หน่วยตอบสนองเหตุการณ์ไซเบอร์ของยูเครน (CERT-UA) พบมัลแวร์ตระกูลใหม่ชื่อ “LameHug” ใช้เทคโนโลยี AI LLM (Large Language Model หรือ โมเดลภาษาขนาดใหญ่) เพื่อสร้างคำสั่งโจมตี Windows แบบเรียลไทม์ ซึ่ง CERT-UA มั่นใจว่ามัลแวร์นี้เชื่อมโยงกับ APT28 หรือที่รู้จักกันในชื่ออื่นๆ เช่น UAC-0001, Fancy Bear, Pawn Storm, Sofacy Group, Sednit, BlueDelta และ STRONTIUM เป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัสเซีย

เมื่อวันที่ 10 ก.ค. 2025 หน่วย CERT-UA ตรวจพบแคมเปญฟิชชิ่งที่พุ่งเป้าหน่วยงานราชการโดยเฉพาะ โดยการโจมตีนี้เริ่มต้นจากการส่งอีเมลเจ้าหน้าที่ของยูเครนที่ถูกแฮก เพื่อหลอกให้เจ้าหน้าที่ระดับสูงเปิดไฟล์หรือคลิกลิงก์ที่แนบมาพร้อมกับมัลแวร์ LameHug ซึ่งแฝงตัวในรูปแบบไฟล์ .pif ที่สร้างขึ้นด้วยภาษา Python ผ่าน PyInstaller โดยตรวจพบว่ามี 2 เวอร์ชัน และใช้วิธีขโมยข้อมูลต่างกัน ผู้โจมตีใช้บัญชีอีเมลที่ถูกแฮก และโฮสต์เซิร์ฟเวอร์ผ่านแพลตฟอร์มที่ถูกแฮกซึ่งดูน่าเชื่อถือ

รายละเอียดมัลแวร์ Lamehug

มัลแวร์ Lamehug ใช้โมเดล Qwen 2.5-Coder-32B-Instruct ซึ่งเป็น LLM แบบโอเพนซอร์สจากทีม Qwen ของ Alibaba โดยผ่าน API (Application Programming Interface) ของ Huggingface[.]co เพื่อสร้างคำสั่งตามคำอธิบายที่ระบุไว้ล่วงหน้า Qwen 2.5-Coder-32B-Instruct เป็นโมเดลที่ถูกออกแบบมาเพื่อใช้กับงานเขียนโค้ดและสามารถสร้างคำสั่ง Shell (โปรแกรมที่โต้ตอบผู้ใช้) หรือ Code ตามคำอธิบายจากภาษาธรรมชาติได้โดยตรง จากการวิเคราะห์พบว่า LLM ดังกล่าวถูกนำมาใช้ในการสร้างคำสั่งที่ออกแบบเฉพาะ เพื่อสั่งงานมัลแวร์บนเครื่องเป้าหมายแบบเรียลไทม์ เพื่อหลีกเลี่ยงและลดการถูกตรวจจับจากระบบรักษาความปลอดภัยแบบเดิม

พฤติกรรมของมัลแวร์

มัลแวร์ Lamehug จะรวบรวมข้อมูลพื้นฐาน เช่น ฮาร์ดแวร์, รายการโปรเซส, เซอร์วิส, การเชื่อมต่อเครือข่ายและสามารถค้นหาไฟล์ Office, PDF และ TXT ภายในโฟลเดอร์ทั่วไป เช่น Documents, Desktop, Downloads ทำการจัดเก็บข้อมูลในเครื่อง หลังจากนั้นขโมยไฟล์เหล่านี้แล้วส่งผ่าน SFTP หรือ HTTP POST ไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์

วิธีป้องกันมัลแวร์ LameHug

1. จำกัดการเข้าถึง LLM หรือ API ภายนอก : บล็อกการเข้าถึง Hugging Face API หรือโดเมนที่ไม่จำเป็นจากเครื่องผู้ใช้ปลายทางและตรวจสอบการเรียก API ที่ผิดปกติโดยเฉพาะที่เกี่ยวข้องกับ AI coding models
2. ใช้ Endpoint Security ที่มี AI/ML : ใช้ EDR (Endpoint Detection & Response) ที่ตรวจจับพฤติกรรมมัลแวร์ไม่ใช่แค่ไฟล์ต้องรองรับการตรวจจับพฤติกรรมไดนามิก เช่น การสร้างไฟล์ info.txt, การส่งข้อมูลผ่าน HTTP POST/SFTP
3. แยกเครือข่าย (Network Segmentation) : แยก IoT, ผู้ใช้ทั่วไป, และระบบสำคัญออกจากกันหากเครื่องใดติดมัลแวร์จะจำกัดความเสียหายไม่ให้กระจายไปทั่วเครือข่าย
4. อัปเดตระบบอย่างสม่ำเสมอ

สรุป

มัลแวร์ LameHug ถือเป็นมัลแวร์ตัวแรกที่ใช้ LLM ในการสร้างคำสั่งทำให้แฮกเกอร์สามารถปรับการโจมตีให้เหมาะกับแต่ละระบบได้ เนื่องจากมัลแวร์ชนิดนี้สามารถหลีกเลี่ยงการตรวจจับได้ดีกว่ามัลแวร์ทั่วไป จึงเป็นทิศทางใหม่ที่น่ากังวลสําหรับภัยคุกคามทางไซเบอร์ที่ต้องศึกษาและปรับตัวให้ทันอยู่เสมอ

ที่มา:
bleepingcomputer, enterpriseitpro, securityaffairs