สรุปสั้น
นักวิจัยด้านความปลอดภัยเปิดเผยแคมเปญที่ใช้ประโยชน์จากโปรแกรมเล่นสื่อยอดนิยมอย่าง VLC media player เพื่อลอบติดตั้ง ValleyRAT ซึ่งเป็นโทรจันรีโมต (remote access trojan) ที่ให้ผู้โจมตีควบคุมคอมพิวเตอร์ที่ติดมัลแวร์ได้อย่างเต็มรูปแบบ การโจมตีเริ่มจากสิ่งที่ดูธรรมดาอย่างอีเมล เหยื่อจะได้รับข้อความเกี่ยวกับการโยกย้ายบุคลากรหรือการปรับเงินเดือน พร้อมลิงก์ให้ดาวน์โหลดไฟล์ เมื่อเปิดไฟล์นั้นก็จะเริ่มลูกโซ่การโจมตีที่จบลงด้วยแบ็กดอร์ที่ทำงานอยู่เงียบ ๆ ในหน่วยความจำ มองไม่เห็นด้วยแอนตี้ไวรัสแบบดั้งเดิมหลายตัว
นักวิเคราะห์จากบริษัท LevelBlue ตรวจพบแคมเปญนี้ขณะติดตามการตรวจจับ ValleyRAT ที่เพิ่มขึ้นอย่างต่อเนื่องผ่านศูนย์ปฏิบัติการความมั่นคงระดับโลก มัลแวร์ตัวนี้เคลื่อนไหวมาตั้งแต่ปี 2023 แต่กิจกรรมพุ่งสูงขึ้นอย่างชัดเจนในช่วงปี 2025 ต่อเนื่องถึงปี 2026 เพิ่มขึ้นเกือบเท่าตัวเมื่อเทียบกับปีก่อนหน้า LevelBlue ระบุว่าเวอร์ชันที่ส่งผ่านอีเมลอันตรายนี้พุ่งเป้าไปที่ผู้ใช้ที่พูดภาษาจีนและญี่ปุ่นโดยเฉพาะ แม้ความเสี่ยงจะขยายไปไกลกว่านั้นมาก เพราะบริษัทระดับโลกจำนวนมากมีสำนักงานสาขาในภูมิภาคเหล่านี้ จุดเด่นของแคมเปญคือการนำแอปพลิเคชันที่ถูกกฎหมายมาใช้บังหน้า โดยนำไฟล์ VLC ของจริงมาจับคู่กับไฟล์สนับสนุนที่ถูกดัดแปลงให้เป็นอันตราย เพื่อหลบเลี่ยงการตรวจจับ
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 2 กรกฎาคม พ.ศ. 2569 ว่าอาชญากรไซเบอร์ค้นพบวิธีอันแยบยลในการหลบเลี่ยงระบบป้องกัน ด้วยการซ่อนมัลแวร์ไว้ในโปรแกรมที่คนส่วนใหญ่ไว้วางใจโดยไม่คิดสงสัย นักวิจัยพบแคมเปญที่นำ VLC media player มาใช้ลอบติดตั้ง ValleyRAT ซึ่งเป็นโทรจันรีโมตที่ให้ผู้โจมตีควบคุมเครื่องได้อย่างเต็มที่
นักวิเคราะห์จากบริษัท LevelBlue ระบุพบแคมเปญนี้ขณะติดตามการตรวจจับ ValleyRAT ที่เพิ่มขึ้นผ่านศูนย์ปฏิบัติการความมั่นคงระดับโลก (Global Security Operations Center) โดย LevelBlue ระบุในรายงานที่แบ่งปันกับ Cyber Security News ว่าเวอร์ชันที่อาศัยอีเมลอันตรายนี้มุ่งเป้าไปที่ผู้ใช้ที่พูดภาษาจีนและญี่ปุ่น สิ่งที่ทำให้แคมเปญนี้น่าจับตาคือการใช้แอปพลิเคชันที่ถูกกฎหมายเป็นเครื่องอำพราง แทนที่จะเขียนมัลแวร์ขึ้นใหม่ทั้งหมดซึ่งอาจถูกแอนตี้ไวรัสตรวจจับได้ทันที ผู้โจมตีกลับนำไฟล์ VLC ที่เชื่อถือได้มาใช้ จับคู่กับไฟล์สนับสนุนที่ถูกดัดแปลงเพื่อลอดผ่านการป้องกันโดยไม่ถูกตรวจพบ
