แฮกเกอร์ใช้มัลแวร์ Slopoly ที่สร้างด้วย AI มาร่วมในปฏิบัติการแรนซัมแวร์

แฮกเกอร์ใช้มัลแวร์ Slopoly ที่สร้างด้วย AI มาร่วมในปฏิบัติการแรนซัมแวร์ของทางกลุ่ม

คอนเทนต์ที่ถูกสร้างขึ้นด้วยปัญญาประดิษฐ์ หรือ AI-Generated Content นั้นอาจจะเป็นเรื่องธรรมดาในยุคปัจจุบัน แต่อีกเรื่องหนึ่งของผลิตภัณฑ์จาก AI ที่ไม่ควรเป็นเรื่องธรรมดาแต่กำลังมาแรง นั่นคือ มัลแวร์ที่ถูกสร้างขึ้นด้วย AI ที่กำลังเริ่มก่อปัญหามากขึ้นเรื่อย ๆ ในปัจจุบัน เช่นข่าวนี้

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญใหม่ของกลุ่มแฮกเกอร์ Hive0163 ซึ่งเป็นกลุ่มผู้ใช้มัลแวร์เพื่อการเรียกค่าไถ่ หรือ Ransomware เพื่อไถเงินจากบริษัทต่าง ๆ ซึ่งตามปกตินั้นมักจะมีการนำเอาเครื่องมือหลากชนิดมากใช้งานบนแคมเปญของตนอยู่แล้ว เช่น NodeSnake, Interlock RAT, JunkFiction Loader และ Interlock Ransomware แต่ในแคมเปญปัจจุบันนั้นกลับพบว่ามีความก้าวล้ำมากกว่าเดิม เนื่องจากได้มีการนำเอามัลแวร์ที่ถูกสร้างขึ้นด้วย AI อย่าง Slopoly เข้ามาช่วยใช้งานในการฝังแรนซัมแวร์ลงบนระบบเครื่องของเหยื่อ ซึ่งจากการสำรวจองค์ประกอบภายในต่าง ๆ ของตัวโค้ดมัลแวร์ ไม่ว่าจะเป็น ตัวแปร (Variables), การบันทึกการทำงาน (Logging), คอมเมนต์ (Comment) ทำให้สามารถยืนยันได้ว่าตัวมัลแวร์นั้นถูกสร้างด้วย AI รูปแบบโมเดลภาษาขนาดใหญ่ (LLM หรือ Large Language Model) อย่างแน่นอน ถึงแม้จะไม่ทราบว่าเป็นการใช้งาน LLM ของผู้พัฒนารายใดก็ตามในขณะนี้

ซึ่งมัลแวร์ดังกล่าวนั้นจะถูกใช้งานหลังจากที่แฮกเกอร์สามารถเข้าถึงระบบของเหยื่อได้สำเร็จ (Compromised) เพื่อสร้างความคงทนภายในระบบทำให้มัลแวร์ที่ใช้งานสามารถรันได้ตลอดเวลา (Persistence) โดยการฝังมัลแวร์ตัวนี้จะเริ่มจากการใช้งานสคริปท์ PowerShell เพื่อฝังมัลแวร์ลงไปยังโฟลเดอร์ "C:ProgramDataMicrosoftWindowsRuntime" แล้วจึงจัดการตั้งเวลาทำงาน (Task Scheduled) ภายใต้ชื่อ "Runtime Broker" โดยมัลแวร์ตัวนี้จะทำหน้าที่เป็นประตูหลังของระบบ (Backdoor) ให้แฮกเกอร์สามารถเข้าถึงตัวระบบได้ตลอดเวลาที่ตัวมัลแวร์ฝังตัวอยู่ รวมทั้งทำหน้าที่เป็นตัวส่งสัญญาณ หรือ Beacon เพื่อติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ทุก 30 วินาที และส่งคำขอรับคำสั่งทำงานเพิ่มเติมทุก 50 วินาที โดยคำสั่งที่ได้รับจะนำมารันผ่านทาง "cmd.exe" แล้วจึงส่งผลลัพธ์การทำงานกลับไปให้ยังเซิรฟ์เวอร์หลังจากรันคำสั่งเสร็จสมบูรณ์

สำหรับในการทำงานของแคมเปญนี้นั้น ทางทีมวิจัยจาก IBM X-Force ซึ่งเป็นหน่วยงานย่อยของ IBM บริษัทด้านไอทีขนาดยักษ์ ได้อธิบายว่าตัวแคมเปญนั้นจะเริ่มจากการหลอกให้เหยื่อเข้าสู่เว็บไซต์ปลอม แล้วใช้การแจ้งเตือนปลอมเพื่อหลอกให้เหยื่อติดตั้งมัลแวร์ หรือ ClickFix เพื่อติดตั้งมัลแวร์นกต่อตัวแรก NodeSnake ด้วยการรันสคริปท์ PowerShell หลังจากนั้นมัลแวร์ดังกล่าวก็จะทำการดาวน์โหลดมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ที่มีชื่อว่า Interlock RAT ลงมา โดยมัลแวร์ตัวนี้จะนำไปสู่การติดตั้งแรนซัมแวร์ในชื่อเดียวกัน, มัลแวร์ Slopoly, และ เครื่องมืออื่น ๆ ซึ่งจากการสืบสวนในเชิงลึกพบว่า เฟรมเวิร์ก (Framework) การทำงานของแคมเปญนี้ ได้มีการใช้งานสคริปท์หลากรูปแบบ เช่น PowerShell, PHP, C/C++, Java, และ JavaScript เพื่อให้สามารถทำงานได้ทั้งบนระบบปฏิบัติการ Windows และ Linux อีกด้วย