บริษัทรักษาความปลอดภัย Proofpoint ได้เปิดเผยแล้ว แคมเปญจารกรรมทางไซเบอร์ที่มุ่งเป้าไปที่ผู้เชี่ยวชาญด้านปัญญาประดิษฐ์ (AI) ในภาคเอกชน สถาบันการศึกษา และรัฐบาล การดำเนินการที่ซับซ้อนนี้โดยใช้โทรจันการเข้าถึงระยะไกล (RAT) ที่เรียกว่า SugarGh0st มุ่งเน้นไปที่ผู้เชี่ยวชาญด้าน AI เชิงสร้างสรรค์ซึ่งมีฐานอยู่ในสหรัฐฯ เป็นหลัก
แคมเปญและผลที่ตามมา
ข้อค้นพบของ Proofpoint สอดคล้องกัน ด้วย รอยเตอร์ รายงานตั้งแต่วันที่ 8 พฤษภาคม 2024 ซึ่งเน้นย้ำถึงมาตรการที่เพิ่มขึ้นของสหรัฐฯ เพื่อจำกัดการเข้าถึงเทคโนโลยี AI เชิงสร้างสรรค์ของจีน การจัดตำแหน่งชั่วคราวนี้ชี้ให้เห็นว่านักแสดงชาวจีนอาจหันมาใช้หน่วยจารกรรมเพื่อพัฒนาขีดความสามารถด้าน AI ของตน แม้ว่า Proofpoint จะไม่ได้ระบุกิจกรรมดังกล่าวว่าเป็นของหน่วยงานใดโดยเฉพาะ แต่ก็มีการระบุชั่วคราวว่าผู้ปฏิบัติการที่อยู่เบื้องหลังการโจมตีเหล่านี้คือ UNK_SweetSpecter
SugarGh0st เป็นรูปแบบหนึ่งของ Gh0stRAT ซึ่งเป็นโทรจันที่กลุ่มชาวจีนกลุ่มต่างๆ ใช้ก่อนหน้านี้ Cisco Talos บันทึก SugarGh0st เป็นครั้งแรกในเดือนพฤศจิกายน 2023 หลังจากการปรับใช้กับหน่วยงานรัฐบาลในอุซเบกิสถานและเกาหลีใต้ รหัสของโทรจันประกอบด้วยสิ่งประดิษฐ์ที่เป็นภาษาจีน และวิธีการติดเชื้อมีความคล้ายคลึงกับเหตุการณ์ก่อนหน้านี้ ซึ่งสนับสนุนสมมติฐานของผู้คุกคามที่พูดภาษาจีนกลาง
กลยุทธ์ เทคนิค และขั้นตอน
ผู้โจมตีใช้อีเมลฟิชชิ่งเป็นรายการหลัก วิธีการใช้ประโยชน์จากธีมที่เกี่ยวข้องกับ AI เพื่อล่อเหยื่อ อีเมลเหล่านี้ส่งจากบัญชีฟรี ดึงดูดเป้าหมายให้เปิดไฟล์ ZIP ที่แนบมาซึ่งมีไฟล์.LNK ไฟล์เหล่านี้ดำเนินการคำสั่งเชลล์ทางอ้อม ซึ่งนำไปสู่การปรับใช้หยด JavaScript หยดทำหน้าที่หลายอย่าง: การแสดงเอกสารล่อ การใช้เครื่องมือ ActiveX สำหรับไซด์โหลด และการปรับใช้ไบนารีที่เข้ารหัส ไลบรารี ActiveX มีความสำคัญอย่างยิ่งในการรันเชลล์โค้ด ซึ่งจะเริ่มต้น SugarGh0st RAT ผ่านรายการเริ่มต้นที่ชื่อ CTFM0N.exe ซึ่งจะฝังมัลแวร์ไว้ภายในระบบ
ขอบเขตและวัตถุประสงค์
การติดตามการปรับใช้ SugarGh0st ของ Proofpoint เผยให้เห็นรูปแบบของการโจมตีที่ตรงเป้าหมายสูง ผู้ที่ตกเป็นเหยื่อ ได้แก่ บริษัทโทรคมนาคมยักษ์ใหญ่ของสหรัฐฯ สื่อนานาชาติ หน่วยงานรัฐบาลเอเชียใต้ และบุคคลประมาณ 10 รายที่เกี่ยวข้องกับองค์กร AI ชั้นนำของอเมริกา ความเฉพาะเจาะจงของการโจมตีเหล่านี้และการมุ่งเน้นไปที่เครื่องมือ AI บ่งบอกถึงความตั้งใจของผู้โจมตีที่จะรับข้อมูลที่ละเอียดอ่อนและไม่เปิดเผยต่อสาธารณะที่เกี่ยวข้องกับ generative AI
รายงานนี้เน้นย้ำถึงภัยคุกคามที่เกิดขึ้นใหม่ที่ชุมชนการวิจัย AI ต้องเผชิญ และแนะนำ การเปลี่ยนแปลงที่อาจเกิดขึ้นในกลยุทธ์การจารกรรมทางไซเบอร์ที่มีผลกระทบในวงกว้างต่อการแข่งขันทางเทคโนโลยีระดับโลก การวิเคราะห์ที่ครอบคลุมของ Proofpoint ประกอบด้วยตัวบ่งชี้การประนีประนอม เช่น ไฟล์แฮช ที่อยู่ IP และ URL พร้อมด้วยลายเซ็นการตรวจจับ ซึ่งให้ข้อมูลข่าวกรองที่จำเป็นสำหรับการเสริมสร้างการป้องกันภัยคุกคามทางไซเบอร์นี้และที่คล้ายกัน
ข้อมูลเพิ่มเติม
strong>
Proofpoint ติดตามคลัสเตอร์ที่รับผิดชอบกิจกรรมนี้เป็น UNK_SweetSpecter ในแคมเปญเดือนพฤษภาคม 2024 UNK_SweetSpecter ใช้บัญชีอีเมลฟรีเพื่อส่งเหยื่อล่อธีม AI เพื่อล่อลวงให้เป้าหมายเปิดไฟล์ ZIP ที่แนบมา ห่วงโซ่การติดไวรัสเลียนแบบวิธีการที่รายงานไว้ก่อนหน้านี้โดย Cisco Talos โดยมีไฟล์ LNK ที่มีสิ่งประดิษฐ์ของข้อมูลเมตาที่คล้ายกันและการประทับเวลาที่ปลอมแปลง
หยด JavaScript มีเอกสารหลอกลวง เครื่องมือ ActiveX สำหรับไซด์โหลด และไบนารีที่เข้ารหัส ทั้งหมดเข้ารหัสใน base64 เพย์โหลดแสดงคีย์ล็อก คำสั่งและการควบคุม (C2) โปรโตคอลฮาร์ทบีท และวิธีการกรองข้อมูล ความแตกต่างในห่วงโซ่การติดไวรัสที่ Proofpoint ตรวจพบ ได้แก่ ชื่อคีย์รีจิสทรีที่ได้รับการแก้ไขเพื่อความคงอยู่ จำนวนคำสั่งที่ลดลงที่เพย์โหลด SugarGh0st สามารถดำเนินการได้ และเซิร์ฟเวอร์ C2 อื่น