ลูกโซ่การติดมัลแวร์เริ่มต้นเมื่อเหยื่อคลิกลิงก์ในอีเมลฟิชชิง ซึ่งกระตุ้นการดาวน์โหลดไฟล์ ZIP ที่มีไฟล์สองตัวคือ ไฟล์ปฏิบัติการ (executable) และไฟล์ DLL ตัวไฟล์ปฏิบัติการถูกอำพรางด้วยชื่อไฟล์ภาษาญี่ปุ่นที่เกี่ยวข้องกับหัวข้ออีเมล แต่คำอธิบายไฟล์ภายในและค่าแฮชกลับตรงกับ VLC media player ของแท้ ส่วนไฟล์ที่มากับมันชื่อ libvlc.dll เป็นคอมโพเนนต์ที่ปกติ VLC ใช้ในการทำงาน เนื่องจาก Windows ไว้ใจแอปพลิเคชันที่ถูกเซ็นรับรองอย่าง VLC การเปิดไฟล์ปฏิบัติการปลอมจึงทำให้มันโหลด DLL อันตรายนี้โดยอัตโนมัติ ซึ่งเป็นเทคนิคที่นักวิจัยเรียกว่า DLL sideloading



วิธีการโจมตี
เมื่อ libvlc.dll ถูกโหลด มันจะคัดลอกไฟล์ทั้งสองไปยังไดเรกทอรีที่กำหนดไว้ตายตัว และสร้าง registry entry เพื่อให้ไฟล์ปฏิบัติการถูกเรียกทำงานใหม่ทุกครั้งที่เหยื่อล็อกอิน เพื่อให้การติดมัลแวร์อยู่รอดหลังรีบูต จากนั้นมันจะติดต่อไปยังเซิร์ฟเวอร์ระยะไกลอย่างเงียบ ๆ เพื่อดึงเพย์โหลด ValleyRAT ตัวสุดท้ายมา
กลไกการส่งมอบของ ValleyRAT ทุ่มเทอย่างมากในการหลบเลี่ยงการวิเคราะห์ในแซนด์บ็อกซ์ ก่อนจะทำสิ่งใดที่เป็นอันตราย มัลแวร์จะตรวจสอบหน่วยความจำที่มีอยู่ นับจำนวนคอร์ของโปรเซสเซอร์ และวัดว่าคำสั่ง sleep ใช้เวลาจริงเท่าไร เพราะสภาพแวดล้อมทดสอบแบบเสมือน (virtual) มักทำงานต่างจากเครื่องจริง หากการตรวจสอบเหล่านี้บ่งชี้ว่ากำลังถูกจับตา มัลแวร์จะหยุดทำงานทันทีและไม่ทำอะไรต่อ ทำให้ผู้ป้องกันสังเกตพฤติกรรมที่แท้จริงได้ยากขึ้นมาก อีกทั้งโค้ดยังถูกยัดด้วยฟังก์ชันขยะไร้ความหมายจำนวนมากเพื่อถ่วงเวลาผู้ที่พยายาม reverse engineer
จุดที่น่ากังวลที่สุดคือวิธีการส่งมอบเพย์โหลดตัวสุดท้าย คอมโพเนนต์ ValleyRAT ที่ดาวน์โหลดมาถูกเข้ารหัสด้วย RC4 cipher แบบง่าย และถูกถอดรหัสในหน่วยความจำโดยตรง แล้ว inject เข้าไปในกระบวนการระบบที่ถูกพักไว้ (suspended process) แทนที่จะบันทึกลงดิสก์ วิธี fileless นี้ทำให้ไม่มีไฟล์อันตรายที่ชัดเจนหลงเหลือให้แอนตี้ไวรัสแบบดั้งเดิมตรวจจับได้
ผลกระทบต่อไทย
