Google แฉกลุ่มแฮกเกอร์รัสเซีย ‘Turla’ ส่งมัลแวร์ตัวใหม่ ‘STOCKSTAY’ ถล่มหน่วยงานรัฐ-ทหารในยูเครน!
ถือเป็นอีกหนึ่งความเคลื่อนไหวครั้งใหญ่ในโลกไซเบอร์ เมื่อทีม Google Threat Intelligence ได้ออกมาเปิดเผยรายละเอียดของมัลแวร์แฝงตัว (Backdoor) ตัวใหม่ล่าสุดในชื่อ “STOCKSTAY” ซึ่งเป็นอาวุธชิ้นใหม่ของกลุ่มแฮกเกอร์สายลับรัสเซียระดับพระกาฬอย่าง “Turla”
มัลแวร์ตัวนี้มีอะไรน่ากลัว และมันทำงานยังไง? สรุปสั้นๆ ให้ฟังดังนี้ครับ 👇
.
🕵️♂️ 1. แปลงร่างแนบเนียนเพื่อตบตา
STOCKSTAY เป็นมัลแวร์ที่พัฒนาขึ้นด้วย .NET แรกเริ่มเดิมทีมันถูกออกแบบมาให้หน้าตาเหมือนโปรแกรมดูข้อมูลตลาดหุ้น (สมชื่อ Stock) แต่ต่อมาถูกปรับเปลี่ยนให้เลียนแบบโปรแกรมทั่วไปที่เราคุ้นเคย เช่น โปรแกรมอ่านไฟล์ PDF หรือเครื่องคิดเลข ทำให้เหยื่อไม่เอะใจเมื่อดาวน์โหลดไปใช้งาน
.
⛓️ 2. ทำงานเป็นระบบ 3 ประสาน (Multi-Component)
เมื่อมัลแวร์เข้าสู่เครื่อง มันจะแตกตัวออกเป็น 3 โมดูลหลักเพื่อทำงานร่วมกัน:
▪️ STOCKSTAY.STOCKBROKER – ทำหน้าที่เชื่อมต่อเครือข่ายช่องทางลับ (WebSocket) ส่งข้อมูลกลับไปยังเซิร์ฟเวอร์แฮกเกอร์
▪️ STOCKSTAY.STOCKTRADER – ตัวสั่งการหลัก (Backdoor) คอยขโมยข้อมูล ถ่ายภาพหน้าจอ ลบหรืออัปโหลดไฟล์ และสั่งรันโปรแกรมต่างๆ ในเครื่องเหยื่อ
▪️ STOCKSTAY.STOCKMARKET – ตัวควบคุมคอยตั้งค่าเวลาและเงื่อนไขในการทำงานเพื่อไม่ให้ระบบตรวจจับได้
.
📬 3. ช่องทางการโจมตี (เป้าหมายหลักคือยุโรปและยูเครน)
แฮกเกอร์กลุ่มนี้มักใช้จิตวิทยาหลอกล่อ (Social Engineering) ผ่านอีเมลฟิชชิงแนบไฟล์ปลอมที่เกี่ยวกับวิชาการหรือการทูต โดยหลอกให้เหยื่อเปิดไฟล์ เช่น
▪️ หลอกให้เปิดไฟล์รีโมท RDP เชื่อมต่อไปยังโครงสร้างพื้นฐานของแฮกเกอร์
▪️ ใช้ไฟล์บีบอัด RAR ที่อาศัยช่องโหว่ของโปรแกรม WinRAR (เช่น CVE-2025-8088) เพื่อเจาะระบบ
▪️ นอกจากยูเครนแล้ว ยังพบร่องรอยการมุ่งเป้าไปยังหน่วยงานที่เกี่ยวข้องกับนโยบายต่างประเทศของอิตาลี เนเธอร์แลนด์ โปแลนด์ และเยอรมนีด้วย
.
เรียกได้ว่าสงครามไซเบอร์ในปัจจุบันไม่มีคำว่าแผ่วลงเลย หน่วยงานและองค์กรต่างๆ จึงจำเป็นต้องอัปเดตระบบความปลอดภัย รวมถึงระมัดระวังการเปิดไฟล์แนบจากอีเมลที่ไม่รู้จักอย่างเด็ดขาดครับ!
#CyberSecurity #ข่าวไอที #TheHackerNews #GoogleThreatIntelligence #Turla #STOCKSTAY #Malware #มัลแวร์ #เตือนภัยไซเบอร์ #สงครามไซเบอร์
About the Author
