TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
IBM X-Force เปิดเผยการค้นพบ Malware ตัวใหม่ชื่อ Slopoly ที่มีแนวโน้มว่าถูกสร้างขึ้นด้วยเครื่องมือ Generative AI โดยถูกนำไปใช้ในการโจมตีของกลุ่ม Interlock Ransomware
IBM X-Force วิเคราะห์ Malware ตัวนี้และพบหลักฐานหลายอย่างที่บ่งชี้ว่าถูกสร้างขึ้นด้วย Large Language Model (LLM) ได้แก่ การมี Comment อธิบายโค้ดอย่างละเอียด, Structured Logging, Error Handling ที่เป็นระบบ และการตั้งชื่อตัวแปรอย่างชัดเจน ซึ่งลักษณะเหล่านี้ไม่ค่อยพบใน Malware ที่เขียนโดยมนุษย์ การโจมตีครั้งนี้เริ่มต้นจากเทคนิค ClickFix Social Engineering และในขั้นตอนถัดมาแฮกเกอร์ได้ติดตั้ง Slopoly Backdoor ในรูปแบบ PowerShell Script ที่ทำหน้าที่เป็น Client สำหรับ Command-and-Control (C2) Framework ทำให้สามารถคงอยู่ในเซิร์ฟเวอร์ที่ถูกเจาะได้นานกว่า 1 สัปดาห์และขโมยข้อมูลออกไป
แม้ว่า Comment ในตัว Script จะระบุว่าเป็น “Polymorphic C2 Persistence Client” แต่ทาง IBM X-Force ไม่พบฟีเจอร์ที่สามารถแก้ไขโค้ดตัวเองระหว่างทำงานได้จริง โดย Slopoly จะถูกติดตั้งใน C:\ProgramData\Microsoft\Windows\Runtime\ และมีความสามารถหลักในการเก็บข้อมูลระบบ, ส่ง Heartbeat Beacon ทุก 30 วินาที, รับคำสั่งจาก C2 Server ทุก 50 วินาที, รันคำสั่งผ่าน cmd.exe, ดาวน์โหลดและรัน Payload ต่างๆ รวมถึงสร้าง Persistence ผ่าน Scheduled Task ชื่อ “Runtime Broker” ทั้งนี้ทาง IBM X-Force ระบุว่า Slopoly ไม่ได้มีเทคนิคขั้นสูงแต่อย่างใด แต่การที่ถูกนำไปใช้ใน Attack Chain ของกลุ่ม Ransomware บ่งชี้ว่าเครื่องมือ AI กำลังถูกใช้เพื่อเร่งการพัฒนา Custom Malware ที่ช่วยหลบเลี่ยงการตรวจจับได้
กลุ่ม Interlock Ransomware ปรากฏตัวครั้งแรกในปี 2024 และเป็นหนึ่งในกลุ่มแรกๆ ที่นำเทคนิค ClickFix มาใช้ รวมถึงเทคนิค FileFix ในภายหลัง การโจมตีครั้งนี้ยังพบการใช้ Malware อื่นๆ ร่วมด้วย เช่น NodeSnake และ InterlockRAT โดย Interlock เคยโจมตีองค์กรขนาดใหญ่มาแล้วหลายแห่ง เช่น Texas Tech University System, DaVita, Kettering Health และเมือง Saint Paul รัฐ Minnesota ทาง IBM X-Force ยังระบุว่ากลุ่มนี้อาจมีความเชื่อมโยงกับผู้พัฒนาเครื่องมืออื่นๆ อาทิ Broomstick, SocksShell, PortStarter, SystemBC และกลุ่มผู้ปฏิบัติการ Rhysida Ransomware
