นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบการโจมตีครั้งใหม่ที่เชื่อมโยงกับกลุ่ม UAT-8099 จากจีน ซึ่งเกิดขึ้นระหว่างปลายปี 2025 ถึงต้นปี 2026 การโจมตีมุ่งเป้าไปที่เซิร์ฟเวอร์ Internet Information Services (IIS) ที่มีช่องโหว่ทั่วเอเชีย โดยเน้นเฉพาะในประเทศไทยและเวียดนาม กลุ่ม UAT-8099 ใช้ web shells และ PowerShell เพื่อรันสคริปต์และติดตั้งเครื่องมือ GotoHTTP เพื่อให้ผู้โจมตีเข้าถึงเซิร์ฟเวอร์ IIS จากระยะไกลได้ นอกจากนี้ยังมีการติดตั้งมัลแวร์ BadIIS เพื่อหลอกลวง SEO โดยการเปลี่ยนเส้นทาง search engine crawlers ไปยังเว็บไซต์ที่หลอกลวง กลุ่มผู้โจมตีได้พัฒนากลยุทธ์โดยใช้เครื่องมือที่ถูกต้องตามกฎหมายและบัญชีผู้ใช้ที่ซ่อนอยู่เพื่อหลีกเลี่ยงการตรวจจับและรักษาการเข้าถึงในระยะยาว
Severity: สูง
System Impact:
- เซิร์ฟเวอร์ Internet Information Services (IIS)
- ระบบปฏิบัติการ Windows (โดยนัยจากการใช้ IIS, PowerShell, Windows Event Logs)
- ภูมิภาคเอเชีย (โดยเฉพาะประเทศไทย เวียดนาม อินเดีย ปากีสถาน และญี่ปุ่น)
- บริการและอันดับการจัดอันดับบน Search Engine Optimization (SEO)
Technical Attack Steps:
- 1. **การเข้าถึงเริ่มต้น**: UAT-8099 เข้าถึงเซิร์ฟเวอร์ IIS โดยใช้ช่องโหว่ด้านความปลอดภัยหรือการตั้งค่าที่อ่อนแอในคุณสมบัติการอัปโหลดไฟล์ของเว็บเซิร์ฟเวอร์
- 2. **การสำรวจและรวบรวมข้อมูล**: ดำเนินการคำสั่งเพื่อรวบรวมข้อมูลระบบ
- 3. **การติดตั้งเครื่องมือและการคงอยู่**:
- – ติดตั้งเครื่องมือ VPN (เช่น SoftEther VPN)
- – สร้างบัญชีผู้ใช้ที่ซ่อนอยู่ (เช่น ‘admin$’, ‘mysql$’) เพื่อรักษาการเข้าถึงและหลีกเลี่ยงการตรวจจับ
- – ติดตั้งเครื่องมือเพิ่มเติม: Sharp4RemoveLog (เพื่อลบ Windows event logs), CnCrypt Protect (เพื่อซ่อนไฟล์ที่เป็นอันตราย), OpenArk64 (anti-rootkit เพื่อหยุดกระบวนการของผลิตภัณฑ์รักษาความปลอดภัย), และ GotoHTTP (เพื่อควบคุมเซิร์ฟเวอร์จากระยะไกล)
- 4. **การติดตั้งมัลแวร์**: ติดตั้งมัลแวร์ BadIIS โดยใช้บัญชีผู้ใช้ที่สร้างขึ้นใหม่
- 5. **การดำเนินการหลอกลวง SEO**: มัลแวร์ BadIIS จะสแกนคำขอที่เข้ามายังเซิร์ฟเวอร์ IIS:
- – หากผู้เยี่ยมชมเป็น search engine crawler จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ SEO fraud
- – หากคำขอมาจากผู้ใช้ทั่วไปและ Accept-Language header ระบุภาษาไทย จะทำการฉีด HTML ที่มี JavaScript redirect เข้าไปในหน้าเว็บที่ตอบกลับ
Recommendations:
Short Term:
- ตรวจสอบและแก้ไขช่องโหว่ความปลอดภัยของเซิร์ฟเวอร์ IIS ทั้งหมดทันที
- ตรวจสอบหาบัญชีผู้ใช้ที่ซ่อนอยู่ เช่น ‘admin$’, ‘mysql$’ หรือบัญชีที่ไม่รู้จักและน่าสงสัยอื่นๆ
- ตรวจสอบการติดตั้งและการรันเครื่องมือ VPN หรือเครื่องมือควบคุมระยะไกลที่ไม่ได้รับอนุญาต
- ตรวจสอบบันทึก (logs) ของเซิร์ฟเวอร์ IIS และ Windows Event Logs สำหรับกิจกรรมที่ผิดปกติหรือน่าสงสัย
- ใช้ Web Application Firewall (WAF) เพื่อตรวจจับและบล็อกการโจมตี web shell และการฉีดโค้ดที่เป็นอันตราย
Long Term:
- ใช้หลักการ Zero Trust สำหรับการเข้าถึงและการจัดการเซิร์ฟเวอร์และทรัพยากรทั้งหมด
- ดำเนินการประเมินความปลอดภัย (Security Audits) และการทดสอบเจาะระบบ (Penetration Testing) อย่างสม่ำเสมอ เพื่อระบุและแก้ไขช่องโหว่
- อัปเดตแพตช์และซอฟต์แวร์ทั้งหมดให้เป็นปัจจุบันอยู่เสมอ รวมถึงระบบปฏิบัติการและแอปพลิเคชันบนเซิร์ฟเวอร์ IIS
- ใช้โซลูชัน Endpoint Detection and Response (EDR) หรือ Extended Detection and Response (XDR) เพื่อการตรวจจับภัยคุกคามขั้นสูงและการตอบสนอง
- ปรับปรุงการจัดการการเข้าถึง (Access Management) และนโยบายรหัสผ่านให้แข็งแกร่งยิ่งขึ้น
- ตรวจสอบและเฝ้าระวัง Indicators of Compromise (IoCs) ที่เกี่ยวข้องกับกลุ่ม UAT-8099 และ C2 infrastructure ที่เป็นที่รู้จัก
- ฝึกอบรมพนักงานเกี่ยวกับภัยคุกคามทางไซเบอร์ แนวทางการป้องกันฟิชชิ่ง และแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัย
Source: https://thehackernews.com/2026/01/china-linked-uat-8099-targets-iis.html
Share this content: