TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ทีม Counter Adversary Operations ของ CrowdStrike ร่วมมือกับ Google และ Shadowserver Foundation ทลาย Botnet ชื่อ Glassworm ที่มุ่งโจมตีนักพัฒนาซอฟต์แวร์ผ่าน Open-source Supply Chain สำเร็จ โดยตัดการเชื่อมต่อ Command-and-Control (C2) ทั้ง 4 ช่องทางพร้อมกัน
Glassworm ดำเนินการมาตั้งแต่ต้นปี 2025 โดยมุ่งเป้าไปที่นักพัฒนาซอฟต์แวร์ซึ่งเป็นกลุ่มที่มีสิทธิ์เข้าถึง Source Code Repository, Cloud Platform, CI/CD Pipeline และ Package Registry ทำให้การโจมตีนักพัฒนาเพียงคนเดียวอาจลุกลามเป็น Supply Chain Attack ที่กระทบองค์กรปลายทางนับพันราย กลุ่มผู้โจมตีใช้หลายวิธี ตั้งแต่การเผยแพร่ VSCode Extension ที่ฝัง Malware บน OpenVSX Marketplace ซึ่งส่งผลกระทบต่อทั้ง VSCode, Cursor, Positron และ Windsurf ไปจนถึงการแทรก Malicious Code ผ่าน postinstall hook ใน npm และ Python Package นอกจากนี้ยังใช้ Credential ของนักพัฒนาที่ถูกขโมยมาก่อนหน้าเพื่อ Force Push โค้ดอันตรายเข้าสู่ GitHub Repository กว่า 300 แห่ง โดยปฏิบัติการนี้รองรับทั้ง Windows, macOS และ Linux พร้อมความสามารถในการขโมยข้อมูล เก็บ Credential และควบคุมเครื่องจากระยะไกลผ่าน Remote Access Tool ชื่อ GlasswormRAT
สิ่งที่ทำให้ Glassworm ทลายได้ยากคือโครงสร้าง C2 ที่ออกแบบมาเพื่อรองรับการ Takedown ประกอบด้วย 4 ช่องทาง ได้แก่ การเข้ารหัสที่อยู่ C2 Server ลงใน Memo Field ของ Transaction บน Solana Blockchain, การใช้ BitTorrent DHT สำหรับดึงข้อมูล Configuration, การซ่อนเส้นทาง C2 แบบ Base64 ไว้ใน Title ของ Google Calendar Event และการเชื่อมต่อ C2 Server โดยตรงผ่าน VPS การผสมผสาน Blockchain, P2P และบริการ Web ที่ถูกต้องตามกฎหมายเข้าด้วยกัน ทำให้การ Takedown เพียงช่องทางเดียวไม่เพียงพอ ทีม CrowdStrike Counter Adversary Operations จึงประสานงานกับ Google และ Shadowserver Foundation เพื่อตัดทุกช่องทางพร้อมกันเมื่อวันที่ 26 พฤษภาคม 2026 ส่งผลให้เครื่องที่ติด Malware ไม่สามารถรับคำสั่งหรือ Payload ใหม่ได้อีก ทั้งนี้ CrowdStrike ระบุว่ากลุ่มผู้โจมตีน่าจะมาจากรัสเซีย จากหลักฐานที่ Malware จะหยุดทำงานเมื่อตรวจพบว่าเครื่องอยู่ในกลุ่มประเทศ CIS ประกอบกับ Comment ภาษารัสเซียที่พบตลอดทั้ง Source Code
สำหรับองค์กรที่ต้องการตรวจสอบว่าได้รับผลกระทบหรือไม่ เครื่องที่ติด Glassworm ทุกเครื่องจะส่ง Beacon ไปยัง IP Address 164.92.88[.]210 ซึ่งปัจจุบันอยู่ภายใต้การควบคุมของ CrowdStrike แล้ว ผู้ดูแลระบบควรตรวจสอบ Network Log และ Endpoint Telemetry สำหรับการเชื่อมต่อไปยัง IP ดังกล่าว นอกจากนี้ CrowdStrike ยังเผยแพร่ YARA Rule สำหรับตรวจจับ GlasswormRAT และ Glassworm Downloader อีกด้วย CrowdStrike ย้ำว่าการป้องกัน Supply Chain Attack ด้วยการตรวจจับหลังเกิดเหตุเพียงอย่างเดียวแทบเป็นไปไม่ได้ เนื่องจาก Malicious Package สามารถเข้าถึงเหยื่อได้ภายในไม่กี่นาที จึงจำเป็นต้องมีปฏิบัติการเชิงรุกเพื่อทลายโครงสร้างพื้นฐานของภัยคุกคามควบคู่กับการป้องกันเชิงรับ
ที่มา: https://www.crowdstrike.com/en-us/blog/inside-crowdstrike-takedown-of-a-developer-targeting-botnet/
