สรุปสั้น
กลุ่มผู้ก่อภัยคุกคามชาวรัสเซียที่มีแรงจูงใจทางการเงินซึ่งถูกติดตามในชื่อ UAT-11795 กำลังใช้ซอฟต์แวร์ที่ถูกฝังโทรจัน (Trojanized) เพื่อขโมยข้อมูลรับรองและสกุลเงินคริปโต ด้วยการปล่อยแบ็กดอร์ตัวใหม่ชื่อ Starland RAT การโจมตีเกิดขึ้นมาตั้งแต่อย่างน้อยเดือนมิถุนายน 2025 โดยเน้นเป้าหมายผู้ใช้ในสหรัฐอเมริกา แม้จะพบเหยื่อในเยอรมนี โรมาเนีย และเวเนซุเอลาด้วย ตามข้อมูลจากนักวิจัยของบริษัท Cisco Talos ผู้ก่อภัยคุกคามกระจายเพย์โหลดผ่านตัวติดตั้งปลอมของซอฟต์แวร์ที่ถูกต้องตามกฎหมาย เช่น MobaXterm, WebEx, Zoom, DBeaver และ FaceIT แม้นักวิจัยจะยังยืนยันช่องทางการติดมัลแวร์ไม่ได้แน่ชัด แต่คาดว่าไฟล์อันตรายน่าจะถูกผลักดันด้วยวิธี ClickFix เมื่อ Starland ทำงาน มันจะตรวจสอบว่ากำลังรันอยู่ในสภาพแวดล้อมแซนด์บ็อกซ์หรือไม่ ตั้ง scheduled task และรายการใน Startup folder เพื่อฝังตัว แล้วพยายามยกระดับสิทธิ์ ก่อนค้นหาข้อมูลเบราว์เซอร์และกระเป๋าคริปโตกว่า 40 รายการ ข้อมูลระบบ และข้อมูล Active Directory
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 16 กรกฎาคม พ.ศ. 2569 ว่า นักวิจัยจากบริษัท Cisco Talos ได้เผยแพร่การวิเคราะห์กลุ่ม UAT-11795 ซึ่งเป็นผู้ก่อภัยคุกคามชาวรัสเซียที่มีแรงจูงใจทางการเงิน โดยกลุ่มนี้แจกจ่ายเพย์โหลดผ่านตัวติดตั้งที่ฝังโทรจันของซอฟต์แวร์ยอดนิยม การโจมตีเริ่มต้นด้วยไฟล์ HTA ที่ดึงตัวติดตั้ง NSIS ที่ถูกฝังโทรจันมา ซึ่งภายในมี Python loader ที่ปลอมตัวเป็นไฟล์ข้อความ (LICENSE.txt) จากนั้น loader จะแก้ไข Windows Registry เพื่อสร้างการฝังตัวถาวร แล้วถอดรหัสและโหลด Starland remote access trojan (RAT)
มัลแวร์ Starland ค้นหาข้อมูลหลายประเภทบนเครื่องที่ถูกเจาะ ได้แก่ ข้อมูลเบราว์เซอร์และทรัพย์สินในกระเป๋าคริปโต ครอบคลุมกระเป๋าแบบเดสก์ท็อปและส่วนขยายเบราว์เซอร์กว่า 40 รายการ, รายละเอียดระบบ เช่น HWID, RAM, โปรเซสเซอร์, ระบบปฏิบัติการ, ชื่อคอมพิวเตอร์, ภูมิภาค, ที่อยู่ IP สาธารณะ และผลิตภัณฑ์แอนติไวรัสที่ติดตั้ง รวมถึงข้อมูล Active Directory เช่น โครงสร้างโดเมน, โดเมนคอนโทรลเลอร์ และสิทธิ์ในโดเมนของเหยื่อ นอกจากนี้ StarlandRAT ยังสามารถถ่ายภาพหน้าจอเดสก์ท็อปของเหยื่อ รันคำสั่งเชลล์ ฉีด shellcode ทั้งแบบ 32 และ 64 บิต และดาวน์โหลดเพย์โหลดเพิ่มเติม (EXE, MSI, DLL, ZIP)
ในการโจมตีที่พบ ห่วงโซ่ shellcode แบบ 64 บิตจะส่งมอบมัลแวร์ขโมยข้อมูล CastleStealer ขณะที่ห่วงโซ่แบบ 32 บิตจะส่งมอบ Remcos remote access trojan โดย CastleStealer มุ่งขโมยข้อมูลรับรองเบราว์เซอร์ ข้อมูลกระเป๋าคริปโต เซสชัน Discord และ Telegram ข้อมูลรับรอง Steam และไฟล์ในระบบ ส่วน Remcos RAT ให้ความสามารถอย่างการดักแป้นพิมพ์ (keylogging) การจับภาพเว็บแคมและหน้าจอ การบันทึกเสียง การเฝ้าคลิปบอร์ด การจัดการไฟล์ และการรันคำสั่งจากระยะไกล

วิธีการโจมตี
จุดที่ Cisco Talos เน้นเป็นพิเศษคือการสื่อสารกับเซิร์ฟเวอร์สั่งการและควบคุม (C2) ของมัลแวร์มีกลไกสำรอง (Redundancy) หากการเข้าถึงที่อยู่ที่ฝังไว้ในโค้ดล้มเหลว โดยจะสอบถามไปยัง Polygon smart contract ที่มีโดเมนสำรองซึ่งเข้ารหัสด้วย XOR ทำให้ยากต่อการปิดกั้นและติดตาม นอกจากนี้ Talos ยังค้นพบว่า UAT-11795 ใช้เฟรมเวิร์ก C2 ที่เขียนด้วย PowerShell ซึ่งไม่เคยมีเอกสารบันทึกมาก่อน ชื่อว่า WLDR ซึ่งใช้การส่งสัญญาณ (beaconing) และการสื่อสารที่เข้ารหัสด้วย PBKDF2-SHA256 ทำงานทั้งหมดในหน่วยความจำ และผูกการส่งมอบเพย์โหลดเข้ากับตัวระบุฮาร์ดแวร์ (Hardware Identifier) ของเหยื่อแต่ละราย ทำให้เพย์โหลดใช้ได้เฉพาะกับเครื่องเป้าหมายเท่านั้น ยากต่อการนำไปวิเคราะห์ในสภาพแวดล้อมอื่น
ผลกระทบต่อไทย
เทคนิคการปลอมตัวติดตั้งซอฟต์แวร์ยอดนิยมอย่าง Zoom, WebEx และเครื่องมือสำหรับนักพัฒนาอย่าง MobaXterm และ DBeaver เป็นภัยที่คนไทยเสี่ยงโดยตรง เพราะผู้ใช้จำนวนมากมักดาวน์โหลดโปรแกรมจากแหล่งที่ไม่เป็นทางการ ผลการค้นหาบนเว็บ หรือลิงก์ที่ส่งต่อกันมา แทนที่จะดาวน์โหลดจากเว็บไซต์ทางการของผู้พัฒนา การที่มัลแวร์เล็งขโมยกระเป๋าคริปโตกว่า 40 รายการยิ่งน่ากังวลในกลุ่มผู้ถือครองสินทรัพย์ดิจิทัลในไทยที่เติบโตขึ้น อีกทั้งความสามารถในการเก็บข้อมูล Active Directory ยังเปิดทางให้ผู้โจมตีขยายผลเข้าสู่เครือข่ายองค์กรได้ การใช้เทคนิค ClickFix ที่หลอกให้เหยื่อคัดลอกและรันคำสั่งด้วยตนเองก็เป็นภัยที่กำลังระบาดและอาศัยความไม่รู้ของผู้ใช้
คำแนะนำ
ผู้ใช้ควรดาวน์โหลดซอฟต์แวร์จากพอร์ทัลทางการของผู้จำหน่ายที่ยืนยันได้เท่านั้น และหลีกเลี่ยงการรันคำสั่งที่พบบนอินเทอร์เน็ตหากไม่เข้าใจว่ามันทำอะไร ซึ่งเป็นหัวใจของการป้องกันการโจมตีแบบ ClickFix องค์กรควรนำตัวบ่งชี้การถูกโจมตี (IoCs) จากรายงานของ Cisco Talos ไปใช้ตั้งค่าการตรวจจับและป้องกัน ควรจำกัดสิทธิ์ผู้ใช้ตามหลักสิทธิ์น้อยที่สุด เฝ้าระวังการสร้าง scheduled task และการแก้ไข Registry ที่ผิดปกติ รวมถึงการเชื่อมต่อขาออกที่น่าสงสัย และควรใช้การยืนยันตัวตนหลายปัจจัย (MFA) พร้อมแยกกระเป๋าคริปโตที่มีมูลค่าสูงไว้ในอุปกรณ์ที่ไม่เชื่อมต่ออินเทอร์เน็ต (Cold Wallet)
