ้นใหม่ด้วยภาษา Go โดยมีเป้าหมายเพื่อทำให้ระบบปฏิบัติการเสียหายจนไม่สามารถบูตหรือใช้งานได้ตามปกติ
GigaWiper ไม่ได้มีหน้าที่ทำลายข้อมูลเพียงอย่างเดียว
นอกจากความสามารถด้านการล้างข้อมูลแล้ว GigaWiper ยังทำหน้าที่เป็น Backdoor สำหรับสอดแนมและควบคุมคอมพิวเตอร์จากระยะไกลได้ด้วย
ความสามารถที่ Microsoft ตรวจพบประกอบด้วย
- จับภาพหน้าจอจากจอภาพทุกจอ
- บันทึกวิดีโอหน้าจอระหว่างที่ผู้ใช้งานกำลังทำงาน
- เปิดการเชื่อมต่อ VNC แบบซ่อนตัว
- ควบคุมเมาส์และคีย์บอร์ดจากระยะไกล
- รวบรวมรายละเอียดของระบบ
- จัดการโปรเซสและบริการของ Windows
- แก้ไขค่าใน Windows Registry
- ลบ Windows Event Logs เพื่อปกปิดร่องรอย
Microsoft ยังพบคำสั่งบางส่วนที่ยังไม่ได้เปิดใช้งานภายในตัวอย่างมัลแวร์ เช่น โมดูลบันทึกการกดแป้นพิมพ์และคำสั่งล้างข้อมูลเพิ่มเติม ซึ่งสะท้อนว่าเครื่องมือนี้ยังสามารถถูกพัฒนาความสามารถเพิ่มในอนาคต
ปลอมตัวเป็นกระบวนการอัปเดต OneDrive
เพื่อให้ทำงานอยู่ในระบบได้นาน GigaWiper จะพยายามปลอมตัวเป็นส่วนประกอบของ Microsoft OneDrive
มัลแวร์จะสร้าง Scheduled Task ชื่อ OneDrive Update และตั้งค่าให้ทำงานทุกหนึ่งนาที พร้อมบันทึกข้อมูลการทำงานไว้ใน Registry ภายใต้ตำแหน่งดังนี้
HKCU\SOFTWARE\OneDrive\Environment
เมื่อเปิดช่องทางควบคุมเครื่องจากระยะไกล มัลแวร์ยังสร้างกฎใน Windows Firewall โดยใช้ชื่อ Microsoft.Windows.CloudExperienceHost ซึ่งคล้ายกับชื่อส่วนประกอบจริงของ Windows เพื่อหลีกเลี่ยงการตรวจสอบจากผู้ดูแลระบบ
ใช้บริการธุรกิจจริงเพื่อซ่อนการสื่อสาร
GigaWiper ไม่ได้พึ่งพาการเชื่อมต่อผ่านเว็บทั่วไปเพียงอย่างเดียว แต่เลือกใช้บริการที่องค์กรจำนวนมากใช้งานอยู่แล้วสำหรับการรับส่งคำสั่งและข้อมูล
บริการที่ตรวจพบประกอบด้วย
- RabbitMQ สำหรับส่งคำสั่งไปยังเครื่องที่ติดเชื้อ
- Redis สำหรับส่งผลลัพธ์กลับไปยังผู้ควบคุม
- MinIO สำหรับส่งข้อมูลที่ขโมยออกจากระบบ
การใช้บริการเหล่านี้ช่วยให้การรับส่งข้อมูลของมัลแวร์ดูคล้ายทราฟฟิกของระบบธุรกิจทั่วไป โดยเฉพาะในองค์กรที่มีการใช้งาน RabbitMQ, Redis หรือ MinIO อยู่แล้ว
จุดเชื่อมโยงกับ Crucio และ FlockWiper
Microsoft ตรวจสอบโค้ดภายใน GigaWiper และพบว่าส่วนแรนซัมแวร์ปลอมมีพื้นฐานมาจาก Crucio ขณะที่ส่วนล้างข้อมูลหลายรอบเชื่อมโยงกับ FlockWiper
