SiamByte

เว็บไซต์ข่าวมือถือ รีวิว เปรียบเทียบ ราคา และสเปคโทรศัพท์ อัปเดตมือถือใหม่ล่าสุด พร้อมข่าวเทคโนโลยี AI และ Gadget ครบในที่เดียว

Operation Endgame ทลายเครือข่ายมัลแวร์ Amadey และ StealC ยึดเซิร์ฟเวอร์ 326 เครื่อง

Operation Endgame ทลายเครือข่ายมัลแวร์ Amadey และ StealC พร้อมยึดเซิร์ฟเวอร์ 326 เครื่อง

หน่วยงานบังคับใช้กฎหมายจากหลายประเทศร่วมมือกับบริษัทด้านความปลอดภัยไซเบอร์ชั้นนำ เปิดปฏิบัติการครั้งใหญ่เพื่อทลายโครงสร้างพื้นฐานของมัลแวร์ Amadey และ StealC ซึ่งเป็นเครื่องมือสำคัญในระบบอาชญากรรมไซเบอร์แบบให้บริการ หรือ Malware-as-a-Service

ปฏิบัติการครั้งนี้เป็นส่วนหนึ่งของ Operation Endgame โดยมีเป้าหมายเพื่อทำลายต้นทางของห่วงโซ่การโจมตี ก่อนที่ผู้ไม่หวังดีจะนำมัลแวร์ไปใช้ขโมยข้อมูล หลอกลวงทางการเงิน แพร่กระจายแรนซัมแวร์ หรือโจมตีระบบโครงสร้างพื้นฐานสำคัญ

ผลจากการดำเนินงานทำให้เจ้าหน้าที่สามารถปิดเซิร์ฟเวอร์ได้ 326 เครื่อง ยึดหรือระงับโดเมนที่เกี่ยวข้อง 142 โดเมน กู้คืนข้อมูลบัญชีเข้าสู่ระบบที่ถูกขโมยประมาณ 27 ล้านรายการ และจำกัดการใช้งานสินทรัพย์ดิจิทัลที่เกี่ยวข้องกับอาชญากรรมมูลค่ามากกว่า 47 ล้านดอลลาร์สหรัฐ

Operation Endgame ทลายโครงสร้างพื้นฐานอาชญากรรมไซเบอร์

ปฏิบัติการดังกล่าวดำเนินการระหว่างวันที่ 15-19 มิถุนายน 2026 โดยมีหน่วยงานด้านกฎหมายและกระบวนการยุติธรรมจากเบลเยียม แคนาดา เดนมาร์ก ฝรั่งเศส เยอรมนี เนเธอร์แลนด์ สหราชอาณาจักร และสหรัฐอเมริกาเข้าร่วม

ภาคเอกชนที่ให้ความร่วมมือประกอบด้วยบริษัทด้านความปลอดภัยไซเบอร์หลายแห่ง เช่น Bitdefender, Bitsight, ESET และ Microsoft

เป้าหมายหลักของ Operation Endgame คือการโจมตีโครงสร้างพื้นฐานของมัลแวร์ที่ทำหน้าที่เป็นช่องทางเริ่มต้นเข้าสู่ระบบของเหยื่อ มัลแวร์ประเภทนี้ช่วยให้ผู้โจมตีสามารถควบคุมอุปกรณ์ ขโมยข้อมูล หรือติดตั้งมัลแวร์ชนิดอื่นเพิ่มเติมได้

ผลสำคัญจากปฏิบัติการครั้งนี้ ได้แก่

  • ปิดหรือรื้อถอนเซิร์ฟเวอร์จำนวน 326 เครื่อง
  • ระงับและยึดโดเมนที่เกี่ยวข้องจำนวน 142 โดเมน
  • กู้คืนข้อมูลบัญชีเข้าสู่ระบบที่ถูกขโมยประมาณ 27 ล้านรายการ
  • ตรวจพบและจำกัดการใช้งานคริปโทเคอร์เรนซีมูลค่ามากกว่า 47 ล้านดอลลาร์สหรัฐ
  • ปิดกั้นโดเมนและหมายเลข IP ที่เกี่ยวข้องกับ Amadey และ StealC ประมาณ 200 รายการ
  • ตัดการควบคุมอุปกรณ์ของเหยื่อมากกว่า 18,000 เครื่อง

