หน้าแรก Security Hacker เบื้องหลัง “อาวุธลับ” แฮกเกอร์จีน: ซุ่มพัฒนาชุดเจาะ VMware ล่วงหน้าเป็นปี

เบื้องหลัง “อาวุธลับ” แฮกเกอร์จีน: ซุ่มพัฒนาชุดเจาะ VMware ล่วงหน้าเป็นปี

ในโลกของ ภัยคุกคามทางไซเบอร์  ความได้เปรียบที่น่ากลัวที่สุดคือ “เวลา” ล่าสุดนักวิจัยจาก Huntress บริษัทด้านความปลอดภัยชั้นนำ ได้เปิดโปงเคสการโจมตีที่น่าสนใจของกลุ่มแฮกเกอร์ที่ใช้ภาษาจีน ซึ่งพิสูจน์ให้เห็นว่าพวกเขา “ล้ำหน้า” ฝ่ายป้องกันไปไกลกว่าหนึ่งก้าวเสมอ

เหตุการณ์นี้เริ่มจากการที่แฮกเกอร์มองหา “ประตูหน้าบ้าน” ที่มีจุดอ่อน ซึ่งในเคสนี้คือ SonicWall VPN เมื่อแฮกเกอร์สามารถเจาะผ่านเข้ามาได้ พวกเขาไม่ได้หยุดแค่การขโมยข้อมูลทั่วไป แต่มีเป้าหมายที่ใหญ่กว่านั้น คือการเข้ายึดบัญชีผู้ดูแลระบบ เพื่อใช้เป็นฐานในการขยายวงจรการโจมตี ผ่านโปรโตคอล RDP เข้าสู่หัวใจหลักของเครือข่าย

เป้าหมายสูงสุดของแฮกเกอร์กลุ่มนี้คือการทำ VM Escape หรือการเจาะทะลุออกจากเครื่อง Guest VM เพื่อออกไปควบคุมระบบปฏิบัติการหลักที่ควบคุมเซิร์ฟเวอร์ทั้งหมด ซึ่งก็คือ VMware ESXi Hypervisor สิ่งที่น่าตกใจคือ ชุดเครื่องมือที่พวกเขาใช้ที่ชื่อว่า “MAESTRO” นั้นมีความซับซ้อนสูงมาก มันสามารถสั่งปิดระบบป้องกันของ VMware, โหลดไดรเวอร์อันตรายที่ไม่มีลายเซ็นดิจิทัล เข้าสู่ระบบ และติดตั้ง Backdoor ที่ชื่อว่า “VSOCKpuppet” ไว้บนเครื่องโฮสต์ ทำให้แฮกเกอร์สามารถส่งคำสั่งและขโมยไฟล์ผ่านช่องทางพิเศษ ที่ระบบตรวจจับเครือข่ายทั่วไปมักจะมองข้าม

ความลับมาแตกเมื่อนักวิจัยตรวจสอบร่องรอยในไฟล์ดิจิทัล (PDB Paths) ของชุดเครื่องมือนี้ และพบโฟลเดอร์ภาษาจีนที่ชื่อว่า “全版本逃逸–交付” ซึ่งแปลได้ว่า “ชุดส่งมอบการเจาะทะลุทุกเวอร์ชัน” ที่น่าสนใจคือ วันที่ที่ปรากฏในโฟลเดอร์คือ 19 กุมภาพันธ์ 2024 นั่นหมายความว่าแฮกเกอร์มีอาวุธชุดนี้อยู่ในมือมานานกว่า 1 ปี ก่อนที่ Broadcom (เจ้าของ VMware) จะตรวจพบและประกาศเตือนช่องโหว่ระดับ Zero-day (CVE-2025-22224, 22225, 22226) ในเดือนมีนาคม 2025 เสียอีก นี่คือการยืนยันว่ากลุ่มแฮกเกอร์กลุ่มนี้มีการวิจัยและพัฒนาอาวุธไซเบอร์ที่แข็งแกร่งและเงียบเชียบมาก

นักวิจัยยังตั้งข้อสังเกตอีกว่า ชุดเครื่องมือนี้ถูกออกแบบมาแบบ Modular หรือแยกส่วนกันชัดเจน ระหว่าง “ตัวเจาะช่องโหว่” กับ “เครื่องมือควบคุมหลังการเจาะ” วิธีนี้ช่วยให้แฮกเกอร์สามารถเปลี่ยนไปใช้ช่องโหว่ใหม่ๆ ได้ทันทีโดยไม่ต้องเปลี่ยนโครงสร้างระบบควบคุมเดิม

นอกจากนี้ การพบคู่มือการใช้งาน (README) เป็นภาษาอังกฤษ ท่ามกลางโค้ดที่เป็นภาษาจีน บ่งชี้ว่าเครื่องมือชิ้นนี้อาจไม่ได้ถูกสร้างมาเพื่อใช้เฉพาะกลุ่มเท่านั้น แต่อาจถูกทำขึ้นเพื่อ “ส่งออก” หรือแบ่งปันในกลุ่มอาชญากรไซเบอร์อื่นๆ ทั่วโลก

ที่มา : BPC