ผู้โจมตียึดเว็บไซต์ Ghost CMS 700 แห่งเพื่อใช้ในการโจมตี ClickFix

การโจมตีแฮ็กครั้งใหญ่ที่ใช้ประโยชน์จากช่องโหว่ร้ายแรงของ Ghost CMS (CVE-2026-26980) ทำให้เว็บไซต์มากกว่า 700 แห่งติดมัลแวร์และตกอยู่ในความเสี่ยงจากการโจมตี "ClickFix" ที่ล่อลวงให้ทำการยืนยันความปลอดภัยปลอม

แปลฉบับเต็ม

ขณะนี้ผู้โจมตีกำลังฉีดโค้ด JavaScript อันตรายเพื่อใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยร้ายแรงของ Ghost CMS ที่เพิ่งถูกเปิดเผย โดยมีเป้าหมายเพื่อดำเนินการโจมตี ClickFix ที่หลอกให้ผู้ใช้ทำการยืนยันความปลอดภัยปลอม

ตามข้อมูลจาก QiAnXin XLab การโจมตีครั้งนี้ใช้ประโยชน์จาก CVE-2026-26980 (คะแนน CVSS: 9.4) ซึ่งเป็นช่องโหว่ SQL injection ที่พบใน Content API ของ Ghost ช่องโหว่นี้ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถอ่านข้อมูลใดก็ได้จากฐานข้อมูล ข้อบกพร่องด้านความปลอดภัยดังกล่าวได้รับการแพตช์แล้วในเวอร์ชัน 6.19.1 ที่ออกในเดือนกุมภาพันธ์ 2026 และตัวช่องโหว่นี้ถูกค้นพบโดย Anthropic ด้วยการใช้ Claude AI ของตนเอง

สิ่งที่ทำให้ช่องโหว่นี้อันตรายเป็นพิเศษคือ ผู้โจมตีสามารถขโมย Admin API key ของเว็บไซต์ได้โดยไม่ต้องมีสิทธิ์ใด ๆ เมื่อได้ Admin API key มาแล้ว ผู้โจมตีจะมีสิทธิ์แก้ไขบทความที่เผยแพร่บน Ghost CMS ได้โดยตรง ทำให้สามารถทำสิ่งที่เรียกว่า "content poisoning" หรือการฉีดโค้ดอันตรายเข้าเว็บไซต์โดยไม่ได้รับอนุญาต

ทาง XLab ระบุว่า "ผู้โจมตีใช้ข้อบกพร่องด้านความปลอดภัยนี้เป็นคันโยกเพื่อเข้าถึง Admin API key ของเว็บไซต์เป้าหมายโดยไม่ได้รับอนุญาต ก่อนจะใช้ Ghost Admin API เพื่อดัดแปลงบทความจำนวนมาก" และ "พวกเขาฉีดตัวโหลด JavaScript อันตรายไว้ที่ส่วนล่างของหน้าเพื่อช่วยดำเนินการโจมตีด้วย CAPTCHA ปลอม"

XLab บริษัทด้านความปลอดภัยจากจีน ระบุว่ากิจกรรมนี้เป็นแคมเปญ "การปนเปื้อนในวงกว้าง" ที่นำช่องโหว่ของ Ghost CMS มาใช้เป็นอาวุธ โดยคาดว่ามีกลุ่มภัยคุกคามอย่างน้อย 2 กลุ่มที่อยู่เบื้องหลังแคมเปญนี้ และในบางเว็บไซต์มีการฝังโค้ดอันตรายภายในเวลาเพียง 1 วันหลังจากช่องโหว่ถูกเปิดเผย การโจมตีนี้ถูกตรวจพบครั้งแรกเมื่อวันที่ 7 พฤษภาคม 2026

จนถึงขณะนี้ มีเว็บไซต์มากกว่า 700 แห่งที่ได้รับผลกระทบจากแคมเปญนี้ ครอบคลุมตั้งแต่มหาวิทยาลัย บล็อกเชน ปัญญาประดิษฐ์ (AI) ซอฟต์แวร์แบบบริการ (SaaS) งานวิจัยด้านความปลอดภัย สื่อ และฟินเทค {b:100} XLab เตือนว่า เนื่องจากเว็บไซต์ที่ถูกแฮ็กเป็นเว็บไซต์ที่ถูกต้องและน่าเชื่อถืออยู่แล้ว โอกาสที่ผู้ใช้จะหลงเชื่อจึงสูงขึ้น และอาจทำให้อัตราความสำเร็จของการโจมตี ClickFix เพิ่มขึ้นอีก

โค้ด JavaScript ที่ถูกฉีดไว้ท้ายบทความทำหน้าที่เป็นตัวโหลดขั้นที่สอง โดยจะดึง payload หลักมาจากโดเมนภายนอก ("clo4shara[.]xyz/11z77u3.php") ทันทีที่ผู้ใช้เปิดหน้าเว็บและโค้ดเริ่มทำงาน โครงสร้างแบบนี้ให้ความยืดหยุ่นสูงแก่ผู้โจมตี เพราะพวกเขาสามารถคงตัวโหลดเดิมไว้ในหลายเว็บไซต์ที่ติดเชื้อ และเปลี่ยนเฉพาะ payload หลักได้ทุกเมื่อ ตามเกณฑ์ที่ตนกำหนด