Microsoft ประเมินว่าเครื่องมือทั้งสามส่วนอาจถูกพัฒนาโดยผู้สร้างรายเดียวกัน แม้รายงานจะไม่ได้ระบุชื่อประเทศหรือผู้โจมตีอย่างเป็นทางการ
Crucio เคยปรากฏในคำแนะนำด้านความปลอดภัยของ CISA เมื่อเดือนธันวาคม 2023 ซึ่งกล่าวถึงกลุ่ม CyberAv3ngers ที่มีความเชื่อมโยงกับกองกำลังพิทักษ์การปฏิวัติอิสลามของอิหร่าน
กลุ่มดังกล่าวเคยโจมตีระบบน้ำและพลังงานในหลายประเทศ โดยมุ่งเป้าไปยังอุปกรณ์ควบคุมอุตสาหกรรมที่เปิดเชื่อมต่อกับอินเทอร์เน็ต
Microsoft ยังพบข้อความ GRAT ปรากฏซ้ำในเส้นทาง Debug ของ FlockWiper และชื่อฟังก์ชันภายใน GigaWiper ซึ่งช่วยสนับสนุนความเชื่อมโยงระหว่างเครื่องมือทั้งสอง
GigaWiper เป็นส่วนหนึ่งของการโจมตีด้วยมัลแวร์ล้างข้อมูล
รายงานจากหลายหน่วยงานพบกิจกรรมโจมตีด้วยมัลแวร์ล้างข้อมูลที่มุ่งเป้าไปยังองค์กรในอิสราเอลอย่างต่อเนื่องในช่วงปี 2025 ถึง 2026
Palo Alto Networks Unit 42 เคยติดตามกิจกรรมลักษณะใกล้เคียงกันจากกลุ่ม Handala Hack ขณะที่สำนักงานไซเบอร์แห่งชาติของอิสราเอลเคยออกคำเตือนเกี่ยวกับการโจมตีด้วยมัลแวร์ล้างข้อมูลในเดือนมีนาคม 2026
แนวทางการปลอมตัวเป็นแรนซัมแวร์ไม่ใช่เทคนิคใหม่ โดย NotPetya ซึ่งระบาดในปี 2017 ก็มีลักษณะคล้ายกัน คือแสดงพฤติกรรมเหมือนแรนซัมแวร์ แต่มีเป้าหมายหลักเพื่อทำลายข้อมูลและทำให้ระบบไม่สามารถใช้งานได้
สัญญาณที่อาจใช้ตรวจจับ GigaWiper
ผู้ดูแลระบบและทีมรักษาความปลอดภัยสามารถตรวจสอบความผิดปกติที่เกี่ยวข้องกับ GigaWiper ได้จากหลายสัญญาณ
- มี Scheduled Task ชื่อ OneDrive Update และทำงานทุกหนึ่งนาที
- พบทราฟฟิก RabbitMQ หรือ Redis จากคอมพิวเตอร์ผู้ใช้งานทั่วไป
- มีการเรียกใช้คำสั่ง takeown หรือ icacls กับไฟล์ระบบ Windows
- มีความพยายามแก้ไขไฟล์สำคัญ เช่น bootmgr หรือ ntoskrnl.exe
- พบการสร้างกฎ Firewall ชื่อ Microsoft.Windows.CloudExperienceHost
- มีการลบ Windows Event Logs โดยไม่มีเหตุผลด้านการบำรุงรักษา
- พบการเชื่อมต่อไปยังเซิร์ฟเวอร์ควบคุมที่ Microsoft เปิดเผย
แนวทางป้องกัน GigaWiper
Microsoft แนะนำให้องค์กรเปิดใช้งานมาตรการรักษาความปลอดภัยหลายระดับ เพื่อลดโอกาสที่ผู้โจมตีจะติดตั้งหรือสั่งงานมัลแวร์ได้สำเร็จ
แนวทางสำคัญประกอบด้วย
- เปิดใช้งาน Tamper Protection เพื่อป้องกันการปิดระบบแอนติไวรัส
