กลุ่มผู้โจมตีซับซ้อนกำลังใช้ประโยชน์จากช่องโหว่ระดับวิกฤตในระบบ FortiClient Endpoint Management Server (EMS) ซึ่งผู้ผลิตได้ปล่อยแพตช์แก้ไขไปแล้ว เพื่อทำการแพร่กระจายมัลแวร์ขโมยข้อมูลรับรอง (Credential Stealer) ที่มีชื่อว่า EKZ Infostealer โดยกลุ่ม Arctic Wolf ได้เปิดเผยรายละเอียดของแคมเปญนี้ว่า ผู้โจมตีได้ลอบใช้โครงสร้างพื้นฐานของระบบจัดการจุดสิ้นสุด (Endpoint Management) ที่น่าเชื่อถือเพื่อเป็นช่องทางในการส่งมัลแวร์เข้าไปยังอุปกรณ์ต่างๆ ในเครือข่ายที่อยู่ภายใต้การดูแล

รายงานระบุเพิ่มเติมว่า ผู้โจมตีได้ใช้วิธีการปลอมตัวมัลแวร์ตัวนี้ให้ดูเหมือนเป็นไฟล์หรือโปรเซสที่ปลอดภัย เพื่อหลีกเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัยและผู้ดูแลระบบ การนำโครงสร้างพื้นฐานที่น่าไว้วางใจอย่าง FortiClient EMS มาใช้เป็นอาวุธ ทำให้การโจมตีครั้งนี้มีความรุนแรงและยากต่อการสังเกตเห็นในระยะเริ่มต้น เนื่องจากการเคลื่อนไหวของมัลแวร์จะถูกมองว่าเป็นการทำงานปกติของระบบ

เหตุการณ์นี้เน้นย้ำถึงความสำคัญของการอัปเดตระบบและติดตั้งแพตช์ความปลอดภัยอย่างทันท่วงที โดยเฉพาะอย่างยิ่งสำหรับโซลูชันด้านความปลอดภัยและการจัดการระบบที่มีสิทธิ์เข้าถึงระดับสูง เมื่อผู้ไม่ประสงค์ดีสามารถควบคุมระบบเหล่านี้ได้ พวกเขาจะสามารถแพร่กระจายมัลแวร์ไปยังคอมพิวเตอร์ปลายทาง (Endpoints) จำนวนมากได้อย่างรวดเร็ว ทำให้ข้อมูลสำคัญ เช่น รหัสผ่านและข้อมูลการเข้าสู่ระบบตกอยู่ในความเสี่ยงสูง

คำศัพท์เทคนิคที่น่าสนใจ

• Endpoint Management Server (EMS) – เซิร์ฟเวอร์สำหรับจัดการและควบคุมอุปกรณ์ปลายทาง (เช่น คอมพิวเตอร์ มือถือ) ในองค์กรจากศูนย์กลาง
• Credential Stealer – มัลแวร์ที่ถูกออกแบบมาเพื่อขโมยข้อมูลรับรองความถูกต้อง เช่น รหัสผ่าน คุกกี้ หรือข้อมูลเซสชันการเข้าสู่ระบบ
• Infostealer – ประเภทของมัลแวร์ที่มีวัตถุประสงค์หลักในการรวบรวมและขโมยข้อมูลที่เป็นความลับออกจากเครื่องผู้ใช้งาน
• Patch – โค้ดหรือการอัปเดตซอฟต์แวร์ที่ผู้พัฒนาจัดทำขึ้นเพื่อแก้ไขช่องโหว่ด้านความปลอดภัย

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/threat-actors-exploit-critical.html