สรุปสั้น
ซอฟต์แวร์ DAEMON Tools Lite สำหรับ Windows ถูกโจมตีแบบ supply chain โดยตัวติดตั้งจากเว็บไซต์ทางการถูกฝังมัลแวร์ตั้งแต่วันที่ 8 เมษายน 2569 เวอร์ชันที่ถูกฝังมัลแวร์คือ 12.5.0.2421 ถึง 12.5.0.2434 ซึ่งมีลายเซ็นดิจิทัลถูกต้องจากผู้พัฒนา ทำให้ผู้ใช้ไม่มีทางสังเกตได้ Kaspersky รายงานว่าพบความพยายามติดมัลแวร์หลายพันครั้งใน 100 กว่าประเทศ ทั่วโลก แต่ backdoor ขั้นที่สอง ถูกส่งไปยังเป้าหมายเพียง 12 ระบบ ในหน่วยงานรัฐ วิทยาศาสตร์ การผลิต และค้าปลีก ในรัสเซีย เบลารุส และ ประเทศไทย หลักฐานชี้ว่าผู้โจมตีน่าจะเป็นกลุ่มที่พูดภาษาจีน แต่ยังไม่สามารถระบุตัวตนกลุ่มที่แน่ชัดได้ ผู้พัฒนา AVB Disc Soft ได้ออก DAEMON Tools Lite เวอร์ชัน 12.6 ที่ปลอดมัลแวร์แล้วเมื่อวันที่ 5 พฤษภาคม 2569
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 5 พฤษภาคม พ.ศ. 2569 ว่า Kaspersky ค้นพบการโจมตีแบบ supply chain ที่กระทบซอฟต์แวร์ DAEMON Tools Lite โดยตัวติดตั้งที่ดาวน์โหลดจากเว็บไซต์ทางการของ DAEMON Tools ถูกฝังมัลแวร์ตั้งแต่วันที่ 8 เมษายน 2569 ไฟล์ติดตั้งทั้งหมดยังคงมีลายเซ็นดิจิทัลที่ถูกต้องจากผู้พัฒนา ทำให้ซอฟต์แวร์ security ไม่สามารถตรวจจับได้ง่าย การโจมตีนี้กระทบเฉพาะเวอร์ชัน Lite บน Windows เท่านั้น ไม่กระทบ DAEMON Tools Pro, Ultra หรือเวอร์ชัน Mac ไฟล์ที่ถูกแก้ไขมี 3 ตัวคือ DTHelper.exe, DiscSoftBusServiceLite.exe และ DTShellHlp.exe ซึ่งจะทำงานทุกครั้งที่เปิดเครื่อง Kaspersky ระบุว่าพบความพยายามติดมัลแวร์หลายพันครั้งใน telemetry ของตน กระทบผู้ใช้ใน 100 กว่าประเทศ รวมถึงรัสเซีย บราซิล ตุรกี สเปน เยอรมนี ฝรั่งเศส อิตาลี และจีน อย่างไรก็ตาม backdoor ขั้นที่สองถูกส่งไปยังเป้าหมายเพียง 12 ระบบ ซึ่งเป็นหน่วยงานด้านค้าปลีก วิทยาศาสตร์ รัฐบาล และการผลิตในรัสเซีย เบลารุส และประเทศไทย การโจมตีนี้ถือเป็นเหตุการณ์ล่าสุดในรายการ supply chain attack ที่เพิ่มขึ้นอย่างต่อเนื่องในครึ่งแรกของปี 2569 หลังจากเหตุการณ์ eScan ในเดือนมกราคม Notepad++ ในเดือนกุมภาพันธ์ และ CPUID ในเดือนเมษายน
วิธีการโจมตี
ผู้โจมตีฝังมัลแวร์ลงใน 3 คอมโพเนนต์ของ DAEMON Tools Lite ที่ทำงานอัตโนมัติเมื่อเปิดเครื่อง เมื่อมัลแวร์ทำงาน จะส่ง HTTP GET request ไปยังเซิร์ฟเวอร์ภายนอก (env-check.daemontools[.]cc) ซึ่งเป็นโดเมนที่จดทะเบียนเมื่อ 27 มีนาคม 2569 เพื่อรับคำสั่ง shell command
การโจมตีแบ่งเป็น 3 ขั้นตอน:
- ขั้นที่ 1: มัลแวร์ envchk.exe เก็บข้อมูลระบบ เช่น hostname, MAC address, process ที่ทำงาน และซอฟต์แวร์ที่ติดตั้ง
- ขั้นที่ 2: backdoor ขนาดเล็ก (cdg.exe + cdg.tmp) สามารถรันคำสั่ง ดาวน์โหลดไฟล์ และรัน shellcode ใน memory ได้
- ขั้นที่ 3: payload เพิ่มเติมคือ QUIC RAT ซึ่งเป็น RAT ที่เขียนด้วย C++ รองรับโปรโตคอล C2 หลากหลาย ทั้ง HTTP, UDP, TCP, WSS, QUIC, DNS และ HTTP/3 พร้อมฟีเจอร์ inject payload เข้า process notepad.exe และ conhost.exe
ผลกระทบต่อไทย
ประเทศไทยเป็นหนึ่งใน 3 ประเทศที่ถูกฝัง backdoor ขั้นที่สองโดยตรง ร่วมกับรัสเซียและเบลารุส โดยเป้าหมายในไทยเป็นหน่วยงานด้านค้าปลีก วิทยาศาสตร์ รัฐบาล หรือการผลิต การที่ตัวติดตั้งมีลายเซ็นดิจิทัลถูกต้องทำให้ผู้ใช้และระบบความปลอดภัยเชื่อถือไฟล์ได้ยาก — ต้องตรวจ hash/เวอร์ชันจากช่องทางทางการเท่านั้น
คำแนะนำ
- อัปเดต DAEMON Tools Lite เป็นเวอร์ชัน 12.6 ขึ้นไปจากเว็บไซต์ทางการ
- สแกนหา cdg.exe, QUIC RAT และ persistence หากติดตั้งช่วง 8 เม.ย. – พ.ค. 2569
- แจ้งทีม SOC หากพบ backdoor ขั้นที่สองในองค์กรค้าปลีก/รัฐ/การผลิต
