
ที่มาภาพ: The Hacker News
QuimaRAT RAT พัฒนาโดย Java รองรับ Windows Linux macOS ให้บริการแบบ MaaS
⚡ สรุป 30 วิ
LevelBlue เผย QuimaRAT RAT ใหม่เขียนด้วย Java ทำงานบน Windows, Linux และ macOS ให้บริการแบบ MaaS ตั้งแต่ $150 ตต่อปีจนถึง $1,200 ตลอดชีพ ช่วยหลบการตรวจจับและทำ…
Lead: นักวิจัยด้านความปลอดภัยไซเบอร์จาก LevelBlue รายงานการค้นพบแร็ทระยะไกล (RAT) ใหม่ชื่อ QuimaRAT ซึ่งพัฒนาโดยใช้ภาษา Java ทำให้สามารถทำงานได้บนระบบปฏิบัติการ Windows, Linux, และ macOS พร้อมให้บริการในรูปแบบ malware‑as‑a‑service (MaaS) โดยมีค่าใช้จ่ายตั้งแต่ $150 ต่อเดือนจนถึง $1,200 สำหรับการเข้าถึงตลอดอายุการใช้งาน ความสามารถข้ามแพลตฟอร์มและโมเดลเชิงพาณิชย์นี้เพิ่มความเสี่ยงให้กับองค์กรและผู้ใช้ทั่วไปอย่างมาก
Overview
QuimaRAT เป็น RAT ที่ออกแบบมาเพื่อทำงานบนหลายระบบปฏิบัติการโดยอาศัย Java Runtime Environment ทำให้นักโจมตีสามารถเขียนโค้ดเพียงครั้งเดียวแล้วนำไปใช้งานได้หลากหลายแพลตฟอร์ม การใช้ Java ยังช่วยให้มัลแวร์หลบเลี่ยงการตรวจจับของเครื่องมือรักษาความปลอดภัยที่อาจออกแบบมาเพื่อระบบปฏิบัติการเฉพาะ
ตามข้อมูลจาก LevelBlue แร็ทนี้ถูกเผยแพร่ผ่านช่องทาง darknet และฟอรัมขายซอฟต์แวร์มาลิชเชี่ยน (malware marketplace) โดยผู้ขายเปิดให้ซื้อแบบสมัครสมาชิกตามระยะเวลา การตั้งราคาและรูปแบบการจำหน่ายทำให้ผู้ต้องการใช้เทคโนโลยีนี้สามารถเข้าถึงได้โดยไม่ต้องมีความรู้ด้านเขียนโปรแกรมหรือโครงสร้างของระบบ
นอกจากนี้ รายงานยังชี้ให้เห็นว่าการจัดจำหน่ายในลักษณะ MaaS กำลังเป็นแนวโน้มใหม่ที่ทำให้มัลแวร์กลายเป็นบริการพร้อมซัพพอร์ตและอัปเดตต่อเนื่อง ซึ่งต่างจากการขายโค้ดแบบครั้งเดียวที่เคยเป็นมาตรฐานก่อนหน้านี้
Threat Mechanics
QuimaRAT ใช้คุณสมบัติของ Java เพื่อโหลดคลาส (class) ที่ทำหน้าที่ควบคุมระยะไกลผ่านเครือข่าย ผู้โจมตีสามารถส่งคำสั่งเพื่อดำเนินการต่าง ๆ เช่น ดึงข้อมูลส่วนตัว, บันทึกหน้าจอ, หรือเปิดพอร์ตใหม่สำหรับการเชื่อมต่อกลับมาโดยตรง
การสื่อสารของ RAT นี้ถูกเข้ารหัสด้วย TLS/SSL ทำให้การตรวจจับจากระบบ IDS/IPS ยากขึ้น นอกจากนี้ยังมีฟังก์ชันการหลบเลี่ยง (evasion) ที่ตรวจสอบว่าตัวแปรสภาพแวดล้อมเป็น sandbox หรือเครื่องทดสอบหรือไม่ ก่อนที่จะทำงานจริง
อีกประเด็นหนึ่งคือความสามารถในการทำ persistence บนระบบ Linux ผ่านไฟล์ systemd unit และบน macOS ผ่าน launch agents ซึ่งช่วยให้มัลแวร์ยังคงอยู่ในระบบแม้หลังการรีบูต
Pricing & Distribution Model
QuimaRAT ถูกนำเสนอเป็นบริการตามโมเดลสมัครสมาชิก มีระดับราคาอย่างต่อเนื่องดังนี้
- $150** ต่อเดือน สำหรับการเข้าถึงแบบพื้นฐาน
- $300** (รายละเอียดระดับไม่ระบุในแหล่งข้อมูล)