XLab กล่าวว่า "หากเข้าถึงที่อยู่ดังกล่าว (clo4shara[.]xyz/11z77u3.php) โดยตรง จะพบโค้ดที่ประกอบด้วยสคริปต์กระจายทราฟฟิกในรูปแบบทั่วไป" และ "ฟังก์ชันหลักของสคริปต์นี้คือรวบรวม fingerprint ของเบราว์เซอร์ผู้ใช้ในหลายด้าน ส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ และดำเนินพฤติกรรมอันตราย เช่น การรีไดเร็กต์ การแสดงป๊อปอัป และการดาวน์โหลด ตามคำสั่งที่ได้รับจากเซิร์ฟเวอร์" สคริปต์ PHP นี้ทำงานบนพื้นฐานของ Adspect ซึ่งเป็นบริการ cloaking เชิงพาณิชย์

เหตุผลที่ใช้สคริปต์ cloaking แบบนี้คือเพื่อแสดงเฉพาะหน้าเว็บปกติให้กับอุปกรณ์ตรวจจับด้านความปลอดภัยหรือ crawler เห็น ขณะที่ส่ง payload อันตรายให้เฉพาะผู้ใช้ทั่วไปที่เป็นเป้าหมายจริงเท่านั้น นอกจากนี้ สคริปต์ดังกล่าวยังรองรับคำสั่งได้ 19 แบบสำหรับรันโค้ด JavaScript ตามต้องการและควบคุมเบราว์เซอร์ของเหยื่อจากระยะไกล

สำหรับผู้เข้าชมที่ถูกระบุว่าเป็นเป้าหมาย จะมีหน้า CAPTCHA ปลอมแสดงขึ้นผ่านองค์ประกอบ iframe HTML เพื่อหลอกให้พิสูจน์ว่าตน "ไม่ใช่หุ่นยนต์" จากนั้นการโจมตี ClickFix จะเริ่มต้นอย่างจริงจัง โดยหน้าจอจะชักจูงให้ผู้ใช้คัดลอกคำสั่งที่เข้ารหัสด้วย Base64 ไปวางในหน้าต่าง Run ของ Windows ตามคำแนะนำบนจอ

เมื่อผู้ใช้รันคำสั่งดังกล่าว จะมี dropper ทำงานเพื่อดาวน์โหลดไฟล์ ZIP จากนั้นแตกไฟล์และเรียกใช้สคริปต์ Windows batch ที่อยู่ภายใน สคริปต์ batch นี้จะไปรันคำสั่ง PowerShell เพื่อดาวน์โหลดไฟล์ DLL จากโดเมนระยะไกล แล้วจึงเรียกใช้งานผ่าน "rundll32.exe" พร้อมกันนั้นก็จะเปิดหน้าเว็บปลอมเพื่อเบี่ยงเบนความสนใจและลดความสงสัยของผู้ใช้

ในมัลแวร์สายพันธุ์ย่อยที่พบภายหลัง มีการใช้ JavaScript payload แทนไฟล์ DLL ด้วยเช่นกัน อย่างไรก็ตาม ไม่ว่า payload จะอยู่ในรูปแบบใด เป้าหมายสุดท้ายของการโจมตีนี้คือการติดตั้งไฟล์ปฏิบัติการ Windows (EXE) ลงในเครื่องของผู้ใช้ สำหรับเวอร์ชัน DLL นั้น ไฟล์ปฏิบัติการที่ติดตั้งคือโปรแกรมไคลเอนต์ PuTTY ซึ่งมีใบรับรอง code signing ที่ถูกต้อง ส่วนไบนารีที่แพร่กระจายผ่าน JavaScript ถูกจัดมาในรูปแบบตัวติดตั้ง Inno Setup สำหรับแอปพลิเคชัน Electron

แอปพลิเคชันที่ถูกติดตั้งนี้เป็นเวอร์ชันดัดแปลงของโอเพนซอร์ส Grape desktop client โดยมันจะฝังตัวอยู่ในระบบอย่างต่อเนื่อง ส่งสัญญาณไปยังเซิร์ฟเวอร์ระยะไกล ("web-telegram[.]ug") ทุก ๆ 30 วินาทีเพื่อตรวจสอบคำสั่งจากผู้โจมตี และทำหน้าที่รันโค้ด JavaScript หรือไฟล์ปฏิบัติการตามคำสั่ง

ผู้ใช้ Ghost CMS ควรอัปเกรดอินสแตนซ์ของตนไปยังเวอร์ชันล่าสุดทันทีเพื่อป้องกันความเสียหาย พร้อมรีเซ็ตรหัสผ่านและ API key ทั้งหมด นอกจากนี้ควรทำความสะอาดภายในเว็บไซต์ ตรวจสอบ access log อย่างละเอียดเพื่อหาสัญญาณของกิจกรรมที่น่าสงสัย และแนะนำให้แจ้งเตือนผู้ใช้ที่อาจเคยเข้าชมเว็บไซต์ในช่วงที่มีการปนเปื้อนให้รับทราบถึงความเสี่ยงจากการถูกแฮ็กและเพิ่มความระมัดระวัง