Microsoft ระบุว่า Amadey และ StealC มีความเชื่อมโยงกับคอมพิวเตอร์ที่ติดมัลแวร์มากกว่า 140,000 เครื่องทั่วโลกในช่วงสองสัปดาห์แรกของเดือนพฤษภาคม 2026

Amadey คืออะไร

Amadey เป็นมัลแวร์ประเภท Modular Backdoor และ Malware Loader ที่พัฒนาด้วยภาษา C++ เริ่มพบการใช้งานมาตั้งแต่เดือนตุลาคม 2018 และถูกนำเสนอในตลาดใต้ดินโดยผู้พัฒนาที่ใช้ชื่อว่า InCrease

มัลแวร์ชนิดนี้เปิดให้ผู้ซื้อใช้งานผ่านรูปแบบ Malware-as-a-Service โดยมีราคาสำหรับใบอนุญาตหนึ่งชุดอยู่ที่ประมาณ 600 ดอลลาร์สหรัฐ และเรียกเก็บค่าใช้จ่ายเพิ่มเติมประมาณ 50 ดอลลาร์สหรัฐทุกครั้งที่ต้องการสร้างไฟล์มัลแวร์เวอร์ชันใหม่

ข้อมูลล่าสุดระบุว่า Amadey พัฒนามาถึงเวอร์ชัน 5.87 และรองรับคำสั่งจากเซิร์ฟเวอร์ควบคุมได้หลายรูปแบบ

ความสามารถสำคัญของ Amadey

Amadey สามารถทำงานได้หลายอย่างภายในอุปกรณ์ที่ถูกเจาะระบบ ได้แก่

  • ตรวจสอบข้อมูลฮาร์ดแวร์และระบบปฏิบัติการของเครื่อง
  • ดาวน์โหลดไฟล์ DLL, MSI และสคริปต์ PowerShell
  • เรียกใช้คำสั่งผ่าน cmd.exe
  • บันทึกภาพหน้าจอ
  • สร้าง SOCKS Proxy
  • เปิดการเชื่อมต่อผ่าน VNC หรือ Reverse Proxy
  • ดึงข้อมูลจากคลิปบอร์ด
  • ขโมยชื่อผู้ใช้และรหัสผ่าน
  • เปิดใช้งาน Remote Desktop Protocol หรือ RDP
  • ดาวน์โหลดและติดตั้งมัลแวร์เพิ่มเติม

Amadey ถูกใช้เป็นเครื่องมือสำหรับเปิดทางให้มัลแวร์ชนิดอื่นเข้าสู่ระบบ เช่น Lumma Stealer, Vidar Stealer, StealC, PureCrypter, Agent Tesla, Rhadamanthys Stealer, RedLine Stealer, SmokeLoader, XWorm และ AsyncRAT

จำนวนมัลแวร์ที่แพร่ผ่าน Amadey เพิ่มขึ้นต่อเนื่อง

ข้อมูลจากบริษัท Mitsui Bussan Secure Directions ระบุว่า จำนวนเซิร์ฟเวอร์ควบคุมของ Amadey ที่ทำงานในแต่ละวันเคยอยู่ที่ประมาณ 2-18 เครื่อง จนถึงช่วงเดือนกันยายน 2022

ในช่วงเดือนมกราคมถึงต้นเดือนธันวาคม 2023 จำนวนดังกล่าวเพิ่มขึ้นเป็นประมาณ 5-30 เครื่องต่อวัน สะท้อนให้เห็นว่า Amadey ถูกนำไปใช้งานในวงกว้างมากขึ้น

จำนวนตัวอย่างมัลแวร์ที่ถูกเผยแพร่ผ่าน Amadey ในแต่ละปีมีดังนี้

  • ปี 2019 จำนวน 66 ตัวอย่าง
  • ปี 2020 จำนวน 260 ตัวอย่าง
  • ปี 2021 จำนวน 1,231 ตัวอย่าง
  • ปี 2022 จำนวน 3,500 ตัวอย่าง
  • ปี 2023 จำนวน 8,360 ตัวอย่าง
  • ปี 2024 จำนวน 7,619 ตัวอย่าง
  • ปี 2025 จำนวน 11,635 ตัวอย่าง
  • ตั้งแต่ต้นปี 2026 จำนวน 1,837 ตัวอย่าง