แม้แคมเปญนี้จะพุ่งเป้าผู้ใช้ที่พูดภาษาจีนและญี่ปุ่นเป็นหลัก แต่ LevelBlue เตือนว่าความเสี่ยงขยายไปไกลกว่านั้นมาก เพราะบริษัทระดับโลกจำนวนมากมีสำนักงานสาขาในภูมิภาคเอเชีย รวมถึงประเทศไทยที่มีบริษัทญี่ปุ่นและจีนตั้งฐานการผลิตและสำนักงานอยู่จำนวนมาก พนักงานในองค์กรเหล่านี้อาจได้รับอีเมลฟิชชิงเรื่องการโยกย้ายบุคลากรหรือปรับเงินเดือนในภาษาที่คุ้นเคยได้
การที่มัลแวร์ใช้ VLC ซึ่งเป็นซอฟต์แวร์ที่ผู้ใช้ไทยจำนวนมากติดตั้งอยู่แล้วมาบังหน้า ทำให้เหยื่อแทบไม่มีทางสงสัย และเทคนิค DLL sideloading กับการรันแบบ fileless ทำให้แอนตี้ไวรัสทั่วไปตรวจจับได้ยาก องค์กรไทยจึงควรยกระดับการตรวจจับพฤติกรรมมากกว่าการพึ่งลายเซ็นไฟล์เพียงอย่างเดียว
คำแนะนำ
นักวิจัยแนะนำให้องค์กรฝึกอบรมพนักงานให้สังเกตสัญญาณเตือน เช่น ชื่อไฟล์ภาษาญี่ปุ่นที่ผิดปกติบนไฟล์ปฏิบัติการ คำอธิบายไฟล์ที่ไม่สอดคล้องกัน และอีเมลธุรกิจที่ส่งจากโดเมนเว็บเมลฟรี พร้อมทั้งติดตั้งเครื่องมือตรวจจับเอนด์พอยต์ (EDR) ที่สามารถตรวจจับพฤติกรรม DLL sideloading และ process injection ที่ผิดปกติได้ เนื่องจากเทคนิคเหล่านี้เชิงเทคนิคเกินกว่าที่การอบรมพนักงานเพียงอย่างเดียวจะรับมือได้
สำหรับองค์กรที่ได้รับผลกระทบแล้ว ขั้นตอนแรกที่สำคัญคือการแยกระบบที่ถูกบุกรุกออกจากเครือข่าย และตรวจสอบล็อกความปลอดภัยเพื่อทำความเข้าใจว่าผู้โจมตีทำสิ่งใดไปบ้าง ในกรณีที่รุนแรง การติดตั้งระบบปฏิบัติการใหม่ทั้งหมดอาจเป็นทางเลือกที่ปลอดภัยที่สุด
Indicators of Compromise (IoCs)
หมายเหตุ: IP address และโดเมนถูก defang (เช่น [.]) โดยเจตนาเพื่อป้องกันการเชื่อมต่อโดยไม่ตั้งใจ ควร re-fang เฉพาะภายในแพลตฟอร์มข่าวกรองภัยคุกคามที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM ขององค์กรเท่านั้น
| ประเภท | ตัวบ่งชี้ (Indicator) | คำอธิบาย |
|---|---|---|
| SHA1 | e8be03f19ada1f5cec74b143e21d4939e781671d | อีเมลอันตราย |
| Domain | frehf.oss-cn-hongkong.aliyuncs[.]com | โดเมนที่เป็นส่วนหนึ่งของ URL ในอีเมลอันตราย |
| SHA1 | 65168c8dd93b16d3b77092fb70c0fa6fba4dffcc | ไฟล์ ZIP (VLC executable ปลอม) |
| URL | http://154.92.16[.]22/xz.bin | URL ดาวน์โหลด ValleyRAT |
| SHA1 | eca7ed7b699835fadc2c2997a2845864e02b8dfe | ตัวอย่าง ValleyRAT ที่เข้ารหัสด้วย RC4 |
