ພົບ​ເຫັນກຸ່ມ​ Qilin Ransomware ໄດ້​ໃຊ້​ Linux encryptors ໃນ​ Windows ໂດຍ​ໃຊ້​ Windows Subsystem for Linux (WSL) ເພື່ອ​ຫຼົບ​ລ້ຽງ​ການ​ກວດ​ຈັບ​ຈາກ​ເຄື່ອງ​ມື​ຮັກສາ​ຄວາມ​ປອດ​ໄພ​ແບບ​ເກົ່າ​.

Qilin Ransomware ເປີດ​ຕົວ​ຄັ້ງທໍາອິດ​ໃນ ​ຊື່​ "Agenda" ໃນ​ເດືອນ​ ສິງ​ຫາ​ 2022 ແລະ ​ປ່ຽນ​ຊື່​ເປັນ​ Qilin ໃນ​ເດືອນ ​ກັນຍາ​ 2022 ແລະ ຍັງ​ດຳ​ເນີນ​ການ​ພາຍໃຕ້​ຊື່​ເກົ່າ​ຈົນ​ເຖິງ​ປັດຈຸບັນ​.

Qilin ໄດ້ເປັນ​ໜຶ່ງ​ໃນ​ກຸ່ມ​ Ransomware ທີ່​ມີ​ການ​ເຄື່ອນ​ໄຫວຫຼາຍ​ທີ່ສຸດ​ ໂດຍ​ງານ​ວິໄຈ​ໃໝ່​ຈາກ​ Trend Micro ແລະ​ Cisco Talos ລະ​ບຸ​ວ່າກ​ຸ່ມ​ອາຊະຍາກໍາ​ໄຊ​ເບີ​ນີ້​ ໄດ້​ໂຈມ​ຕີ​ເຫຍື່ອ​ແລ້ວຫຼາຍກວ່າ​ 700 ລາຍ​ ໃນ​ 62 ປະເທດ​ ໃນ​ປີ​ 2025.

ທັງ​ Trend Micro ແລະ​ Cisco Talos ລະ​ບຸ​ວ່າ​ Qilin Ransomware ກາຍ​ເປັນ​ໜຶ່ງ​ກຸ່ມ​ Ransomware ທີ່​ລະ​ບາດ​ໜັກ​ທີ່ສຸດ​ທົ່ວ​ໂລກ​ ໂດຍ​ມີ​ເຫຍື່ອລາຍ​ໃໝ່​ຫຼາຍກວ່າ​ 40 ລາຍ​ຕໍ່​ເດືອນ​ ໃນ​ຊ່ວງ​ເຄິ່ງ​ຫຼັງ​ຂອງ ​ປີ​ 2025.

ບໍລິສັດ​ຮັກສາ​ຄວາມ​ປອດໄພ​ໄຊ​ເບີ​ທັງ​ສອງ​ລາຍ​ ໄດ້​ລາຍ​ງານ​ວ່າກ​ຸ່ມ​ Hacker ໃນ​ເຄືອ​ Qilin Ransomware ໄດ້​ໃຊ້​ legitimate programs ແລະ​ remote management tools ປະສົມ​ປະສານ​ກັນ​ເພື່ອ​ໂຈມ​ຕີ​ເຄືອ​ຂ່າຍ​ ແລະ ​ລັກ​ຂໍ້​ມູນ​ credentials ຊຶ່ງ​ລວມ​ເຖິງ​ແອັບ​ພິ​ເຄ​ຊັ່ນ​ ເປັນຕົ້ນ​ AnyDesk, ScreenConnect ແລະ​ Splashtop ສຳລັບ​ການ​ເຂົ້າ​ເຖິງ​ຈາກໄລຍະ​ໄກ​ ແລະ​ Cyberduck ແລະ​ WinRAR ສຳລັບ​ການ​ລັກ​ຂໍ້​ມູນ​.

ກຸ່ມ​ Hacker ຍັງ​ໃຊ້​ Windows utilities ທົ່ວ​ໄປ​ ເຊັ່ນ:​ Microsoft Paint (mspaint.exe) ແລະ​ Notepad (notepad.exe) ເພື່ອ​ກວດ​ສອບ​ເອກະສານ​ເພື່ອ​ຫາ​ຂໍ້​ມູນ​ສຳຄັນ ​ກ່ອນທີ່ຈະ​ລັກ​ຂໍ້​ມູນ​ເຫຼົ່າ​ນັ້ນ​.

ການ​ Disable ການ​ເຮັດ​ວຽກງານ​ຂອງ​ security tools ໂດຍ​ໃຊ້​ vulnerable drivers

ບໍລິສັດ​ຮັກສາ​ຄວາມ​ປອດໄ​ພໄຊ​ເບີ​​ທັງ​ສອງລາຍ​ ພົບ​ວ່າກ​ຸ່ມ​ Hacker ໃນ​ເຄືອ​ Qilin Ransomware ​ໂຈມ​ຕີ​ແບບ​ Bring Your Own Vulnerable Driver (BYOVD) ເພື່ອ​ Disable ການ​ເຮັດ​ວຽກງານ​ຂອງ​ security tools ກ່ອນ​ເປີດ​ໃຊ້​ງານ​ໂປຣ​ແກຣມ​ເຂົ້າ​ລະ​ຫັດ​.

