Qilin อาละวาดหนัก! บุกเจาะระบบผู้ให้บริการ Manage Service เกาหลีใต้ มุ่งเป้าภาคการเงินในประเทศ
Qilin แก๊งแรนซัมแวร์ตัวแสบที่กำลังมาแรงในช่วงปลายปี 2025 สร้างวีรกรรมใหม่ด้วยการบุกโจมตีผู้ให้บริการดูแลระบบไอที (Managed Service Provider – MSP) ในเกาหลีใต้ และใช้เป็นฐานปฏิบัติการกระจายความเสียหายไปยังลูกค้าในเครือกว่า 28 ราย ซึ่งส่วนใหญ่เป็นสถาบันการเงิน
การโจมตีครั้งนี้ไม่ได้มาเล่นๆ แต่แฝงไปด้วยเทคนิคอันแยบยลที่เรียกว่า “Living off the Land” หรือการหยิบเอาเครื่องมือที่มีอยู่แล้วในเครื่องเหยื่อมาใช้เป็นอาวุธ ทำให้ระบบตรวจจับความปลอดภัยทั่วไปแทบจะจับพิรุธไม่ได้
กลยุทธ์ “หนอนบ่อนไส้” เจาะผ่าน MSP
จุดเริ่มต้นของหายนะครั้งนี้เกิดจากการที่แฮกเกอร์สามารถเจาะเข้าสู่ระบบของ MSP รายหนึ่งในเกาหลีใต้ได้สำเร็จ จากนั้นจึงใช้สิทธิ์การเข้าถึงของ MSP นี้เป็นใบเบิกทางเพื่อกระจายมัลแวร์ไปยังเครื่องของลูกค้าในสังกัด วิธีการนี้ทำให้แฮกเกอร์ไม่ต้องเหนื่อยเจาะทีละบริษัท แต่ยิงปืนนัดเดียวได้นกทั้งฝูง
ใช้เครื่องมือดีๆ ในทางที่ผิด
สิ่งที่น่ากลัวของการโจมตีครั้งนี้คือ Qilin แทบไม่ต้องขนอาวุธหนักมาเอง แต่เลือกใช้โปรแกรมสามัญประจำเครื่องที่แอดมินใช้กันอยู่แล้ว เช่น:
- IP Scanners: ใช้สแกนหาเครื่องเหยื่ออื่นๆ ในวงแลน
- Remote Desktop Tools: ใช้รีโมทเข้าไปควบคุมเครื่องเซิร์ฟเวอร์
- ProcDump: เครื่องมือสำหรับ Debug ของ Microsoft ที่ถูกนำมาดัดแปลงเพื่อ dump ข้อมูลสำคัญออกจากหน่วยความจำ
การใช้เครื่องมือพวกนี้ทำให้พฤติกรรมของแฮกเกอร์ดูกลมกลืนไปกับการทำงานปกติของผู้ดูแลระบบ ทำให้กว่าเหยื่อจะรู้ตัว ข้อมูลสำคัญก็ถูกเข้ารหัสและขโมยไปเรียบร้อยแล้ว
เป้าหมายชัดเจน: ภาคการเงินต้องระวัง
เหยื่อของการโจมตีระลอกนี้เกือบทั้งหมดเป็นบริษัทในกลุ่ม “บริการทางการเงิน” ซึ่งเป็นแหล่งรวมข้อมูลที่มีมูลค่าสูง โดยมีการขโมยข้อมูลออกไปกว่า 2TB และขู่ว่าจะเปิดเผยหากไม่ยอมจ่ายค่าไถ่ นักวิเคราะห์มองว่านี่อาจเป็นส่วนหนึ่งของแคมเปญใหญ่ที่เรียกว่า “Korean Leaks” ซึ่งมีเป้าหมายเพื่อสร้างความปั่นป่วนทางเศรษฐกิจหรืออาจเชื่อมโยงกับแรงจูงใจทางการเมือง