สรุปสั้น
มัลแวร์ควบคุมระยะไกลสายพันธุ์ใหม่กำลังแพร่กระจายอย่างเงียบเชียบผ่านเครือข่ายองค์กร และมันไม่ได้ทำงานเหมือนสิ่งที่นักป้องกันเคยเห็นจากกลุ่มภัยคุกคามนี้มาก่อน มัลแวร์ตัวนี้ถูกติดตามในชื่อ ValleyRAT ปล่อยโดยกลุ่มแฮ็กเกอร์ที่รู้จักกันในชื่อ SilverFox และมันโดดเด่นด้วยเหตุผลเดียวคือมันไม่ยอมหยุดที่เพย์โหลดเดียว โทรจันควบคุมระยะไกลส่วนใหญ่อาศัยเพียงสองถึงสามสเตจเพื่อเข้าควบคุมเครื่องอย่างสมบูรณ์ แต่ ValleyRAT ทำงานผ่านถึงแปดสเตจ แต่ละสเตจซ่อนสเตจถัดไป และสเตจสุดท้ายจะปล่อยรูตคิตระดับเคอร์เนลที่รับคำสั่งโดยตรงจากตัว RAT เอง
การซ้อนชั้นแบบนี้ไม่ได้ทำไว้เพื่อโชว์ แต่มันทำให้ ValleyRAT ตรวจจับ วิเคราะห์ และกำจัดได้ยากกว่าอินโฟสตีลเลอร์หรือแบ็กดอร์ทั่วไปมาก ซึ่งอธิบายได้ว่าทำไมแคมเปญนี้จึงยังคงเคลื่อนไหวอยู่โดยไม่ถูกจับตาตั้งแต่ต้น นักวิเคราะห์ที่ Gen Threat Labs ตรวจพบแคมเปญนี้ขณะติดตามไฟล์ตัวติดตั้งผิดปกติที่คอยดัดแปลงตัวเองใหม่สำหรับเหยื่อแต่ละราย โดยระบุว่าผลการวิเคราะห์ครั้งนี้เป็นภาพที่ชัดเจนที่สุดภาพหนึ่งว่ากลุ่ม SilverFox ได้ผลักดันเครื่องมือของตนไปไกลเพียงใด และ ณ เวลาที่รายงาน แคมเปญยังคงทำงานอยู่ มีตัวอย่างใหม่ปรากฏต่อเนื่อง เส้นทางไฟล์บนเครื่องที่ติดมัลแวร์หมุนเวียนเปลี่ยนทุกวัน และกลุ่มนี้ดูเหมือนกำลังปรับปรุงวิธีการส่งมัลแวร์อย่างต่อเนื่อง
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 6 กรกฎาคม พ.ศ. 2569 ว่า บริษัท Gen Threat Labs ได้เปิดเผยรายงานที่แชร์กับ Cyber Security News (CSN) เกี่ยวกับแคมเปญมัลแวร์ ValleyRAT ของกลุ่ม SilverFox ที่โดดเด่นด้วยการทำงานหลายสเตจอย่างซับซ้อนเกินกว่าโทรจันควบคุมระยะไกลทั่วไป
การติดมัลแวร์เริ่มต้นด้วยเทคนิค DLL sideloading ซึ่งไฟล์อันตรายจะถูกลักลอบนำเข้ามาพร้อมกับแอปพลิเคชันที่ถูกต้องตามกฎหมายและมีลายเซ็นดิจิทัลรับรอง เมื่อทำงาน มัลแวร์จะปิดเครื่องมือบันทึกล็อกและการสแกนของแอนตี้ไวรัสก่อน จากนั้นซ่อนเพย์โหลดถัดไปไว้ในข้อมูลพิกเซลของภาพ PNG ที่ดูเหมือนภาพธรรมดา เทคนิคการซ่อนข้อมูลในภาพนี้เรียกว่า steganography และถูกใช้ซ้ำหลายจุดในห่วงโซ่การโจมตี หลังจากยกระดับสิทธิ์ให้สูงขึ้น มัลแวร์จะดึงเพย์โหลดอีกชุดจากภาพที่สอง แล้วแตกชุด shellcode ด้วยตัวโหลดที่ชื่อ Donut ซึ่งเป็นที่นิยมสำหรับการรันโค้ดโดยไม่ทิ้งร่องรอยชัดเจนบนดิสก์
จากนั้นตัวควบคุม (orchestrator) ของ ValleyRAT จะเข้ามาทำหน้าที่และเปิดตัว RAT ที่เขียนด้วยภาษาโปรแกรม Go องค์ประกอบนี้สื่อสารกับเซิร์ฟเวอร์สั่งการและควบคุม (C2) ผ่านการเชื่อมต่อแบบ WebSocket และ QUIC ที่ถูกเลือกใช้เพราะกลมกลืนไปกับทราฟฟิกเว็บปกติได้ง่าย ตัว RAT จะฉีดเครื่องมือที่สร้างมาเพื่อปิดซอฟต์แวร์แอนตี้ไวรัสเข้าไปใน svchost ซึ่งเป็นกระบวนการหลักของ Windows ที่แทบไม่ถูกเพ่งเล็ง และในขั้นสุดท้าย รูตคิตระดับเคอร์เนลจะถูกติดตั้ง รองรับคำสั่งมากกว่า 65 รหัส และรับคำสั่งจาก RAT ผ่าน named pipes ซึ่งเป็นช่องทางที่ปกติใช้สื่อสารระหว่างโปรแกรมด้วยกัน
วิธีการโจมตี
นอกจากการเข้าถึงเครื่องแล้ว ValleyRAT ยังถูกออกแบบมาเพื่อขโมยข้อมูลโดยเฉพาะ มันเฝ้าติดตามคลิปบอร์ดเพื่อหาที่อยู่กระเป๋าเงินคริปโตเคอร์เรนซี แล้วสลับด้วยที่อยู่ที่ผู้โจมตีควบคุม เป็นกลเม็ดที่เคยดูดเงินจากผู้ใช้ที่ไม่ทันระวังในแคมเปญก่อน ๆ มาแล้ว มัลแวร์ยังพุ่งเป้าไปที่ข้อมูล Telegram ที่เก็บอยู่บนเครื่องที่ติดมัลแวร์ เปิดทางให้ผู้โจมตีเข้าถึงบทสนทนาส่วนตัวและรายละเอียดบัญชี และยังสามารถส่งปลั๊กอินเพิ่มเติมให้เหยื่อหลังการติดมัลแวร์ได้ โดยส่งผ่าน named pipes เช่นเดียวกัน ทำให้ SilverFox ปรับแต่งชุดเครื่องมือให้เหมาะกับมูลค่าของเป้าหมายแต่ละรายได้
เรื่องการฝังตัวคงอยู่ (persistence) ถูกให้ความสำคัญไม่แพ้การขโมยข้อมูล นักวิจัยพบตัวอย่าง polymorphic ที่แตกต่างกันถึง 13 ชุด ซึ่งถูกคอมไพล์ใหม่ในช่วงเวลา 12 วัน แต่ละชุดแตกต่างกันเล็กน้อยเพื่อหลบการตรวจจับแบบอิงลายเซ็น (signature-based) นอกจากนี้เส้นทางไฟล์ยังหมุนเวียนเปลี่ยนทุกวันภายใต้โฟลเดอร์ที่ตั้งชื่อว่า C:\Drivers ซึ่งเป็นรายละเอียดเล็ก ๆ ที่ทำให้กฎการตรวจจับแบบ static เชื่อถือได้น้อยลง การส่งมัลแวร์อาศัยตัวติดตั้งที่ถูกฝังโทรจัน โดยใช้ไฟล์ปฏิบัติการที่มีลายเซ็นถูกต้องตามกฎหมาย ช่วยให้มัลแวร์เล็ดลอดผ่านผู้ใช้และเครื่องมือที่เชื่อถือซอฟต์แวร์ที่มีลายเซ็นโดยอัตโนมัติ
ผลกระทบต่อไทย
