กลุ่มภัยคุกคามไซเบอร์ล่าสุดถูกค้นพบว่ากำลังใช้ประโยชน์จากช่องโหว่ระดับวิกฤต (ซึ่งปัจจุบันได้รับการปิดช่องโหว่ไปแล้ว) ในระบบ FortiClient Endpoint Management Server (EMS) เพื่อทำการแพร่กระจายมัลแวร์ขโมยข้อมูลรับรองความถูกต้องที่มีชื่อว่า EKZ Infostealer การโจมตีครั้งนี้ถือเป็นอันตรายอย่างยิ่งเนื่องจากผู้ไม่ประสงค์ดีใช้ประโยชน์จากโครงสร้างพื้นฐานการจัดการอุปกรณ์ปลายทางที่เชื่อถือได้ เพื่อลักลอบส่งมัลแวร์เข้าสู่เครื่องปลายทางที่อยู่ภายใต้การดูแลของระบบ

ทีมนักวิจัยด้านความปลอดภัยจาก Arctic Wolf ได้ออกมาเปิดเผยรายละเอียดของแคมเปญนี้ โดยระบุว่ากลุ่มผู้โจมตีได้อาศัยความน่าเชื่อถือของระบบ EMS ในการหลอกลวงและส่งมอบมัลแวร์ไปยังหลายอุปกรณ์พร้อมกัน ซึ่งทำให้การตรวจจับด้วยระบบรักษาความปลอดภัยแบบดั้งเดิมทำได้ยากยิ่งขึ้น

เพื่อหลบเลี่ยงการถูกตรวจจับ ผู้โจมตีได้ใช้เทคนิคการปลอมตัวของโปรแกรมขโมยข้อมูลรับรอง (Credential Stealer) ให้ดูเหมือนเป็นไฟล์หรือกระบวนการที่ปลอดภัย ก่อนที่จะทำงานเบื้องหลังเพื่อขโมยข้อมูลสำคัญ เช่น ชื่อผู้ใช้ รหัสผ่าน และข้อมูลเซสชันต่างๆ ของผู้ใช้งานในองค์กร ซึ่งหากข้อมูลเหล่านี้รั่วไหลไป อาจนำไปสู่การโจมตีแบบรุนแรงต่อเนื่อง เช่น การโจมตีแบบ Ransomware หรือการเคลื่อนไหวข้ามระบบ (Lateral Movement) ในเครือข่ายภายในได้

คำศัพท์เทคนิคที่น่าสนใจ

• FortiClient EMS (Endpoint Management Server) – ระบบเซิร์ฟเวอร์สำหรับจัดการและตรวจสอบอุปกรณ์ปลายทาง (เช่น คอมพิวเตอร์ สมาร์ทโฟน) ในองค์กรแบบรวมศูนย์
• Credential Stealer – มัลแวร์ประเภทหนึ่งที่ถูกออกแบบมาเพื่อขโมยข้อมูลรับรองความถูกต้อง เช่น รหัสผ่าน คุกกี้ หรือ Token ต่างๆ ของผู้ใช้งานโดยเฉพาะ
• Infostealer – ซอฟต์แวร์หรือมัลแวร์ที่ทำหน้าที่รวบรวมและขโมยข้อมูลที่ละเอียดอ่อนจากเครื่องคอมพิวเตอร์ของเหยื่อเพื่อนำไปขายหรือใช้ในทางที่ผิด
• Endpoint – อุปกรณ์ฮาร์ดแวร์หรือซอฟต์แวร์ที่ทำหน้าที่เป็นจุดเชื่อมต่อสุดท้ายเข้าสู่เครือข่าย เช่น คอมพิวเตอร์ตั้งโต๊ะ โน้ตบุ๊ก หรืออุปกรณ์มือถือ

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/threat-actors-exploit-critical.html