พบแฮกเกอร์ทีม EncryptHub ใช้ช่องโหว่ Zero-Day บน Windows ในการฝังมัลแวร์ Rhadamanthys และ StealC

ในการแพร่กระจายมัลแวร์นั้น แฮกเกอร์ก็มักจะต้องพึ่งพาวิธีการต่าง ๆ เช่น การหลอกลวงเหยื่อ ไปจนถึงการใช้เทคนิคระดับสูง เช่น การอาศัยช่องโหว่ต่าง ๆ ของระบบ โดยช่องโหว่ที่เกิดขึ้นระหว่างการพัฒนาซอฟต์แวร์ หรือ Zero-Day นั้น ก็เป็นช่องโหว่อีกรูปแบบหนึ่งที่แฮกเกอร์มักนิยมใช้งาน

จากรายงานโดยเว็บไซต์ The Hacker News ได้รายงานถึงการตรวจพบแคมเปญการโจมตีครั้งใหม่ของกลุ่มแฮกเกอร์ที่มีชื่อว่า EncryptHub ซึ่งได้อาศัยช่องโหว่แบบ Zero-Days บน Windows ที่มีชื่อว่า CVE-2025-26633 เพื่อแพร่กระจายมัลแวร์หลากรูปแบบลงสู่เครื่องของเหยื่อ โดยเฉพาะมัลแวร์ประเภทเพื่อการขโมยข้อมูล หรือ Infostealer อย่าง Rhadamanthys และ StealC เพื่อเข้าจารกรรมข้อมูลสำคัญของเป้าหมาย โดยการค้นพบดังกล่าวนั้นเป็นผลงานของทีมวิจัยจาก TrendMicro ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านการพัฒนาเครื่องมือแอนตี้ไวรัส และรักษาความปลอดภัยทางไซเบอร์

ช่องโหว่ CVE-2025-26633 เป็นช่องโหว่ที่อยู่ในส่วนของ Microsoft Management Console (MMC) ซึ่งเป็นส่วนคอนโซลสำหรับการปรับแต่งตั้งค่าต่าง ๆ บน Windows โดยเกิดจากการที่ตัวระบบนั้นไม่ได้มีการตรวจสอบการป้อนค่าเข้ามาอย่างถูกต้อง (Improper Neutralization) ทำให้แฮกเกอร์สามารถใช้ช่องโหว่นี้เล็ดลอดระบบรักษาความปลอดภัย และแทรกโค้ดอันตรายผ่านไฟล์ .Msc ซึ่งเป็นไฟล์สำหรับตัวคอนโซลดังกล่าวได้

ภาพจาก : https://thehackernews.com/2025/03/encrypthub-exploits-windows-zero-day-to.html

ซึ่งในแคมเปญนี้ แฮกเกอร์จะใช้ไฟล์ .Msc 2 ไฟล์ โดยไฟล์แรกนั้นจะเป็นไฟล์ปกติที่ไม่มีโค้ดอันตรายอะไรซ่อนเร้นไว้อยู่ ขณะที่อีกไฟล์จะเป็นไฟล์ที่ซ่อนโค้ดอันตรายที่ใช้ในการรัน PowerShell เอาไว้ ซึ่งไฟล์ทั้ง 2 นั้นจะถูกวางไว้ในตำแหน่งเดียวกัน แต่ตัวไฟล์อันตรายนั้นจะถูกใส่ไว้ในโฟลเดอร์ที่มีชื่อว่า "en-US" ทำให้ตัว MMC นั้นจะทำกันรันตัวที่อยู่ในโฟลเดอร์ดังกล่าวก่อน นำไปสู่การรันโค้ดอันตรายลงสู่ระบบโดยที่ตรวจจับไม่ได้ ซึ่งการโจมตีรูปแบบดังกล่าวนั้นเป็นการใช้ประโยชน์จาก ฟีเจอร์สำหรับผู้ใช้งานในหลากภาษา หรือ Multilingual User Interface Path (MUIPath) โดยวิธีการโจมตีรูปแบบดังกล่าวนั้นถูกตั้งชื่อว่า MSC EvilTwin loader

นอกจากนั้นทางทีมวิจัยยังได้เปิดเผยวิธีการใช้ประโยชน์จากช่องโหว่นี้เพื่อปล่อยมัลแวร์ (Payload) ลงบนเครื่องของเหยื่อ อีก 2 วิธี นั่นคือ

• ใช้คำสั่ง ExecuteShellCommand บน MMC เพื่อสั่งให้ดาวน์โหลดมัลแวร์ลงมา และทำการติดตั้งลงบนเครื่องของเหยื่อ
• ใช้กลยุทธ์การตั้งชื่อโฟลเดอร์ให้คล้ายกับโฟลเดอร์ที่ตัวระบบไว้วางใจ (Mock Trusted Directories) เช่นการสร้างโฟลเดอร์ที่มีชื่อว่า "C:Windows System32" (สังเกตว่ามีช่องว่าง 1 เคาะ หลังคำว่า Windows) เพื่อข้ามการตรวจสอบจากระบบตรวจสอบผู้ใช้งาน หรือ User Account Control (UAC) หลังจากนั้นจึงค่อยวางไฟล์ .msc ที่ซ่อนโค้ดสำหรับใช้ในการดาวน์โหลด และติดตั้งมัลแวร์ที่มีชื่อว่า "WmiMgmt.msc"

ไม่เพียงเท่านั้นทางทีมวิจัยยังได้ออกมาเปิดเผยว่า มีการตรวจพบว่าทาง EncryptHub ยังได้มีการดัดแปลงมัลแวร์ต่าง ๆ เพื่อใช้ในแคมเปญของตัวเองโดยเฉพาะอีกด้วย เช่น มัลแวร์แบบ Infostealer ที่มีชื่อว่า EncryptHub Stealer และมัลแวร์สำหรับใช้ในการเปิดประตูหลังของระบบ (Backdoor) อย่าง DarkWisp และ SilentPrism เป็นต้น

ถึงแม้ช่องโหว่ดังกล่าวนั้นจะเปิดช่องให้แฮกเกอร์สามารถลัดเลาะเข้ามาทำอันตรายกับระบบได้อย่างมากมาย แต่ทางไมโครซอฟท์ก็ได้ทำการออกอัปเดตเพื่อปิดกั้นช่องโหว่ดังกล่าวเป็นที่เรียบร้อยแล้วในช่วงต้นเดือนมีนาคมที่ผ่านมา ดังนั้นเพื่อความปลอดภัย ทางทีมข่าวขอแนะนำให้ผู้อ่านทำการอัปเดต Windows โดยด่วน