แฮกเกอร์ใช้มัลแวร์ Slopoly ที่สร้างด้วย AI
แฮกเกอร์ใช้มัลแวร์ Slopoly ที่สร้างด้วย AI มาร่วมในปฏิบัติการแรนซัมแวร์ของทางกลุ่ม
คอนเทนต์ที่ถูกสร้างขึ้นด้วยปัญญาประดิษฐ์ หรือ AI-Generated Content นั้นอาจจะเป็นเรื่องธรรมดาในยุคปัจจุบัน แต่อีกเรื่องหนึ่งของผลิตภัณฑ์จาก AI ที่ไม่ควรเป็นเรื่องธรรมดาแต่กำลังมาแรง นั่นคือ มัลแวร์ที่ถูกสร้างขึ้นด้วย AI ที่กำลังเริ่มก่อปัญหามากขึ้นเรื่อย ๆ ในปัจจุบัน เช่นข่าวนี้
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญใหม่ของกลุ่มแฮกเกอร์ Hive0163 ซึ่งเป็นกลุ่มผู้ใช้มัลแวร์เพื่อการเรียกค่าไถ่ หรือ Ransomware เพื่อไถเงินจากบริษัทต่าง ๆ ซึ่งตามปกตินั้นมักจะมีการนำเอาเครื่องมือหลากชนิดมากใช้งานบนแคมเปญของตนอยู่แล้ว เช่น NodeSnake, Interlock RAT, JunkFiction Loader และ Interlock Ransomware แต่ในแคมเปญปัจจุบันนั้นกลับพบว่ามีความก้าวล้ำมากกว่าเดิม เนื่องจากได้มีการนำเอามัลแวร์ที่ถูกสร้างขึ้นด้วย AI อย่าง Slopoly เข้ามาช่วยใช้งานในการฝังแรนซัมแวร์ลงบนระบบเครื่องของเหยื่อ ซึ่งจากการสำรวจองค์ประกอบภายในต่าง ๆ ของตัวโค้ดมัลแวร์ ไม่ว่าจะเป็น ตัวแปร (Variables), การบันทึกการทำงาน (Logging), คอมเมนต์ (Comment) ทำให้สามารถยืนยันได้ว่าตัวมัลแวร์นั้นถูกสร้างด้วย AI รูปแบบโมเดลภาษาขนาดใหญ่ (LLM หรือ Large Language Model) อย่างแน่นอน ถึงแม้จะไม่ทราบว่าเป็นการใช้งาน LLM ของผู้พัฒนารายใดก็ตามในขณะนี้
ซึ่งมัลแวร์ดังกล่าวนั้นจะถูกใช้งานหลังจากที่แฮกเกอร์สามารถเข้าถึงระบบของเหยื่อได้สำเร็จ (Compromised) เพื่อสร้างความคงทนภายในระบบทำให้มัลแวร์ที่ใช้งานสามารถรันได้ตลอดเวลา (Persistence) โดยการฝังมัลแวร์ตัวนี้จะเริ่มจากการใช้งานสคริปท์ PowerShell เพื่อฝังมัลแวร์ลงไปยังโฟลเดอร์ "C:ProgramDataMicrosoftWindowsRuntime" แล้วจึงจัดการตั้งเวลาทำงาน (Task Scheduled) ภายใต้ชื่อ "Runtime Broker" โดยมัลแวร์ตัวนี้จะทำหน้าที่เป็นประตูหลังของระบบ (Backdoor) ให้แฮกเกอร์สามารถเข้าถึงตัวระบบได้ตลอดเวลาที่ตัวมัลแวร์ฝังตัวอยู่ รวมทั้งทำหน้าที่เป็นตัวส่งสัญญาณ หรือ Beacon เพื่อติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ทุก 30 วินาที และส่งคำขอรับคำสั่งทำงานเพิ่มเติมทุก 50 วินาที โดยคำสั่งที่ได้รับจะนำมารันผ่านทาง "cmd.exe" แล้วจึงส่งผลลัพธ์การทำงานกล�ับไปให้ยังเซิรฟ์เวอร์หลังจากรันคำสั่งเสร็จสมบูรณ์
สำหรับในการทำงานของแคมเปญนี้นั้น ทางทีมวิจัยจาก IBM X-Force ซึ่งเป็นหน่วยงานย่อยของ IBM บริษัทด้านไอทีขนาดยักษ์ ได้อธิบายว่าตัวแคมเปญนั้นจะเริ่มจากการหลอกให้เหยื่อเข้าสู่เว็บไซต์ปลอม แล้วใช้การแจ้งเตือนปลอมเพื่อหลอกให้เหยื่อติดตั้งมัลแวร์ หรือ ClickFix เพื่อติดตั้งมัลแวร์นกต่อตัวแรก NodeSnake ด้วยการรันสคริปท์ PowerShell หลังจากนั้นมัลแวร์ดังกล่าวก็จะทำการดาวน์โหลดมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ที่มีชื่อว่า Interlock RAT ลงมา โดยมัลแวร์ตัวนี้จะนำไปสู่การติดตั้งแรนซัมแวร์ในชื่อเดียวกัน, มัลแวร์ Slopoly, และ เครื่องมืออื่น ๆ ซึ่งจากการสืบสวนในเชิงลึกพบว่า เฟรมเวิร์ก (Framework) การทำงานของแคมเปญนี้ ได้มีการใช้งานสคริปท์หลากรูปแบบ เช่น PowerShell, PHP, C/C++, Java, และ JavaScript เพื่อให้สามารถทำงานได้ทั้งบนระบบปฏิบัติการ Windows และ Linux อีกด้วย
#ติดเทรนด์ #Lemon8ฮาวทู #lemon8ไดอารี่ #freedomhack #slopoly
การใช้ AI สร้างมัลแวร์อย่าง Slopoly กำลังเป็นความท้าทายใหม่สำหรับระบบความปลอดภัยไซเบอร์ โดย Slopoly ทำหน้าที่เป็นประตูหลัง (Backdoor) ให้แฮกเกอร์สามารถเข้าควบคุมระบบของเหยื่อได้ตลอดเวลา นอกจากนี้ยังมีฟังก์ชัน Beacon ที่ส่งสัญญาณติดต่อเซิร์ฟเวอร์ควบคุมทุก 30 วินาที เพื่อรับคำสั่งต่าง ๆ และรันผ่าน cmd.exe ซึ่งแสดงถึงความอันตรายและความซับซ้อนของมัลแวร์ที่สร้างด้วยโมเดลภาษาขนาดใหญ่ (LLM) ที่ไม่ใช่มนุษย์เขียนโค้ดโดยตรง จากประสบการณ์ส่วนตัวที่ติดตามข่าวเทคโนโลยีและความปลอดภัยไซเบอร์ พบว่าแฮกเกอร์ในยุคนี้ไม่ได้จำกัดแค่การใช้โค้ดแบบเดิม ๆ แต่ยังนำ AI เข้ามาช่วยสร้างโค้ดมัลแวร์ ทำให้โค้ดมีความซับซ้อนและยากต่อการตรวจจับมากขึ้น โดยมัลแวร์ Slopoly ถูกฝังผ่านสคริปต์ PowerShell ลงในโฟลเดอร์เฉพาะบน Windows และตั้งงาน Task Scheduler ชื่อ Runtime Broker เพื่ออำพรางการทำงานแอปพลิเคชันระบบที่ดูเหมือนปกติ ทั้งนี้แคมเปญของ Hive0163 เริ่มจากการล่อให้เหยื่อเข้าเว็บไซต์ปลอมและหลอกติดตั้งมัลแวร์ผ่าน ClickFix จากนั้นมัลแวร์จะดาวน์โหลด NodeSnake ซึ่งเป็นมัลแวร์คุมเครื่องระยะไกล (RAT) เพื่อเข้าสู่ขั้นตอนการติดตั้งแรนซัมแวร์ Interlock และ Slopoly ซึ่งนอกจากเป็นภัยต่อองค์กรต่าง ๆ แล้ว ยังแสดงให้เห็นว่าการใช้สคริปต์หลายภาษา เช่น PowerShell, PHP, C/C++, Java และ JavaScript เพื่อให้มัลแวร์ทำงานได้ทั้งบน Windows และ Linux เป็นความพยายามอย่างสูงสุดของแฮกเกอร์ในการทำให้มัลแวร์มีความยืดหยุ่นและแพร่กระจายได้ง่าย สำหรับผู้ใช้งานทั่วไป การรู้จักและระวังการคลิกลิงก์ที่ไม่น่าเชื่อถือ รวมถึงการอัปเดตระบบปฏิบัติการและโปรแกรมป้องกันไวรัสอยู่เสมอ เป็นวิธีลดความเสี่ยงที่ได้ผลอย่างมาก แม้แฮกเกอร์จะใช้ AI สร้างมัลแวร์ก็ตาม เพราะความปลอดภัยไซเบอร์นั้นเริ่มต้นจากการตระหนักรู้และระมัดระวังในพฤติกรรมการใช้งานอินเทอร์เน็ตของเราเอง