- $1,200** ครั้งเดียวเพื่อ lifetime access
ผู้ขายให้บริการสนับสนุนทางเทคนิคเบื้องต้นและอัปเดตเวอร์ชันใหม่เป็นส่วนหนึ่งของแพคเกจ นอกจากนี้ยังมีการจัดจำหน่ายผ่านช่องทางที่ไม่เปิดเผยตัวตนซึ่งทำให้การติดตามแหล่งกำเนิดยากขึ้น
Impact & Mitigation
องค์กรที่ใช้ระบบหลายประเภทจะต้องเผชิญกับความเสี่ยงจาก QuimaRAT เนื่องจากมัลแวร์นี้สามารถเจาะเข้าทั้ง Windows, Linux, และ macOS ได้พร้อมกัน การรั่วไหลของข้อมูลอาจเกิดขึ้นในทุกส่วนของโครงสร้างพื้นฐาน IT
เพื่อบรรเทาความเสี่ยง ผู้ดูแลระบบควรทำการตรวจสอบและอัปเดต Java Runtime ให้เป็นเวอร์ชันล่าสุด ติดตั้งแพตช์ด้านความปลอดภัย และกำหนดนโยบายให้ห้ามใช้งาน Java ที่ไม่ได้รับการรับรองจากแหล่งที่เชื่อถือได้ นอกจากนี้ การใช้ระบบป้องกันแบบ EDR (Endpoint Detection and Response) ที่สามารถตรวจจับพฤติกรรมของ RAT ได้เป็นวิธีหนึ่งในการลดผลกระทบ
นักวิเคราะห์ยังชี้ให้เห็นว่าการเพิ่มการตรวจสอบเครือข่ายสำหรับการสื่อสาร TLS/SSL ที่ไม่คาดคิดและการใช้เครื่องมือแบบไฟล์อินเทจเจอร์ (file integrity monitoring) สามารถช่วยระบุไฟล์คลาสของ Java ที่อาจเป็นโค้ดมัลแวร์ได้
Analysis
แนวโน้มการให้บริการ MaaS อย่าง QuimaRAT แสดงถึงการพัฒนาตลาดมาลิชเชี่ยนที่มีความซับซ้อนมากขึ้น ผู้โจมตีไม่จำเป็นต้องมีทักษะเขียนโค้ดระดับสูง เพียงแค่ซื้อบริการแล้วใช้งานตามขั้นตอนที่จัดเตรียมไว้ ทำให้จำนวนผู้ใช้มัลแวร์อาจเพิ่มอย่างรวดเร็ว
การเลือกใช้ Java เป็นเทคโนโลยีหลักของ RAT นี้เป็นการตอบสนองต่อความต้องการข้ามแพลตฟอร์มและลดค่าใช้จ่ายในการพัฒนา แต่อย่างไรก็ตาม การทำให้ Java กลายเป็นช่องทางโจมตีใหม่ ๆ จะส่งผลให้ผู้ผลิตระบบปฏิบัติการและเครื่องมือรักษาความปลอดภัยต้องปรับกลยุทธ์ตรวจจับเพื่อครอบคลุมพฤติกรรมของ JVM (Java Virtual Machine)
จากมุมมองด้านเศรษฐกิจไซเบอร์ ราคาตั้งแต่ $150 ต่อเดือนถึง $1,200 ตลอดอายุการใช้งานบ่งบอกว่าผู้ขายคาดหวังรายได้ที่มั่นคงจากฐานลูกค้าระดับกลางถึงสูง ซึ่งอาจรวมถึงบริษัทขนาดเล็กหรือบุคคลที่ต้องการเข้าถึงเทคนิคสปายแวร์ขั้นสูง
Summary
QuimaRAT แสดงให้เห็นว่ามัลแวร์ที่พัฒนาข้ามแพลตฟอร์มโดยใช้ Java กำลังเป็นภัยคุกคามสำคัญต่อระบบหลายประเภท พร้อมกับการจำหน่ายในรูปแบบ MaaS ที่ทำให้ผู้โจมตีเข้าถึงเทคนิคขั้นสูงได้ง่ายขึ้น องค์กรควรเพิ่มมาตรการตรวจจับและอัปเดตซอฟต์แวร์เพื่อป้องกันการรุกรานจาก RAT นี้อย่างต่อเนื่อง.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- New Java-Based QuimaRAT MaaS Built to Run on Windows, Linux, and macOS
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 6 กรกฎาคม 2569 เวลา 15:13



