ມັນແວ LameHug ໃຊ້ AI LLM ເພື່ອສ້າງຄຳສັ່ງລັກຂໍ້ມູນເທິງ Windows ແບບ real-time

ມັນ​ແວ​ (Malware) ຕະກູນ​ໃໝ່​ທີ່​ມີ​ຊື່​ວ່າ​ LameHug ກຳ​ລັງ​ໃຊ້​ large language model (LLM) ເພື່ອ​ສ້າງ​ຊຸດ​ຄຳ​ສັ່ງ​ສຳລັບ​ເອີ້ນ​ໃຊ້​ເທິງ​ລະບົບ​ Windows ທີ່​ຖືກ​ໂຈມ​ຕີ​ໄດ້​ສຳ​ເລັດ​.

LameHug ຖືກ​ຄົ້ນພົບ​ໂດຍ​ທີມ​ຮັບ​ມື​ເຫດການ​ທາງ​ໄຊ​ເບີ​​ຂອງ​ຢູ​ເຄຣນ​ (CERT-UA) ຊຶ່ງ​ລະ​ບຸ​ວ່າ​ ການ​ໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ເປັນ​ຝີ​ມື​ຂອງ​ກຸ່ມ​ APT28 ທີ່​ໄດ້ຮັບ​ການ​ສະໜັບ​ສະໜູນ​ຈາກ​ລັດຖະບານ​ຣັດ​ເຊຍ​ (ຫຼື ​ທີ່​ຮູ້​ຈັກ​ກັນ​ໃນ​ຊື່​ອື່ນ​ໆ​ ເຊັ່ນ:​ Sednit, Sofacy, Pawn Storm, Fancy Bear, STRONTIUM, Tsar Team ແລະ​ Forest Blizzard).

ມັນ​ແວ​​ໂຕ​ນີ້​ຖືກ​ຂຽນ​ຂຶ້ນ​ດ້ວຍ​ພາສາ​ Python ແລະ​ ໃຊ້​ Hugging Face API ເພື່ອ​ໂຕ້​ຕອບ​ກັບ​ LLM ທີ່​ຊື່​ວ່າ​ Qwen 2.5-Coder-32B-Instruct ຊຶ່ງ​ສາມາດ​ສ້າງ​ຊຸດ​ຄຳ​ສັ່ງ​ຕາມ​ prompts ທີ່​ໄດ້ຮັບ​.

ໂມ​ເດ​ວ​ LLM ໂຕ​ນີ້​ຖືກ​ສ້າງ​ໂດຍ​ Alibaba Cloud ໂດຍ​ເປັນ​ open-source ທີ່​ຖືກ​ອອກ​ແບບ​ມາ​ໂດຍ​ສະເພາະ​ເພື່ອ​ສ້າງ​ໂຄ້ດ​ (Code), ໃຫ້​ເຫດຜົນ​ ແລະ ​ເຮັດ​ຕາມ​ຄຳ​ສັ່ງ​ທີ່​ເນັ້ນ​ດ້ານ​ການ​ຂຽນ​ໂຄ້ດ​ໂດຍ​ສະເພາະ​ ໂດຍ​ສາມາດ​ແປງ​ຄຳ​ອະທິບາຍ​ທີ່​ເປັນ​ພາສາ​ຂອງ​ມະນຸດ​ທົ່ວ​ໄປ​ໃຫ້​ກາຍ​ເປັນ​ executable code (ໃນ​ຫຼາຍ​ພາສາ​) ຫຼື ​ແປງ​ເປັນ​ shell commands ກໍ່​ໄດ້​.

