กลุ่มภัยคุกคามทางไซเบอร์กำลังใช้ประโยชน์จากช่องโปร่งด้านความปลอดภัยระดับวิกฤติบนระบบ FortiClient Endpoint Management Server (EMS) ซึ่งผู้ผลิตได้ออกแพตช์แก้ไขไปแล้ว เพื่อใช้ในการแพร่กระจายมัลแวร์ขโมยข้อมูลที่ถูกตั้งชื่อว่า EKZ Infostealer โดยการโจมตีครั้งนี้ถูกเปิดเผยโดยทีมนักวิจัยจาก Arctic Wolf ซึ่งระบุว่าผู้ไม่ประสงค์ดีได้ลอบใช้โครงสร้างพื้นฐานที่น่าเชื่อถือของระบบจัดการปลายทางในการส่งมัลแวร์เข้าไปยังอุปกรณ์ต่างๆ ในองค์กร

การโจมตีในครั้งนี้มีความซับซ้อนเนื่องจากผู้โจมตีได้อาศัยความน่าเชื่อถือของเครื่องมือ IT เพื่อหลอกล่อและทำให้กระบวนการติดตั้งมัลแวร์ดูเหมือนเป็นการอัปเดตซอฟต์แวร์ปกติ ทำให้หลีกเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัยได้ง่าย ซอฟต์แวร์ EKZ Infostealer นี้ถูกออกแบบมาเพื่อขโมยข้อมูลรับรองความถูกต้อง เช่น ชื่อผู้ใช้และรหัสผ่าน รวมถึงข้อมูลที่เกี่ยวข้องกับเบราว์เซอร์และแอปพลิเคชันอื่นๆ ซึ่งหากข้อมูลเหล่านี้รั่วไหล อาจนำไปสู่การโจมตีแบบ lateral movement หรือการเข้าถึงระบบสำคัญขององค์กรได้

เหตุการณ์ดังกล่าวเน้นย้ำถึงความสำคัญของการอัปเดตซอฟต์แวร์และระบบรักษาความปลอดภัยอย่างทันท่วงทีเมื่อผู้ผลิตมีการปล่อยแพตช์ออกมา หากองค์กรใดยังคงใช้งาน FortiClient EMS โดยไม่ได้ทำการอัปเกรด จะยังคงเสี่ยงต่อการถูกบุกรุกและติดตั้งมัลแวร์เพื่อขโมยข้อมูลที่สำคัญได้ นอกจากนี้ ยังแสดงให้เห็นถึงแนวโน้มของกลุ่มแฮกเกอร์ที่เปลี่ยนมาใช้ช่องโปร่งบนระบบจัดการโครงสร้างพื้นฐานเป็นจุดเริ่มต้นของการโจมตีมากขึ้น

คำศัพท์เทคนิคที่น่าสนใจ

• Endpoint Management Server (EMS) – ระบบเซิร์ฟเวอร์สำหรับจัดการอุปกรณ์ปลายทาง (เช่น คอมพิวเตอร์ โน้ตบุ๊ค) ภายในองค์กรแบบรวมศูนย์
• Credential Stealer / Infostealer – มัลแวร์ประเภทหนึ่งที่ถูกออกแบบมาเพื่อขโมยข้อมูลรับรองความถูกต้อง เช่น รหัสผ่าน คุกกี้ หรือโทเค็นต่างๆ บนอุปกรณ์
• Patch – การอัปเดตซอฟต์แวร์ที่ผู้พัฒนาสร้างขึ้นเพื่อแก้ไขช่องโปร่งด้านความปลอดภัยหรือบักต่างๆ
• Lateral Movement – เทคนิคที่ผู้โจมตีใช้ในการเคลื่อนย้ายตัวเองจากอุปกรณ์หนึ่งไปยังอุปกรณ์อื่นภายในเครือข่ายเดียวกัน เพื่อค้นหาและขโมยข้อมูลที่มีค่ามากขึ้น

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/threat-actors-exploit-critical.html