ກຸ່ມ​ Hacker ໄດ້​ຕິດ​ຕັ້ງ​ໄດ​​ເວີ​ (Driver) ​ທີ່​ມີ​ຊ່ອງ​ໂຫວ່​ ເຊັ່ນ:​ eskle.sys ເພື່ອ​ terminate ຂະ​ບວນ​ການ​ປ້ອງ​ກັນ​ຂອງ​ EDR ແລະ​ ໃຊ້​ DLL sideloading ເພື່ອ​ drop kernel drivers ເພີ່ມເຕີມ​ (rwdrv.sys ແລະ​ hlpdrv.sys) ທີ່​ໃຫ້​ສິດ​ລະ​ດັບ​ kernel-level privileges.

Cisco Talos ສັງເກດ​ເຫັນ​ Hacker ໄດ້​ໃຊ້​ຄຳ​ສັ່ງ​ທີ່​ຣັນ (Run)​ 'uninstall.exe' ຂອງ​ EDR ໂດຍ​ກົງ​ ຫຼື ​ພະຍາຍາມ​ຢຸດ​ການ​ເຮັດ​ວຽກ​ໂດຍ​ໃຊ້​ sc command ຫຼາຍ​ເທື່ອ​ ລວມ​ເຖິງ​ໃຊ້​ເຄື່ອງ​ມື​ ເຊັ່ນ:​ "dark-kill" ແລະ​  "HRSword" ເພື່ອ​ປິດ​ການ​ເຮັດ​ວຽກ​ຂອງ​ security software ແລະ​ ລຶບ​ຮ່ອງ​ຮອຍ​ຂອງ​ການ​ດຳ​ເນີນ​ການ​ທີ່​ເປັນ​ອັນຕະລາຍ​.

ການ​ໃຊ້​ Linux encryptor ຜ່ານ​ WSL

ໃນ​ເດືອນ​ ທັນວາ​ 2023 BleepingComputer ໄດ້​ລາຍ​ງານ​ກ່ຽວກັບ​ Qilin Linux encryptor ໂຕ​ໃໝ່​ ຊຶ່ງ​ມີເປົ້າ​ໃນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ເຄື່ອງ​ VMware ESXi virtual machines ແລະ​ servers ເປັນ​ຫຼັກ​.

command-line arguments ຂອງ​ໂປຣ​ແກຣມ​ encryptor ນີ້​ມີ​ຕົວ​ເລືອກ​ສຳລັບ​ເປີດ​ໃຊ້​ງານ​ debug mode, ທົດສອບ​ໃຊ້​ໂດຍ​ບໍ່​ຕ້ອງ​ເຂົ້າລະ​ຫັດ​ຟາຍ​​ ຫຼື​ customize ວິທີ​ການ​ເຂົ້າ​ລະຫັດ​ເຄື່ອງ​ virtual machines ແລະ​ snapshots.

ນັກ​ວິ​ໄຈ​ຈາກ​ Trend Micro ລາຍ​ງານ​ວ່າກ​ຸ່ມ​ Hacker ໃຊ້​ WinSCP ເພື່ອ​ຖ່າຍ​ໂອນ​ Linux ELF encryptor ໄປຫາອຸປະກອນ​ທີ່​ຖືກ​ໂຈມ​ຕີ​ ຈາກ​ນັ້ນ​ຈຶ່ງ​ເປີດ​ໃຊ້​ງານ​ຜ່ານ​ Splashtop remote management software (SRManager.exe) ໂດຍ​ກົງ​ ພາຍ​ໃນ​ Windows.

ເຖິງແມ່ນວ່າ​ໃນ​ຕອນ​ທໍາອິດ​ Trend Micro ຈະ​ລາຍ​ງານ​ວ່າ​ໂປຣ​ແກຣມ​ encryptor ນີ້​ສາມາດ​ໃຊ້​ງານ​ໄດ້​ຂ້າມ​ແພັດ​ຟອມ​ (cross-platform) ແຕ່​ Linux encryptors ຂອງ​ Qilin ເປັນ​ ELF executables ຊຶ່ງ​ໝາຍ​ຄວາມ​ວ່າ​ໂປຣ​ແກຣມ​ເຫຼົ່າ​ນີ້​ບໍ່​ສາມາດ​ເຮັດວຽກ​ເທິງ​ Windows ແບບ​ native ​ໄດ້​ ແລະ ​ຈຳ​ເປັນ​ຕ້ອງ​ໃຊ້​ສະພາບ​ແວດ​ລ້ອມ​ແບບ​ runtime ເຊັ່ນ​: Windows Subsystem for Linux (WSL) ໃນ​ການ​ execute ໂປຣ​ແກຣມ​ເພື່ອ​ເຂົ້າລະ​ຫັດ​.