CERT-UA ກວດ​ພົບ​ LameHug ຫຼັງ​ຈາກ​ໄດ້ຮັບ​ລາຍ​ງານ​ໃນວັນທີ​ 10 ກໍລະກົດ ທີ່​ຜ່ານມາ​ ກ່ຽວກັບ​ອີ​ເມວ​ອັນຕະລາຍ​ທີ່​ຖືກ​ສົ່ງ​ຈາກ​ບັນ​ຊີ​ທີ່​ຖືກ​ແຮັກ​ ແລະ ​ແອບ​ອ້າງ​ເປັນ​ເຈົ້າ​ຫນ້າທີ່​ຈາກ​ຫນ່ວຍ​ງານ​ຂອງ​ກະ​ຊວງ​ ໂດຍ​ພະຍາຍາມ​ແຜ່ກ​ະ​ຈາຍ​ມັນ​ແວ​ໄປຫາ​ໜ່ວຍ​ງານ​ບໍລິຫານ​ຂອງ​ລັດຖະບານ​.

ໃນ​ອີ​ເມວ​ດັ່ງ​ກ່າວ​ມີ​ຟາຍ​ ZIP ແນບ​ມາ​ນໍາ​ ຊຶ່ງ​ພາຍ​ໃນ​ບັນ​ຈຸ​ loader ຂອງ​ LameHug ຢູ່​ພາຍ​ໃນ​ ທາງ​ CERT-UA ພົບ​ວ່າ​ມີ​ຢ່າງ​ນ້ອຍ​ 3 ຮູບ​ແບບ​ ທີ່​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​ ໄດ້​ແກ່​ Attachment.pif, AI_generator_uncensored_Canvas_PRO_v0.9.exe ແລະ​ image.py.

ໜ່ວຍ​ງານ​ຂອງ​ຢູ​ເຄຣນ​ລະ​ບຸ​ວ່າ​ ການ​ດຳ​ເນີນ​ການ​ນີ້​ມີ​ຄວາມ​ເປັນ​ໄປ​ໄດ້​ໃນ​ລະ​ດັບ​ປານ​ກາງ​ວ່າ​ກ່ຽວ​ຂ້ອງ​ກັບ​ກຸ່ມ​ໄພຄຸກ​ຄາມ​ຈາກ​ຣັດ​ເຊຍ​ທີ່​ຊື່​ APT28.

ຈາກ​ການ​ໂຈມ​ຕີ​ທີ່​ກວດ​ພົບ​ ມັນ​ແວ​​ LameHug ຖືກ​ໃຊ້​ໃນ​ການ​ເອີ້ນ​ໃຊ້​ຄຳ​ສັ່ງ​ເພື່ອ​ສອດແນມ​ລະບົບ​ ແລະ​ ລັກ​ຂໍ້​ມູນ​ ໂດຍ​ຄຳ​ສັ່ງ​ເຫຼົ່າ​ນີ້​ຖືກ​ສ້າງ​ຂຶ້ນ​ມາ​ແບບ​ໄດ​ນາ​ມິກ​ (Dynamics) ຜ່ານ​ prompts ທີ່​ສົ່ງ​ໄປ​ຫາ​ LLM.

ມັນ​ແວ​​ LameHug ໃຊ້​ຄຳ​ສັ່ງ​ທີ່​ສ້າງ​ຈາກ​ AI ເພື່ອ​ດຳ​ເນີນ​ການ​ສັງລວມ​ຂໍ້​ມູນ​ລະບົບ​ ແລະ​ ບັນ​ທຶກ​ລົງ​ໃນຟາຍ info.txt, ຄົ້ນ​ຫາ​ຟາຍ​ເອກະສານ​ໃນ​ໂຟນ​ເດີ​​ຫຼັກ​ຂອງ​ Windows (ເຊັ່ນ​: Documents, Desktop, Downloads) ແລະ​ ສົ່ງ​ຂໍ້​ມູນ​ອອກ​ໄປ​ຫາ​ພາຍນອກ​ໂດຍ​ໃຊ້​ໂປຣ​ໂຕຄອນ (Protocol)​ SFTP ຫຼື ​ຜ່ານ​ HTTP POST requests.