ตัวเลขดังกล่าวแสดงให้เห็นว่า Amadey ไม่ได้เป็นเพียงมัลแวร์สำหรับโจมตีโดยตรง แต่ยังทำหน้าที่เป็นแพลตฟอร์มกระจายเครื่องมืออันตรายประเภทอื่นจำนวนมาก

StealC มัลแวร์ขโมยข้อมูลสำคัญจากเบราว์เซอร์และแอปพลิเคชัน

StealC เป็นมัลแวร์ประเภท Information Stealer ที่เริ่มพบการใช้งานในเดือนมกราคม 2023 ผู้พัฒนาใช้ชื่อว่า plymouth และเปิดให้เช่าใช้งานในราคา 300 ดอลลาร์สหรัฐต่อเดือน หรือประมาณ 1,000 ดอลลาร์สหรัฐสำหรับระยะเวลาหกเดือน

ณ เดือนมิถุนายน 2026 StealC พัฒนามาถึงเวอร์ชัน 2.2.1 โดยพื้นที่ที่พบการติดมัลแวร์จำนวนมากประกอบด้วยสหรัฐอเมริกา โปแลนด์ และอิตาลี

ผู้โจมตีแพร่กระจาย StealC ผ่านหลายช่องทาง เช่น มัลแวร์โหลดเดอร์ แคมเปญฟิชชิง เว็บไซต์หลอกให้ติดตั้งโปรแกรม และเทคนิค ClickFix ที่ชักจูงให้ผู้ใช้คัดลอกคำสั่งอันตรายไปรันบนเครื่องด้วยตนเอง

ข้อมูลที่ StealC สามารถขโมยได้

StealC ถูกออกแบบมาเพื่อรวบรวมข้อมูลสำคัญจากเครื่องของเหยื่อ ได้แก่

  • ชื่อผู้ใช้และรหัสผ่าน
  • Session Cookie
  • ข้อมูลกรอกแบบฟอร์มอัตโนมัติ
  • ประวัติการเข้าเว็บไซต์
  • ข้อมูลบัตรเครดิตที่บันทึกไว้
  • ภาพหน้าจอ
  • ข้อมูลจากส่วนขยายของเบราว์เซอร์
  • ข้อมูลกระเป๋าคริปโทเคอร์เรนซี
  • ไฟล์ที่มีชื่อหรือรูปแบบตรงตามเงื่อนไขของผู้โจมตี

StealC มุ่งเป้าไปที่เบราว์เซอร์ที่พัฒนาบนพื้นฐาน Chromium รวมถึงโปรแกรมบนเดสก์ท็อปหลายรายการ เช่น

นอกจากการขโมยข้อมูลแล้ว StealC ยังทำหน้าที่เป็นมัลแวร์โหลดเดอร์ สามารถดาวน์โหลดและเรียกใช้ไฟล์ EXE, MSI หรือคำสั่ง PowerShell ตามคำสั่งที่ได้รับจากเซิร์ฟเวอร์ภายนอก

Amadey และ StealC หลีกเลี่ยงเครื่องในบางประเทศ

หนึ่งในพฤติกรรมที่น่าสนใจของ StealC คือการตรวจสอบภาษาหลักของระบบปฏิบัติการ หากพบว่าเครื่องใช้ภาษาที่เกี่ยวข้องกับรัสเซีย ยูเครน เบลารุส คาซัคสถาน หรืออุซเบกิสถาน มัลแวร์จะหยุดทำงานและปิดตัวเอง

Amadey มีระบบตรวจสอบในลักษณะคล้ายกัน โดยจะไม่เปิดใช้ความสามารถบางส่วน เช่น การขโมยข้อมูลเข้าสู่ระบบและข้อมูลจากคลิปบอร์ด เมื่อทำงานบนเครื่องที่ใช้ภาษารัสเซีย ยูเครน หรือเบลารุส

