สรุปสั้น

นักวิจัยด้านความปลอดภัยเปิดเผยแคมเปญที่ใช้ประโยชน์จากโปรแกรมเล่นสื่อยอดนิยมอย่าง VLC media player เพื่อลอบติดตั้ง ValleyRAT ซึ่งเป็นโทรจันรีโมต (remote access trojan) ที่ให้ผู้โจมตีควบคุมคอมพิวเตอร์ที่ติดมัลแวร์ได้อย่างเต็มรูปแบบ การโจมตีเริ่มจากสิ่งที่ดูธรรมดาอย่างอีเมล เหยื่อจะได้รับข้อความเกี่ยวกับการโยกย้ายบุคลากรหรือการปรับเงินเดือน พร้อมลิงก์ให้ดาวน์โหลดไฟล์ เมื่อเปิดไฟล์นั้นก็จะเริ่มลูกโซ่การโจมตีที่จบลงด้วยแบ็กดอร์ที่ทำงานอยู่เงียบ ๆ ในหน่วยความจำ มองไม่เห็นด้วยแอนตี้ไวรัสแบบดั้งเดิมหลายตัว

นักวิเคราะห์จากบริษัท LevelBlue ตรวจพบแคมเปญนี้ขณะติดตามการตรวจจับ ValleyRAT ที่เพิ่มขึ้นอย่างต่อเนื่องผ่านศูนย์ปฏิบัติการความมั่นคงระดับโลก มัลแวร์ตัวนี้เคลื่อนไหวมาตั้งแต่ปี 2023 แต่กิจกรรมพุ่งสูงขึ้นอย่างชัดเจนในช่วงปี 2025 ต่อเนื่องถึงปี 2026 เพิ่มขึ้นเกือบเท่าตัวเมื่อเทียบกับปีก่อนหน้า LevelBlue ระบุว่าเวอร์ชันที่ส่งผ่านอีเมลอันตรายนี้พุ่งเป้าไปที่ผู้ใช้ที่พูดภาษาจีนและญี่ปุ่นโดยเฉพาะ แม้ความเสี่ยงจะขยายไปไกลกว่านั้นมาก เพราะบริษัทระดับโลกจำนวนมากมีสำนักงานสาขาในภูมิภาคเหล่านี้ จุดเด่นของแคมเปญคือการนำแอปพลิเคชันที่ถูกกฎหมายมาใช้บังหน้า โดยนำไฟล์ VLC ของจริงมาจับคู่กับไฟล์สนับสนุนที่ถูกดัดแปลงให้เป็นอันตราย เพื่อหลบเลี่ยงการตรวจจับ

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 2 กรกฎาคม พ.ศ. 2569 ว่าอาชญากรไซเบอร์ค้นพบวิธีอันแยบยลในการหลบเลี่ยงระบบป้องกัน ด้วยการซ่อนมัลแวร์ไว้ในโปรแกรมที่คนส่วนใหญ่ไว้วางใจโดยไม่คิดสงสัย นักวิจัยพบแคมเปญที่นำ VLC media player มาใช้ลอบติดตั้ง ValleyRAT ซึ่งเป็นโทรจันรีโมตที่ให้ผู้โจมตีควบคุมเครื่องได้อย่างเต็มที่

นักวิเคราะห์จากบริษัท LevelBlue ระบุพบแคมเปญนี้ขณะติดตามการตรวจจับ ValleyRAT ที่เพิ่มขึ้นผ่านศูนย์ปฏิบัติการความมั่นคงระดับโลก (Global Security Operations Center) โดย LevelBlue ระบุในรายงานที่แบ่งปันกับ Cyber Security News ว่าเวอร์ชันที่อาศัยอีเมลอันตรายนี้มุ่งเป้าไปที่ผู้ใช้ที่พูดภาษาจีนและญี่ปุ่น สิ่งที่ทำให้แคมเปญนี้น่าจับตาคือการใช้แอปพลิเคชันที่ถูกกฎหมายเป็นเครื่องอำพราง แทนที่จะเขียนมัลแวร์ขึ้นใหม่ทั้งหมดซึ่งอาจถูกแอนตี้ไวรัสตรวจจับได้ทันที ผู้โจมตีกลับนำไฟล์ VLC ที่เชื่อถือได้มาใช้ จับคู่กับไฟล์สนับสนุนที่ถูกดัดแปลงเพื่อลอดผ่านการป้องกันโดยไม่ถูกตรวจพบ

ลูกโซ่การติดมัลแวร์เริ่มต้นเมื่อเหยื่อคลิกลิงก์ในอีเมลฟิชชิง ซึ่งกระตุ้นการดาวน์โหลดไฟล์ ZIP ที่มีไฟล์สองตัวคือ ไฟล์ปฏิบัติการ (executable) และไฟล์ DLL ตัวไฟล์ปฏิบัติการถูกอำพรางด้วยชื่อไฟล์ภาษาญี่ปุ่นที่เกี่ยวข้องกับหัวข้ออีเมล แต่คำอธิบายไฟล์ภายในและค่าแฮชกลับตรงกับ VLC media player ของแท้ ส่วนไฟล์ที่มากับมันชื่อ libvlc.dll เป็นคอมโพเนนต์ที่ปกติ VLC ใช้ในการทำงาน เนื่องจาก Windows ไว้ใจแอปพลิเคชันที่ถูกเซ็นรับรองอย่าง VLC การเปิดไฟล์ปฏิบัติการปลอมจึงทำให้มันโหลด DLL อันตรายนี้โดยอัตโนมัติ ซึ่งเป็นเทคนิคที่นักวิจัยเรียกว่า DLL sideloading

Fake VLC executable and malicious libvlc.dll deploy ValleyRAT
Fake VLC executable and malicious libvlc.dll deploy ValleyRAT
Fake VLC executable and malicious libvlc.dll deploy ValleyRAT

วิธีการโจมตี

เมื่อ libvlc.dll ถูกโหลด มันจะคัดลอกไฟล์ทั้งสองไปยังไดเรกทอรีที่กำหนดไว้ตายตัว และสร้าง registry entry เพื่อให้ไฟล์ปฏิบัติการถูกเรียกทำงานใหม่ทุกครั้งที่เหยื่อล็อกอิน เพื่อให้การติดมัลแวร์อยู่รอดหลังรีบูต จากนั้นมันจะติดต่อไปยังเซิร์ฟเวอร์ระยะไกลอย่างเงียบ ๆ เพื่อดึงเพย์โหลด ValleyRAT ตัวสุดท้ายมา

กลไกการส่งมอบของ ValleyRAT ทุ่มเทอย่างมากในการหลบเลี่ยงการวิเคราะห์ในแซนด์บ็อกซ์ ก่อนจะทำสิ่งใดที่เป็นอันตราย มัลแวร์จะตรวจสอบหน่วยความจำที่มีอยู่ นับจำนวนคอร์ของโปรเซสเซอร์ และวัดว่าคำสั่ง sleep ใช้เวลาจริงเท่าไร เพราะสภาพแวดล้อมทดสอบแบบเสมือน (virtual) มักทำงานต่างจากเครื่องจริง หากการตรวจสอบเหล่านี้บ่งชี้ว่ากำลังถูกจับตา มัลแวร์จะหยุดทำงานทันทีและไม่ทำอะไรต่อ ทำให้ผู้ป้องกันสังเกตพฤติกรรมที่แท้จริงได้ยากขึ้นมาก อีกทั้งโค้ดยังถูกยัดด้วยฟังก์ชันขยะไร้ความหมายจำนวนมากเพื่อถ่วงเวลาผู้ที่พยายาม reverse engineer

จุดที่น่ากังวลที่สุดคือวิธีการส่งมอบเพย์โหลดตัวสุดท้าย คอมโพเนนต์ ValleyRAT ที่ดาวน์โหลดมาถูกเข้ารหัสด้วย RC4 cipher แบบง่าย และถูกถอดรหัสในหน่วยความจำโดยตรง แล้ว inject เข้าไปในกระบวนการระบบที่ถูกพักไว้ (suspended process) แทนที่จะบันทึกลงดิสก์ วิธี fileless นี้ทำให้ไม่มีไฟล์อันตรายที่ชัดเจนหลงเหลือให้แอนตี้ไวรัสแบบดั้งเดิมตรวจจับได้

ผลกระทบต่อไทย

แม้แคมเปญนี้จะพุ่งเป้าผู้ใช้ที่พูดภาษาจีนและญี่ปุ่นเป็นหลัก แต่ LevelBlue เตือนว่าความเสี่ยงขยายไปไกลกว่านั้นมาก เพราะบริษัทระดับโลกจำนวนมากมีสำนักงานสาขาในภูมิภาคเอเชีย รวมถึงประเทศไทยที่มีบริษัทญี่ปุ่นและจีนตั้งฐานการผลิตและสำนักงานอยู่จำนวนมาก พนักงานในองค์กรเหล่านี้อาจได้รับอีเมลฟิชชิงเรื่องการโยกย้ายบุคลากรหรือปรับเงินเดือนในภาษาที่คุ้นเคยได้

การที่มัลแวร์ใช้ VLC ซึ่งเป็นซอฟต์แวร์ที่ผู้ใช้ไทยจำนวนมากติดตั้งอยู่แล้วมาบังหน้า ทำให้เหยื่อแทบไม่มีทางสงสัย และเทคนิค DLL sideloading กับการรันแบบ fileless ทำให้แอนตี้ไวรัสทั่วไปตรวจจับได้ยาก องค์กรไทยจึงควรยกระดับการตรวจจับพฤติกรรมมากกว่าการพึ่งลายเซ็นไฟล์เพียงอย่างเดียว

คำแนะนำ

นักวิจัยแนะนำให้องค์กรฝึกอบรมพนักงานให้สังเกตสัญญาณเตือน เช่น ชื่อไฟล์ภาษาญี่ปุ่นที่ผิดปกติบนไฟล์ปฏิบัติการ คำอธิบายไฟล์ที่ไม่สอดคล้องกัน และอีเมลธุรกิจที่ส่งจากโดเมนเว็บเมลฟรี พร้อมทั้งติดตั้งเครื่องมือตรวจจับเอนด์พอยต์ (EDR) ที่สามารถตรวจจับพฤติกรรม DLL sideloading และ process injection ที่ผิดปกติได้ เนื่องจากเทคนิคเหล่านี้เชิงเทคนิคเกินกว่าที่การอบรมพนักงานเพียงอย่างเดียวจะรับมือได้

สำหรับองค์กรที่ได้รับผลกระทบแล้ว ขั้นตอนแรกที่สำคัญคือการแยกระบบที่ถูกบุกรุกออกจากเครือข่าย และตรวจสอบล็อกความปลอดภัยเพื่อทำความเข้าใจว่าผู้โจมตีทำสิ่งใดไปบ้าง ในกรณีที่รุนแรง การติดตั้งระบบปฏิบัติการใหม่ทั้งหมดอาจเป็นทางเลือกที่ปลอดภัยที่สุด

Indicators of Compromise (IoCs)

หมายเหตุ: IP address และโดเมนถูก defang (เช่น [.]) โดยเจตนาเพื่อป้องกันการเชื่อมต่อโดยไม่ตั้งใจ ควร re-fang เฉพาะภายในแพลตฟอร์มข่าวกรองภัยคุกคามที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM ขององค์กรเท่านั้น

ประเภทตัวบ่งชี้ (Indicator)คำอธิบาย
SHA1e8be03f19ada1f5cec74b143e21d4939e781671dอีเมลอันตราย
Domainfrehf.oss-cn-hongkong.aliyuncs[.]comโดเมนที่เป็นส่วนหนึ่งของ URL ในอีเมลอันตราย
SHA165168c8dd93b16d3b77092fb70c0fa6fba4dffccไฟล์ ZIP (VLC executable ปลอม)
URLhttp://154.92.16[.]22/xz.binURL ดาวน์โหลด ValleyRAT
SHA1eca7ed7b699835fadc2c2997a2845864e02b8dfeตัวอย่าง ValleyRAT ที่เข้ารหัสด้วย RC4

แหล่งอ้างอิง