- ใช้ Endpoint Detection and Response ในโหมดบล็อก
- เปิด Cloud-delivered Protection
- เปิดระบบตรวจสอบและแก้ไขภัยคุกคามอัตโนมัติ
- จำกัดสิทธิ์ของบัญชีผู้ใช้งานและบัญชีผู้ดูแลระบบ
- ตรวจสอบ Scheduled Task ที่ถูกสร้างขึ้นใหม่
- ควบคุมการใช้งาน RabbitMQ, Redis และ MinIO จากเครื่องปลายทาง
- แยกเครือข่ายระหว่างเครื่องผู้ใช้งานและระบบเซิร์ฟเวอร์
- จัดเก็บข้อมูลสำรองแบบออฟไลน์หรือแบบแก้ไขย้อนหลังไม่ได้
- ทดสอบกระบวนการกู้คืนข้อมูลเป็นประจำ
Microsoft ยังแนะนำให้บล็อกหมายเลขไอพีของเซิร์ฟเวอร์ควบคุมที่ตรวจพบ ได้แก่
- 185.182.193[.]21
- 212.8.248[.]104
ก่อนนำข้อมูลดังกล่าวไปใช้งานในระบบ ควรตรวจสอบรายงานฉบับล่าสุดจากผู้ให้บริการด้านความปลอดภัย เพื่อป้องกันผลกระทบจากข้อมูลที่เปลี่ยนแปลงหรือการบล็อกปลายทางที่ไม่เกี่ยวข้อง
การสำรองข้อมูลแบบออฟไลน์ยังเป็นแนวป้องกันที่สำคัญ
เนื่องจาก GigaWiper สามารถทำลายข้อมูลในระดับดิสก์และเข้ารหัสไฟล์โดยไม่เก็บกุญแจถอดรหัส การกู้คืนข้อมูลจากเครื่องที่ถูกโจมตีจึงทำได้ยากมาก
องค์กรควรมีข้อมูลสำรองที่แยกออกจากระบบเครือข่ายหลัก เพราะหากข้อมูลสำรองสามารถเข้าถึงได้จากเครื่องที่ติดเชื้อ ผู้โจมตีอาจลบหรือทำลายข้อมูลสำรองไปพร้อมกับระบบจริงได้
ข้อมูลสำรองที่เหมาะสมควรมีคุณสมบัติดังนี้
- จัดเก็บอย่างน้อยหนึ่งชุดนอกเครือข่ายหลัก
- จำกัดสิทธิ์การเข้าถึงข้อมูลสำรอง
- รองรับการป้องกันการแก้ไขหรือลบข้อมูล
- มีการเก็บข้อมูลย้อนหลังหลายช่วงเวลา
- ผ่านการทดสอบกู้คืนข้อมูลจริงอย่างสม่ำเสมอ
สรุป
GigaWiper เป็นมัลแวร์บน Windows ที่รวมความสามารถด้านการสอดแนม การควบคุมเครื่องจากระยะไกล และการทำลายข้อมูลไว้ในเครื่องมือเดียว ผู้โจมตีสามารถเลือกได้ว่าจะเฝ้าดู ขโมยข้อมูล หรือทำลายระบบหลังจากสามารถเข้าถึงเครือข่ายของเป้าหมายแล้ว
ความอันตรายของ GigaWiper อยู่ที่ความสามารถในการเปลี่ยนบทบาทตามคำสั่งของผู้ควบคุม ทำให้ทีมรักษาความปลอดภัยไม่สามารถประเมินเป้าหมายของการโจมตีได้จากพฤติกรรมเพียงรูปแบบเดียว
องค์กรจึงควรให้ความสำคัญกับการตรวจจับการบุกรุกตั้งแต่ต้นทาง การควบคุมสิทธิ์ การเฝ้าระวังความผิดปกติบนเครื่องปลายทาง และการสำรองข้อมูลแบบออฟไลน์ เพื่อให้สามารถฟื้นฟูระบบได้เมื่อเกิดเหตุโจมตีด้วยมัลแวร์ทำลายข้อมูล
ที่มา thehackernews


















Leave a Reply