กลุ่มผู้โจมตีกำลังดำเนินการละเมิดช่องโหว่ร้ายแรงบนระบบ FortiClient Endpoint Management Server (EMS) ซึ่งขณะนี้ได้มีการปล่อยแพตช์แก้ไขแล้ว เพื่อใช้ในการแพร่กระจายมัลแวร์ขโมยข้อมูลรับรองความถูกต้องที่เรียกว่า EKZ Infostealer โดยทีมงานด้านความปลอดภัย Arctic Wolf ได้เปิดเผยว่า แคมเปญนี้ถูกออกแบบมาเพื่อละเมิดโครงสร้างพื้นฐานในการจัดการอุปกรณ์ปลายทางที่น่าเชื่อถือ เพื่อเจาะเข้าสู่ระบบและส่งมอบมัลแวร์ไปยังอุปกรณ์ต่างๆ ที่อยู่ภายใต้การควบคุม

การโจมตีครั้งนี้เริ่มต้นจากการที่ผู้ไม่ประสงค์ดีอำพรางตัวตนของมัลแวร์ขโมยข้อมูลนี้ให้ดูเหมือนเป็นไฟล์หรือกระบวนการที่ปลอดภัย ก่อนที่จะใช้ประโยชน์จากช่องโหว่ดังกล่าวเพื่อเบียดเข้าสู่เซิร์ฟเวอร์ EMS โดยตรง ซึ่งช่องโหว่นี้ทำให้ผู้โจมตีสามารถส่งผ่านคำสั่งหรือติดตั้งโปรแกรมที่เป็นอันตรายไปยังคอมพิวเตอร์ของพนักงานในองค์กรได้โดยไม่ต้องเจอกับกำแพงป้องกันหรือการแจ้งเตือนใดๆ

เมื่อ EKZ Infostealer ถูกติดตั้งบนเครื่องของเหยื่อแล้ว โปรแกรมนี้จะทำงานเงียบๆ เพื่อรวบรวมข้อมูลสำคัญ เช่น รหัสผ่าน, คุกกี้เบราว์เซอร์, ข้อมูลการเข้าสู่ระบบต่างๆ และข้อมูลรับรองความถูกต้องอื่นๆ ที่เก็บไว้บนเครื่อง แล้วส่งกลับไปยังเซิร์ฟเวอร์ของผู้โจมตี ดังนั้น ผู้เชี่ยวชาญจึงเตือนให้ทีมไอทีขององค์กรต่างๆ รีบอัปเดตระบบ FortiClient EMS ของตนให้เป็นเวอร์ชันล่าสุดที่ได้รับการแก้ไขช่องโหว่แล้วอย่างเร่งด่วน เพื่อป้องกันความเสี่ยงที่จะถูกขโมยข้อมูลสำคัญ

คำศัพท์เทคนิคที่น่าสนใจ

• FortiClient EMS (Endpoint Management Server) – ระบบเซิร์ฟเวอร์สำหรับจัดการและติดตามโปรแกรม FortiClient บนอุปกรณ์ปลายทาง (เช่น คอมพิวเตอร์ของพนักงาน) ในองค์กรแบบรวมศูนย์
• Infostealer – ประเภทของมัลแวร์ที่ถูกออกแบบมาเพื่อลักลอบรวบรวมและส่งข้อมูลสำคัญของผู้ใช้ เช่น รหัสผ่านและข้อมูลรับรองความถูกต้องออกจากเครื่องคอมพิวเตอร์
• Credential – ข้อมูลรับรองความถูกต้อง ซึ่งหมายถึงชุดข้อมูลที่ใช้ในการยืนยันตัวตนเพื่อเข้าสู่ระบบ เช่น ชื่อผู้ใช้งาน รหัสผ่าน หรือคีย์ส่วนตัว
• Endpoint – อุปกรณ์ปลายทาง หมายถึงอุปกรณ์ที่เชื่อมต่อกับเครือข่าย เช่น คอมพิวเตอร์ สมาร์ทโฟน หรือแท็บเล็ต ที่ถือเป็นจุดเริ่มต้นหรือจุดสิ้นสุดของการสื่อสาร

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/threat-actors-exploit-critical.html