สรุปสั้น
นักวิจัยด้านความปลอดภัยได้ตรวจพบโทรจันควบคุมระยะไกล (Remote Access Trojan หรือ RAT) ตัวใหม่ที่ยังไม่เคยถูกบันทึกมาก่อน มีชื่อรหัสว่า LabubaRAT ซึ่งเขียนด้วยภาษา Rust และปลอมตัวเป็นซอฟต์แวร์ของ NVIDIA เพื่อกลมกลืนเข้ากับสภาพแวดล้อมของเป้าหมาย โดยนาย Sam Decker และนาย Nevan Beal นักวิจัยจากบริษัท Blackpoint Cyber ระบุว่ามัลแวร์ตัวนี้สร้างจุดตั้งหลัก (Foothold) ที่นำกลับมาใช้ซ้ำได้สำหรับการปฏิบัติการแบบลงมือเอง เมื่อถูกติดตั้งแล้วมันสามารถสำรวจข้อมูลเครื่อง ระบุเครื่องมือความปลอดภัยที่ติดตั้งอยู่ รับคำสั่งจากผู้ควบคุม ย้ายไฟล์ จับภาพหน้าจอ และทำ proxy ส่งต่อทราฟฟิกผ่านเครื่องที่ถูกเจาะได้
จุดที่ทำให้ LabubaRAT อันตรายเป็นพิเศษคือมันรองรับการสื่อสารหลายช่องทาง ทั้ง HTTPS, WebView2 และ DNS tunneling ซึ่งทำให้ผู้โจมตียังคงรักษาการเข้าถึงเครื่องที่ถูกเจาะไว้ได้แม้ช่องทางใดช่องทางหนึ่งจะถูกตรวจจับและปิดกั้นไป นอกจากนี้ยังมีสัญญาณว่ามัลแวร์ตัวนี้ถูกนำเสนอในรูปแบบ malware-as-a-service (MaaS) หรือการให้เช่ามัลแวร์ ชื่อ LabubaRAT อ้างอิงมาจากชื่อ “LabubaPanel” ที่เชื่อมโยงกับโครงสร้างพื้นฐาน C2 และไอคอนเว็บ (favicon) ธีม Labubu ที่พบ สิ่งที่นักวิจัยเน้นย้ำคือเบื้องหลังชื่อแบรนด์นั้นคือโครงสร้างแบบเฟรมเวิร์ก นั่นคือ RAT ที่สร้างด้วย Rust ซึ่งออกแบบมาให้ตั้งค่า ลงทะเบียน และปฏิบัติการได้ข้ามการติดตั้งหลายครั้ง
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 14 กรกฎาคม พ.ศ. 2569 ว่านักวิจัยจากบริษัท Blackpoint Cyber ได้เผยแพร่การวิเคราะห์มัลแวร์ตัวใหม่ชื่อ LabubaRAT ซึ่งเป็นโทรจันควบคุมระยะไกลที่เขียนด้วยภาษา Rust และปลอมตัวเป็นซอฟต์แวร์ของ NVIDIA เพื่อหลบเลี่ยงการตรวจจับ
จุดเริ่มต้นของห่วงโซ่การโจมตี (Attack Chain) คือไฟล์ประเภท executable ชื่อ “nvidia-sysruntime.exe” ที่แอบอ้างเป็นชุดเครื่องมือ container runtime ของ NVIDIA สิ่งที่ทำให้ตัวอย่างนี้แตกต่างจากมัลแวร์ทั่วไปคือ แทนที่จะฝังข้อมูลเซิร์ฟเวอร์สั่งการและควบคุม (Command-and-Control หรือ C2) ไว้ในโค้ดแบบตายตัว มันกลับรับค่าการตั้งค่า (Configuration) ผ่านอาร์กิวเมนต์บนบรรทัดคำสั่ง (Command-line Arguments) ตอนที่รัน
วิธีนี้ทำให้ผู้ปฏิบัติการแคมเปญสามารถกำหนดพารามิเตอร์ต่างๆ ที่จำเป็นต่อการสร้างการสื่อสารกับเซิร์ฟเวอร์ระยะไกลได้ รวมถึงรายละเอียดเซิร์ฟเวอร์ (เช่น “pipicka[.]xyz”) และช่วงเวลาการสอบถามข้อมูล (Polling Interval) ที่มัลแวร์ใช้ หรืออีกทางเลือกหนึ่ง ผู้โจมตีสามารถส่งค่าเหล่านี้รวมกันในรูปของอาร์กิวเมนต์เดียวที่เข้ารหัสแบบ Base64 ก็ได้ นักวิจัยชี้ว่าเนื่องจากค่าเหล่านี้ถูกป้อนเข้ามาตอนเริ่มทำงาน ไบนารีที่คอมไพล์แล้วชุดเดียวกันจึงสามารถนำกลับมาใช้ซ้ำกับโครงสร้างพื้นฐาน องค์กร หรือกลุ่มแคมเปญที่แตกต่างกันได้ แทนที่จะต้องพึ่งพาเซิร์ฟเวอร์ที่ฝังไว้แบบตายตัว
รายละเอียดช่องโหว่
หลังจากได้รับค่าตั้งค่า มัลแวร์จะจัดเก็บการตั้งค่าไว้ในฐานข้อมูล SQLite ในเครื่อง จากนั้นจึงดำเนินการสำรวจ (Discovery) เพื่อทำรายการเบราว์เซอร์และผลิตภัณฑ์ความปลอดภัยที่ติดตั้งอยู่บนเครื่อง โดยเฉพาะการตรวจหา Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Microsoft Defender, CrowdStrike, SentinelOne, Carbon Black, Sophos, Malwarebytes, Bitdefender, ESET, Kaspersky, McAfee, Symantec และ Trend Micro นอกจากนี้ยังเก็บข้อมูลชื่อโฮสต์ ขนาดหน่วยความจำ (RAM) รุ่นของ CPU และสถานะของ User Account Control (UAC) บน Windows เพื่อเตรียมสภาพแวดล้อมสำหรับขั้นตอนถัดไป เนื่องจากความสามารถบางอย่างของ RAT อาจถูกกำหนดโดยเครื่องมือความปลอดภัยที่มีอยู่บนระบบ
เมื่อเริ่มทำงาน LabubaRAT รองรับฟังก์ชันหลากหลาย ทั้งการรันคำสั่ง (Command Execution), การรัน PowerShell, การรัน JavaScript, การจับภาพหน้าจอ, การอัปโหลดและดาวน์โหลดไฟล์, การจัดการไฟล์บีบอัด (Archive) และการรองรับ SOCKS5 proxy โดย Blackpoint Cyber ระบุว่าความสามารถเหล่านี้ให้อำนาจแก่ผู้ปฏิบัติการมากพอที่จะโต้ตอบกับเครื่อง ย้ายไฟล์เข้าออกสภาพแวดล้อม ส่งต่อทราฟฟิกผ่านระบบ และรักษาการเข้าถึงไว้ได้โดยไม่ต้องพึ่ง loader แยกต่างหากหรือเครื่องมือติดตามผลที่มีขอบเขตจำกัด
นักวิจัยสรุปว่าตัวอย่างนี้ได้รวมการตั้งค่าตอนรัน สถานะภายในเครื่อง การสำรวจโฮสต์ ช่องทางการสื่อสารหลายทาง และการสั่งงานจากผู้ควบคุม เข้าไว้ด้วยกันเป็นเครื่องมือควบคุมระยะไกลที่สมบูรณ์แบบ ซึ่งให้ผู้ปฏิบัติการมีวิธีที่ใช้งานได้จริงในการลงทะเบียนเครื่องเหยื่อ ทำความเข้าใจสภาพแวดล้อมรอบเอเจนต์แต่ละตัว รันคำสั่ง ย้ายไฟล์ จับภาพหน้าจอ ทำ proxy ทราฟฟิก และรักษาการทำงานอัตโนมัติเมื่อเปิดเครื่องในระดับผู้ใช้ สิ่งที่สำคัญกว่าชื่อแบรนด์ LabubaPanel คือโครงสร้างแบบเฟรมเวิร์กที่อยู่เบื้องหลัง นั่นคือ RAT ภาษา Rust ที่ถูกสร้างมาให้ตั้งค่า ลงทะเบียน และปฏิบัติการข้ามการติดตั้งหลายครั้งได้
ผลกระทบต่อไทย
องค์กรไทยที่มีเครื่องคอมพิวเตอร์และเซิร์ฟเวอร์ที่ใช้การ์ดจอ NVIDIA เป็นจำนวนมาก โดยเฉพาะในงานด้านกราฟิก งานตัดต่อ งานวิจัย AI และศูนย์ข้อมูล (Data Center) เป็นกลุ่มที่ควรระวังเป็นพิเศษ เพราะไฟล์ที่แอบอ้างชื่อ NVIDIA อาจถูกมองข้ามได้ง่ายว่าเป็นซอฟต์แวร์ปกติ การที่ LabubaRAT ถูกออกแบบมาในรูปแบบ malware-as-a-service ยังหมายความว่าผู้โจมตีหลายกลุ่มสามารถเช่าไปใช้โจมตีเป้าหมายในไทยได้ และเนื่องจากมัลแวร์ตรวจสอบเครื่องมือความปลอดภัยที่ติดตั้งอยู่ก่อนลงมือ องค์กรที่พึ่งพา EDR หรือแอนตี้ไวรัสเพียงอย่างเดียวโดยไม่มีการเฝ้าระวังพฤติกรรมเชิงลึก อาจตรวจจับได้ยาก โดยเฉพาะช่องทางการสื่อสารแบบ DNS tunneling ที่มักหลุดรอดการตรวจสอบทราฟฟิกทั่วไป
คำแนะนำ
ผู้ดูแลระบบควรเฝ้าระวังไฟล์ที่แอบอ้างชื่อ NVIDIA โดยเฉพาะไฟล์ชื่อ “nvidia-sysruntime.exe” ซึ่งไม่ใช่ชื่อไฟล์จริงของชุดเครื่องมือ NVIDIA และควรดาวน์โหลดไดรเวอร์หรือซอฟต์แวร์ NVIDIA จากเว็บไซต์ทางการเท่านั้น ควรตั้งค่าการเฝ้าระวังทราฟฟิก DNS เพื่อตรวจจับพฤติกรรม DNS tunneling ที่ผิดปกติ รวมถึงเฝ้าระวังการเชื่อมต่อไปยังโดเมนที่น่าสงสัยเช่น pipicka[.]xyz (defang แล้ว) ควรตรวจสอบกระบวนการที่รันด้วยอาร์กิวเมนต์บรรทัดคำสั่งที่ยาวผิดปกติหรือเข้ารหัส Base64 ซึ่งเป็นลักษณะเฉพาะของมัลแวร์ตัวนี้ และควรมองหาการสร้างฐานข้อมูล SQLite ในตำแหน่งที่ไม่คาดคิด นอกจากนี้การใช้เครื่องมือตรวจจับและตอบสนองภัยคุกคามระดับปลายทาง (Endpoint Detection and Response หรือ EDR) ที่เน้นพฤติกรรม จะช่วยเพิ่มโอกาสตรวจจับ RAT ที่ออกแบบมาให้หลบเลี่ยงเครื่องมือความปลอดภัยเช่นนี้