Windows Subsystem for Linux (WSL) ເປັນຄຸນສົມບັດ Windows ທີ່​ຊ່ວຍ​ໃຫ້​ຕິດ​ຕັ້ງ​ ແລະ ​ຣັນ​ Linux distributions ໄດ້​ໂດຍ​ກົງ​ພາຍ​ໃນ​ Windows ເມື່ອ​ຕິດ​ຕັ້ງ​ແລ້ວ​ ຈະສາມາດ​ເປີດ​ໃຊ້​ຄຳ​ສັ່ງ​ shell ເປັນ​ຄ່າ​ເລີ່ມ​ຕົ້ນ​ ຫຼື ​ໃຊ້​ຄຳ​ສັ່ງ​ wsl.exe -e ເພື່ອ​ຣັນ​ໂປຣ​ແກຣມ​ Linux ພາຍ​ໃນ​ Windows command prompt.

Trend Micro ໃຫ້​ຂໍ້​ມູນ​ກັບ​ BleepingComputer ວ່າ​ ເມື່ອ​ Hacker ສາມາດ​ເຂົ້າ​ເຖິງ​ອຸປະກອນ​ໄດ້​ ພວກເຂົາ​ຈະ​ເປີດ​ໃຊ້​ງານ​ ຫຼື ​ຕິດ​ຕັ້ງ​ Windows Subsystem ສຳລັບ​ Linux ແລ້ວ​ໃຊ້​ລະບົບ​ນັ້ນ​ເພື່ອ​ເອີ້ນ​ໃຊ້​ encryptor ຈຶ່ງ​ເປັນ​ການ​ຫຼີກ​ລ້ຽງ​ຊອບ​ແວ​ຮັຄວາມ​ປອດ​ໄພ​ Windows ແບບ​ເກົ່າ.

ຫຼັງ​ຈາກ​ Hacker ເຂົ້າ​ເຖິງ​ລະບົບ​ໄດ້​ແລ້ວ​ ຈະ​ເປີດ​ໃຊ້​ງານ​ ຫຼື ​ຕິດ​ຕັ້ງ​ WSL ໂດຍ​ໃຊ້​ scripts ຫຼື່ ​ command-line tools ຈາກ​ນັ້ນ​ຈຶ່ງ​ນຳ​ Linux ransomware payload ມາ​ໃຊ້​ງານ​ພາຍ​ໃນ​ສະພາບ​ແວດ​ລ້ອມ​ຂອງ​ເປົ້າ​ໝາຍ​ ຊຶ່ງ​ເຮັດໃຫ້​ Hacker ສາມາດ​ເອີ້ນ​ໃຊ້​ໂປຣ​ແກຣມ​ encryptor ເທິງ​ Linux ໄດ້​ໂດຍ​ກົງ​ເທິງ​ໂຮສ​ Windows ຂະນະ​ດຽວ​ກັນ​ກໍ່​ຫຼີກ​ລ້ຽງ​ການ​ປ້ອງ​ກັນ​​ຫຼາຍຢ່າງ​ທີ່​​ເນັ້ນ​ໄປ​ທີ່​ການ​ກວດ​ຈັບ​ມັນ​ແວ​ (Malware) ​ໃນ​ Windows ແບບ​ດັ້ງ​ເກົ່າ.​

Trend Micro ລະ​ບຸ​ວ່າ​ ເຕັກ​ນິກ​ການ​ໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ນີ້​ສະແດງ​ໃຫ້​ເຫັນ​ວ່າກ​ຸ່ມ​ Ransomware ກຳ​ລັງ​ປັບ​ຕົວ​ເຂົ້າ​ກັບ​ສະພາບ​ແວດ​ລ້ອມ​ແບບ​ໄຮ​ບ​ຣິດ​ (Hybrid) ຂອງ​ Windows ແລະ​ Linux ໄດ້​ແບບໃດ​ ເພື່ອ​ເພີ່ມ​ໂອ​ກາດ​ໃນ​ການ​ການ​ເຂົ້າ​ເຖິງ​ລະບົບ​ ແລະ ​ຫຼົບ​ລ້ຽງ​ການ​ປ້ອງ​ກັນ​ແບບ​ດັ້ງເກົ່າ.​

ເອກະສານອ້າງອີງ:

1. https://www.bleepingcomputer.com/news/security/qilin-ransomware-abuses-wsl-to-run-linux-encryptors-in-windows/
2. https://www.i-secure.co.th/2025/11/qilin-ransomware-%e0%b9%83%e0%b8%8a%e0%b9%89-wsl-%e0%b9%80%e0%b8%9e%e0%b8%b7%e0%b9%88%e0%b8%ad%e0%b8%a3%e0%b8%b1%e0%b8%99-linux-encryptors-%e0%b9%83%e0%b8%99-windows/