แฮกเกอร์เล็งโจมตีหน่วยงานรัฐ ผ่านช่องโหว่ร้ายแรงของ WinRAR ขโมยข้อมูลลับ
กลุ่มแฮกเกอร์ APT-C-08 หรือที่รู้จักในนาม BITTER กำลังใช้ช่องโหว่ร้ายแรงใน WinRAR (CVE-2025-6218) โจมตีหน่วยงานรัฐบาลทั่วเอเชียใต้ โดยเฉพาะหน่วยงานที่เก็บข้อมูลลับสำคัญ ซึ่งเป็นการพัฒนาเทคนิคการโจมตีที่น่าวิตกกังวลอย่างยิ่ง แต่ที่น่าสนใจกว่านั้นคือช่องโหว่นี้เป็นช่องโหว่เก่าที่มีการแจ้งเตือนไปตั้งแต่เดือนมิถุนายน แต่ยังมีผู้ใช้จำนวนมากที่ยังไม่อัปเดตจนตกเป็นเป้าการโจมตี
ช่องโหว่ที่แฮกเกอร์ใช้โจมตี
CVE-2025-6218 เป็นช่องโหว่ประเภท Directory Traversal ที่พบใน WinRAR เวอร์ชัน 7.11 และต่ำกว่า ซึ่งช่วยให้แฮกเกอร์สามารถวางไฟล์อันตรายไปยังตำแหน่งที่ไม่ได้รับอนุญาตบนระบบเมื่อเหยื่อแตกไฟล์ RAR ที่มีการดัดแปลง ช่องโหว่นี้เกิดจากการที่ WinRAR ไม่ได้ตรวจสอบและกรองเส้นทางไฟล์ภายในไฟล์บีบอัดอย่างเหมาะสม โดยเฉพาะเมื่อมีการใช้ลำดับ “../ ” (มีเว้นวรรคหลังจุดสองจุด) ทำให้สามารถข้ามการตรวจสอบความปลอดภัยได้
เป้าหมายและวิธีการโจมตี
APT-C-08 เป็นกลุ่มแฮกเกอร์ที่มีความสัมพันธ์กับรัฐบาลในเอเชียใต้ มีเป้าหมายหลักคือการขโมยข้อมูลความลับจากหน่วยงานรัฐ สถาบันการศึกษา และภาคอุตสาหกรรมทหาร โดยมีแรงจูงใจทางการเมืองอย่างชัดเจน
การโจมตีเริ่มต้นจากไฟล์ RAR ที่มีชื่อหลอกลวง เช่น “Provision of Information for Sectoral for AJK.rar” หรือ “Weekly AI Article.rar” เมื่อเหยื่อแตกไฟล์ด้วย WinRAR เวอร์ชันที่มีช่องโหว่ ระบบจะติดตั้งไฟล์ Normal.dotm ที่มีมัลแวร์ไปยังโฟลเดอร์ Templates ของ Microsoft Word อัตโนมัติ ทำให้มัลแวร์ทำงานทุกครั้งที่เปิดเอกสาร Word โดยไม่ต้องมีการคลิกเพิ่มเติม
กลไกการโจมตีอย่างละเอียด
ไฟล์ Normal.dotm ที่ถูกดัดแปลงจะทำงานโดยดาวน์โหลดไฟล์ winnsc.exe จากเซิร์ฟเวอร์ของแฮกเกอร์ ซึ่งจะเก็บรวบรวมข้อมูลระบบ เช่น ชื่อคอมพิวเตอร์ ชื่อผู้ใช้ และเวอร์ชันระบบปฏิบัติการ จากนั้นส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ Command-and-Control ที่ teamlogin.esanojinjasvc[.]com และ tapeqcqoptions[.]com เพื่อรับคำสั่งในการดาวน์โหลดมัลแวร์เพิ่มเติม รวมถึง C# Trojan ที่ APT-C-08 นิยมใช้
คำแนะนำป้องกัน
ผู้ใช้งาน WinRAR ควรอัปเดตเป็นเวอร์ชันล่าสุดที่แก้ไขช่องโหว่ CVE-2025-6218 แล้วทันที โดยเฉพาะหน่วยงานรัฐและองค์กรที่เก็บข้อมูลสำคัญควรหลีกเลี่ยงการเปิดไฟล์บีบอัดจากแหล่งที่ไม่น่าเชื่อถือ และควรติดตั้งระบบตรวจจับภัยคุกคาม (EDR) พร้อมตรวจสอบโฟลเดอร์ Templates ของ Microsoft Word เป็นประจำเพื่อหาการเปลี่ยนแปลงที่ผิดปกติ
การใช้ Application Allowlisting เพื่อป้องกันการทำงานของมาโครที่ไม่ได้รับอนุญาต และการฝึกอบรมพนักงานให้ตระหนักถึงภัยคุกคามทางไซเบอร์ จะช่วยลดความเสี่ยงจากการโจมตีลักษณะนี้ได้อย่างมาก การตรวจสอบและบันทึก log ของไดเรกทอรีสำคัญอย่างสม่ำเสมอ จะช่วยให้สามารถตรวจพบสัญญาณการโจมตีได้ก่อนที่แฮกเกอร์จะประสบความสำเร็จในการขโมยข้อมูล