พฤติกรรมดังกล่าวมักถูกใช้เพื่อลดความเสี่ยงที่ผู้พัฒนาและผู้ใช้งานมัลแวร์จะตกเป็นเป้าหมายของหน่วยงานบังคับใช้กฎหมายในบางพื้นที่

ช่องโหว่ในระบบควบคุม StealC เปิดเผยข้อมูลของผู้ใช้งานมัลแวร์

ก่อนหน้านี้ CyberArk เปิดเผยช่องโหว่ Cross-Site Scripting หรือ XSS ในหน้าเว็บควบคุมของ StealC ซึ่งช่วยให้นักวิจัยสามารถศึกษาการดำเนินงานภายในระบบ Malware-as-a-Service ได้

หนึ่งในผู้ใช้งาน StealC ที่ถูกตรวจพบใช้ชื่อว่า YouTubeTA โดยนำแพลตฟอร์ม YouTube มาใช้ประชาสัมพันธ์โปรแกรม Adobe Photoshop และ Adobe After Effects เวอร์ชันละเมิดลิขสิทธิ์ เพื่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ที่มีมัลแวร์ติดมาด้วย

IBM X-Force และ Proofpoint ยังตรวจพบช่องโหว่อื่นในแผงควบคุม StealC รวมถึงช่องโหว่ Directory Traversal ที่เปิดทางให้ผู้โจมตีอัปโหลด Web Shell ไปยังเซิร์ฟเวอร์ควบคุมได้

ผู้พัฒนา StealC แก้ไขช่องโหว่ดังกล่าวในเดือนกุมภาพันธ์ 2026 แต่มีข้อมูลว่าช่องโหว่อาจถูกใช้โดยสมาชิกบางรายเพื่อขโมยข้อมูลจากผู้ใช้งาน StealC รายอื่นก่อนที่จะได้รับการแก้ไข

รูปแบบธุรกิจของ Amadey และ StealC แตกต่างกันอย่างไร

แม้ Amadey และ StealC จะให้บริการผ่านรูปแบบ Malware-as-a-Service เหมือนกัน แต่มีระบบการคิดค่าบริการที่แตกต่างกัน

Amadey ใช้รูปแบบจ่ายเงินตามจำนวนครั้งที่สร้างไฟล์มัลแวร์ ผู้ใช้งานจะต้องซื้อใบอนุญาตก่อน และจ่ายเงินเพิ่มทุกครั้งที่ต้องการสร้างไฟล์ใหม่ เช่น เมื่อต้องเปลี่ยนเซิร์ฟเวอร์ควบคุม

StealC ใช้ระบบสมัครสมาชิกและเปิดให้สร้างไฟล์มัลแวร์ได้ไม่จำกัดจำนวนในช่วงที่สมาชิกยังมีอายุการใช้งาน รูปแบบนี้ช่วยลดค่าใช้จ่ายในการเปลี่ยนโครงสร้างพื้นฐาน และทำให้ผู้โจมตีสร้างตัวอย่างมัลแวร์ใหม่ได้รวดเร็วกว่าเดิม

นักวิจัยจาก ESET ตรวจพบกลุ่มโครงสร้างพื้นฐานที่ไม่ซ้ำกันภายในระบบของ Amadey จำนวน 53 กลุ่ม โดยกลุ่มที่มีขนาดใหญ่ที่สุดถูกใช้เพื่อกระจายมัลแวร์ขโมยข้อมูล เครื่องมือควบคุมระยะไกล และมัลแวร์โหลดเดอร์หลายชนิด

Loader และ Stealer คือหัวใจของห่วงโซ่อาชญากรรมไซเบอร์

Bitsight อธิบายว่า Loader และ Stealer เป็นองค์ประกอบสองส่วนที่ทำงานร่วมกันในระบบมัลแวร์เชิงพาณิชย์

Loader มีหน้าที่สร้างช่องทางเข้าสู่เครื่องของเหยื่อ จากนั้นผู้ควบคุมสามารถขายหรือให้เช่าสิทธิ์การเข้าถึงดังกล่าวแก่ผู้โจมตีรายอื่น