LameHug ຖື​ເປັນ​ມັນ​ແວ​ໂ​ຕ​ທໍາອິດ​ທີ່​ມີ​ການ​ບັນ​ທຶກ​ ແລະ ​ເປີດ​ເຜີຍ​ຕໍ່​ສາທາລະນະ​ວ່າ​ມີ​ການ​ນຳ​ LLM ເຂົ້າ​ມາ​ຊ່ວຍ​ໃນ​ການ​ເຮັດ​ວຽກ​ຕາມ​ຄຳ​ສັ່ງ​ຂອງ​ຜູ້​ໂຈມ​ຕີ​.

ຈາກ​ມຸມ​ມອງ​ທາງ​ເຕັກ​ນິກ​ ສິ່ງ​ນີ້​ອາດຈະ​ເປັນ​ຈຸດ​ເລີ່ມ​ຕົ້ນ​ຂອງ​ການ​ໂຈມ​ຕີ​ໃນ​ຮູບ​ແບບ​ໃໝ່​ ທີ່​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ປັບ​ປ່ຽນ​ກົນ​ລະຍຸດ​ຂອງ​ຕົນເອງ​ໄດ້​ໃນ​ລະຫວ່າງ​ການ​ໂຈມ​ຕີ​ ໂດຍ​ບໍ່​ຈຳ​ເປັນ​ຕ້ອງ​ໃຊ້​ payloads ໃໝ່​.

ນອກ​ຈາກ​ນີ້,​ ການ​ໃຊ້​ໂຄງ​ສ້າງ​ພື້ນ​ຖານ​ຂອງ​ Hugging Face ເພື່ອ​ເປັນ​ຊ່ອງ​ທາງ​ການ​ໂຈມ​ຕີ​ Command and Control ອາດ​ຊ່ວຍ​ໃຫ້​ການ​ສື່​ສານ​ຖືກ​ກວດ​ຈັບ​ໄດ້​ຍາກ​ຂຶ້ນ​ ເຮັດໃຫ້​ການ​ໂຈມ​ຕີ​ອາດ​ບໍ່​ຖືກ​ກວດ​ຈັບ​ເປັນ​ໄລຍະ​ເວລາ​ດົນ​ຂຶ້ນ​.

ການ​ໃຊ້​ຄຳ​ສັ່ງ​ທີ່​ສ້າງ​ຂຶ້ນ​ແບບ​ໄດ​ນາ​ມິກ​ ຍັງ​ຊ່ວຍ​ໃຫ້​ມັນ​ແວ​​ສາມາດ​ຫຼີກ​ລ້ຽງ​ການ​ກວດ​ຈັບ​ຈາກ​ຊອບແວຮັກສາ​ຄວາມ​ປອດໄ​ພ ຫຼື ​ເຄື່ອງ​ມື​ວິ​ເຄາະ​ແບບ​ static ທີ່​ຄອຍ​ຖ້າ​ຊອກ​ຫາ​ຄຳ​ສັ່ງ​ທີ່​ຖືກ​ຝັງ​ໄວ້​ແບບ​ hardcoded.

ທາງ​ CERT-UA ບໍ່​ໄດ້ລະ​ບຸ​ວ່າ​ ຄຳ​ສັ່ງ​ທີ່​ສ້າງ​ໂດຍ​ LLM ທີ່​ຖືກ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​ດ້ວຍ​ LameHug ນັ້ນ​ປະ​ສົບ​ຄວາມ​ສຳ​ເຣັດ​ ຫຼື ​ບໍ່​.

ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/lamehug-malware-uses-ai-llm-to-craft-windows-data-theft-commands-in-real-time/
  2. https://www.i-secure.co.th/2025/07/%e0%b8%a1%e0%b8%b1%e0%b8%a5%e0%b9%81%e0%b8%a7%e0%b8%a3%e0%b9%8c-lamehug-%e0%b9%83%e0%b8%8a%e0%b9%89-ai-llm-%e0%b9%80%e0%b8%9e%e0%b8%b7%e0%b9%88%e0%b8%ad%e0%b8%aa%e0%b8%a3%e0%b9%89%e0%b8%b2%e0%b8%87/

 

322 Views