กลุ่ม SilverFox เป็นกลุ่มภัยคุกคามที่เชื่อมโยงกับจีนและมีประวัติพุ่งเป้าเหยื่อที่พูดภาษาจีนและองค์กรในภูมิภาคเอเชียตะวันออกเฉียงใต้ รวมถึงประเทศไทย ซึ่งมีปฏิสัมพันธ์ทางธุรกิจและการค้ากับจีนสูง เทคนิคของ ValleyRAT ที่อาศัยตัวติดตั้งซึ่งมีลายเซ็นถูกต้องและการซ่อนเพย์โหลดในภาพ PNG ทำให้มาตรการป้องกันแบบเดิมที่ไว้ใจซอฟต์แวร์ที่เซ็นชื่อแล้วอาจถูกหลอกได้ง่าย องค์กรไทยที่ดาวน์โหลดโปรแกรมยูทิลิตี้หรือตัวติดตั้งจากแหล่งที่ไม่เป็นทางการมีความเสี่ยงสูง โดยเฉพาะการที่มัลแวร์ตั้งเป้าขโมยกระเป๋าคริปโตและข้อมูล Telegram ซึ่งเป็นแอปที่คนไทยใช้แพร่หลาย รวมถึงรูตคิตระดับเคอร์เนลที่ฝังลึกจนยากต่อการกำจัด อาจทำให้เครื่องที่ติดมัลแวร์กลายเป็นฐานให้ผู้โจมตีเคลื่อนตัวเข้าสู่ระบบภายในองค์กรได้
คำแนะนำ
องค์กรควรเฝ้าระวังกิจกรรม named pipe ที่ผิดปกติ กระบวนการลูก (child process) ที่ไม่คาดคิดภายใต้ svchost และตัวติดตั้งที่ไม่ตรงกับลายเซ็นที่รู้ว่าปลอดภัย ควรจำกัดการดาวน์โหลดและติดตั้งซอฟต์แวร์เฉพาะจากแหล่งทางการเท่านั้น และไม่ควรไว้ใจไฟล์เพียงเพราะมีลายเซ็นดิจิทัล เพราะมัลแวร์นี้อาศัยการ sideload DLL เข้าไปกับโปรแกรมที่เซ็นชื่อถูกต้อง ควรใช้โซลูชัน EDR ที่ตรวจจับพฤติกรรมได้ ไม่ใช่แค่ลายเซ็น เพื่อรับมือกับตัวอย่าง polymorphic ที่คอมไพล์ใหม่บ่อยครั้ง ตรวจสอบโฟลเดอร์ผิดปกติเช่น C:\Drivers และเฝ้าระวังทราฟฟิก WebSocket/QUIC ที่มุ่งสู่ปลายทางแปลกปลอม รวมถึงให้ความรู้ผู้ใช้เรื่องความเสี่ยงของการติดตั้งซอฟต์แวร์เถื่อนหรือจากลิงก์ที่ไม่น่าเชื่อถือ
Indicators of Compromise (IoCs)
หมายเหตุ: โดเมนต่อไปนี้ถูก defang (ใส่ [.]) เพื่อป้องกันการเชื่อมโยงหรือ resolve โดยไม่ตั้งใจ ให้ re-fang เฉพาะในแพลตฟอร์มข่าวกรองภัยคุกคามที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM ขององค์กรเท่านั้น
| ประเภท | Indicator | รายละเอียด |
|---|---|---|
| SHA-256 Hash | 520304a1cabdd9aa05c0a769c3874bc3cc2608d8e71ae607ca2bdf96b298b5de | ตัวติดตั้งที่ถูกฝังโทรจัน ใช้เริ่มต้นห่วงโซ่การติดมัลแวร์ |
| Domain (C2) | 3w[.]jxuw3[.]com | ปลายทางสั่งการและควบคุมผ่าน WebSocket |
| Domain (C2) | df[.]sjickdeh[.]org | ปลายทางสั่งการและควบคุมผ่าน WebSocket |