Stealer จะใช้ช่องทางที่ Loader สร้างขึ้นเพื่อขโมยรหัสผ่าน คุกกี้ กระเป๋าคริปโทเคอร์เรนซี และข้อมูลสำคัญ ก่อนนำข้อมูลไปขายต่อในตลาดใต้ดินหรือกลุ่มบน Telegram

การทลายโครงสร้างพื้นฐานในขั้นตอนแรกจึงช่วยขัดขวางการโจมตีได้หลายรูปแบบพร้อมกัน ตั้งแต่การขโมยบัญชีไปจนถึงการติดตั้งแรนซัมแวร์ในระบบองค์กร

วิธีป้องกัน Amadey และ StealC

ผู้ใช้งานและองค์กรสามารถลดความเสี่ยงจากมัลแวร์ประเภท Loader และ Information Stealer ได้ด้วยแนวทางต่อไปนี้

  • หลีกเลี่ยงการดาวน์โหลดโปรแกรมเถื่อน โปรแกรมแคร็ก และไฟล์จากแหล่งที่ไม่น่าเชื่อถือ
  • ไม่เปิดไฟล์แนบหรือลิงก์จากอีเมลที่ไม่ทราบแหล่งที่มา
  • ระวังเว็บไซต์ที่สั่งให้คัดลอกคำสั่งไปวางใน PowerShell หรือ Command Prompt
  • อัปเดตระบบปฏิบัติการ เบราว์เซอร์ ปลั๊กอิน และโปรแกรมต่าง ๆ อย่างสม่ำเสมอ
  • เปิดใช้งานการยืนยันตัวตนแบบหลายขั้นตอน
  • ใช้รหัสผ่านที่แตกต่างกันในแต่ละบริการ
  • ตรวจสอบ Session ที่เข้าสู่ระบบและออกจากระบบบนอุปกรณ์ที่ไม่รู้จัก
  • ใช้ซอฟต์แวร์รักษาความปลอดภัยที่สามารถตรวจจับพฤติกรรมของมัลแวร์
  • จำกัดสิทธิ์ของบัญชีผู้ใช้งานภายในองค์กร
  • สำรองข้อมูลสำคัญและแยกชุดสำรองออกจากระบบหลัก
  • ตรวจสอบการเชื่อมต่อไปยังโดเมนและหมายเลข IP ที่ผิดปกติ

หากพบว่าอุปกรณ์อาจติดมัลแวร์ขโมยข้อมูล ควรตัดการเชื่อมต่อเครือข่าย ตรวจสอบและกำจัดมัลแวร์จากอุปกรณ์ที่ปลอดภัย จากนั้นเปลี่ยนรหัสผ่านทั้งหมด รวมถึงยกเลิก Session และ Token ที่ยังเปิดใช้งานอยู่

สรุป

Operation Endgame แสดงให้เห็นถึงความสำคัญของความร่วมมือระหว่างหน่วยงานบังคับใช้กฎหมายและบริษัทด้านความปลอดภัยไซเบอร์ การปิดเซิร์ฟเวอร์ 326 เครื่อง ระงับโดเมน 142 โดเมน และกู้คืนข้อมูลบัญชีที่ถูกขโมยประมาณ 27 ล้านรายการ ช่วยลดความสามารถของเครือข่าย Amadey และ StealC ในการโจมตีเหยื่อทั่วโลก

อย่างไรก็ตาม การปิดโครงสร้างพื้นฐานเพียงครั้งเดียวไม่สามารถหยุดภัยคุกคามได้ทั้งหมด ผู้พัฒนามัลแวร์และสมาชิกในระบบ Malware-as-a-Service สามารถเปลี่ยนโดเมน เซิร์ฟเวอร์ และวิธีแพร่กระจายได้อย่างรวดเร็ว ผู้ใช้งานและองค์กรจึงควรให้ความสำคัญกับการอัปเดตระบบ การตรวจสอบพฤติกรรมผิดปกติ และการป้องกันข้อมูลบัญชีอย่างต่อเนื่อง

ที่มา thehackernews

Leave a Reply

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *