เตือนภัย! แฮกเกอร์ใช้ AI ช่วยเขียนโค้ด ปล่อยมัลแวร์ Venom RAT พุ่งเป้าโจมตีธุรกิจโรงแรม
กลุ่มแฮกเกอร์ที่รู้จักกันในชื่อ TA558 กลับมาเคลื่อนไหวอีกครั้ง โดยถูกพบว่าอยู่เบื้องหลังการโจมตีระลอกใหม่ที่พุ่งเป้าไปที่ธุรกิจโรงแรมในประเทศบราซิลและกลุ่มประเทศที่ใช้ภาษาสเปน ด้วยการปล่อยมัลแวร์ควบคุมเครื่องจากระยะไกล (RAT) ที่ชื่อว่า Venom RAT เพื่อเจาะเข้าระบบ
Kaspersky บริษัทความปลอดภัยทางไซเบอร์ชื่อดังจากรัสเซีย ซึ่งติดตามกิจกรรมของกลุ่มแฮกเกอร์นี้ภายใต้ชื่อ RevengeHotels ระบุว่า การโจมตีดังกล่าวถูกตรวจพบในช่วงฤดูร้อนปี 2025 ที่ผ่านมา โดยคนร้ายยังคงใช้วิธีส่งอีเมลฟิชชิ่ง (Phishing) ที่อ้างว่าเป็นใบแจ้งหนี้หรือการจองห้องพัก เพื่อหลอกให้เหยื่อเปิดไฟล์ ซึ่งจะนำไปสู่การติดตั้งมัลแวร์ Venom RAT ผ่านสคริปต์ JavaScript และ PowerShell
สิ่งที่น่าตกใจและเป็นแนวโน้มใหม่คือ Kaspersky พบว่า "โค้ดส่วนใหญ่ที่ใช้ในการเจาะระบบช่วงแรกและตัวดาวน์โหลดนั้น ดูเหมือนจะถูกสร้างขึ้นโดยปัญญาประดิษฐ์ประเภท Large Language Model (LLM)" ซึ่งแสดงให้เห็นว่ากลุ่มอาชญากรไซเบอร์เริ่มนำ AI มาใช้เพื่อเพิ่มประสิทธิภาพและยกระดับวิธีการโจมตีของตนเองแล้ว
ประวัติและเป้าหมายของกลุ่ม RevengeHotels
กลุ่ม RevengeHotels นี้เคลื่อนไหวมาตั้งแต่ปี 2015 เป็นอย่างน้อย โดยมีประวัติการโจมตีองค์กรในกลุ่มธุรกิจโรงแรมและการท่องเที่ยวในแถบละตินอเมริกาเป็นหลัก ในอดีตพวกเขาเคยใช้มัลแวร์ RAT หลากหลายชนิด เช่น Revenge RAT, NjRAT, Agent Tesla และอื่นๆ
เป้าหมายหลักของการโจมตีคือ การขโมยข้อมูลบัตรเครดิตของแขกผู้เข้าพักและนักท่องเที่ยว ที่ถูกเก็บไว้ในระบบของโรงแรม รวมถึงข้อมูลบัตรเครดิตที่ได้รับมาจากเว็บไซต์จองที่พักออนไลน์ (OTA) ยอดนิยมอย่าง Booking.com
กลไกการโจมตีที่ใช้ AI ช่วย
ในแคมเปญล่าสุด แฮกเกอร์จะส่งอีเมลฟิชชิ่งในภาษาโปรตุเกสและสเปน โดยปลอมแปลงเป็นอีเมลจองโรงแรมหรือใบสมัครงาน เพื่อหลอกให้ผู้รับคลิกลิงก์ปลอม ซึ่งจะนำไปสู่การดาวน์โหลดสคริปต์ JavaScript ที่มีลักษณะพิเศษคือ มีคอมเมนต์อธิบายโค้ดจำนวนมากและมีรูปแบบคล้ายกับโค้ดที่สร้างโดย LLM สคริปต์นี้จะทำหน้าที่ดาวน์โหลดสคริปต์ PowerShell เพื่อดึงเพย์โหลดขั้นต่อไป และติดตั้ง Venom RAT ลงในเครื่องของเหยื่อในที่สุด
ความร้ายกาจของ Venom RAT
Venom RAT เป็นมัลแวร์ที่พัฒนาต่อยอดมาจาก Quasar RAT ซึ่งเป็นโอเพนซอร์ส และมีขายในตลาดมืดในราคาประมาณ $650 (ประมาณ 24,000 บาท) สำหรับใบอนุญาตตลอดชีพ มันมีความสามารถที่อันตรายหลายอย่าง เช่น:
- ขโมยข้อมูล: สามารถดักจับข้อมูลสำคัญต่างๆ จากเครื่องที่ติดเชื้อได้
- กลไกป้องกันการถูกปิด (Anti-kill): มีความสามารถในการป้องกันตัวเองจากการถูกลบหรือปิดการทำงานโดยโปรแกรมแอนตี้ไวรัส หรือเครื่องมือของผู้ดูแลระบบ
- ยกระดับตัวเอง: หากมัลแวร์ทำงานด้วยสิทธิ์ผู้ดูแลระบบ (Administrator) มันจะยกระดับตัวเองเป็นโปรเซสสำคัญของระบบ (Critical System Process) ทำให้ยากต่อการกำจัดอย่างยิ่ง
- แพร่กระจายผ่าน USB: สามารถแพร่กระจายตัวเองผ่านไดรฟ์ USB ที่เสียบเข้ากับเครื่องได้
- ปิดการทำงานของโปรแกรมความปลอดภัย: มีความสามารถในการสั่งปิดการทำงานของ Microsoft Defender Antivirus และแก้ไขระบบเพื่อไม่ให้โปรแกรมกลับมาทำงานได้
Kaspersky สรุปว่า "กลุ่ม RevengeHotels ได้พัฒนาขีดความสามารถของตนเองขึ้นอย่างมาก การใช้ AI ประเภท LLM เข้ามาช่วย ทำให้กลุ่มนี้สามารถสร้างและปรับเปลี่ยนเนื้อหาในอีเมลฟิชชิ่งได้อย่างรวดเร็วและมีประสิทธิภาพมากขึ้น ส่งผลให้สามารถขยายการโจมตีไปยังภูมิภาคใหม่ๆ ได้อย่างง่ายดาย"
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก