“เมื่อ ChatGPT กลายเป็นอาวุธ” – แฮกเกอร์ใช้ Generative AI หลบเลี่ยงแอนติไวรัส

โลกไซเบอร์กำลังเผชิญภัยคุกคามที่ซับซ้อนยิ่งขึ้น เมื่อแฮกเกอร์เริ่มนำ Generative AI เช่น ChatGPT มาใช้เป็นเครื่องมือโจมตี โดยล่าสุดมีการค้นพบแคมเปญที่ใช้ AI สร้าง ภาพปลอม (Deepfake) ของบัตรประจำตัวราชการ ฝังไว้ในอีเมลฟิชชิ่งแบบเจาะจงเป้าหมาย (spear-phishing) เพื่อหลอกให้ผู้รับดาวน์โหลดไฟล์อันตราย ซึ่งสามารถหลบเลี่ยงการตรวจจับจากแอนตี้ไวรัสแบบดั้งเดิมได้อย่างแนบเนียน

วิธีการโจมตี

• อีเมลถูกออกแบบให้ดูน่าเชื่อถือ โดยแอบอ้างเป็นหน่วยงานทางทหารและด้านความมั่นคง
  
  
• แนบไฟล์ “ร่างบัตรประจำตัว” ซึ่งจริง ๆ แล้วเป็น ไฟล์บีบอัด (ZIP) ที่ซ่อน ไฟล์ shortcut (.lnk)
  
  
• เมื่อผู้รับเปิดไฟล์ จะมีการเรียกใช้งาน สคริปต์ PowerShell ที่ซ่อนอยู่ ผ่านการประกอบคำสั่งทีละตัวอักษร เพื่อลดโอกาสถูกตรวจจับ
  
  
• สคริปต์ดาวน์โหลด payload เพิ่มเติม เช่น ภาพ deepfake และ batch script
  
  
• สุดท้ายจะสร้าง Scheduled Task ปลอม ภายใต้ชื่อ “HncAutoUpdateTaskMachine” ที่ทำงานทุก 7 นาที เพื่อสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2) และรักษาการเข้าถึงระบบ

เทคนิคเหล่านี้ผสมผสานทั้ง AI, การ Obfuscation (ซ่อนโค้ด) และ การหลบเลี่ยง signature detection ซึ่งทำให้การป้องกันแบบเก่าแทบไม่เพียงพออีกต่อไป

บทเรียนสำคัญสำหรับองค์กร

1. AI คืออาวุธใหม่ของแฮกเกอร์ – ไม่ใช่เพียงสร้างข้อความหรือโค้ด แต่ยังสามารถสร้างภาพและสื่อที่น่าเชื่อถือเพื่อใช้หลอกเหยื่อ
   
   
2. การโจมตีแบบหลายชั้น (Multi-stage attack) – แฮกเกอร์จะไม่ใส่ payload ที่ชัดเจนในไฟล์แรก แต่ค่อย ๆ ดาวน์โหลดส่วนประกอบจากภายนอก
   
   
3. การเลียนแบบกระบวนการจริงในองค์กร – เช่น การปลอม Scheduled Task ให้เหมือนเป็นการอัปเดตซอฟต์แวร์

แนวทางป้องกันสำหรับองค์กร

เพื่อรับมือกับภัยคุกคามไซเบอร์ที่ซับซ้อนขึ้น องค์กรควรดำเนินการดังนี้:

1. ยกระดับการตรวจจับจาก Signature ไปสู่ Behavioral Analysis
• ใช้ระบบ EDR/XDR ที่สามารถตรวจจับพฤติกรรมผิดปกติ เช่น การสร้าง Scheduled Task หรือการรัน PowerShell แปลก ๆ
  
  
2. อบรมและสร้างความตระหนักรู้ (Security Awareness Training)
• ฝึกพนักงานให้ระวังอีเมลที่แนบไฟล์ .zip หรือไฟล์ shortcut (.lnk)
• ชี้ให้เห็นว่าแม้ไฟล์จะดู “เหมือนจริง” ก็อาจเป็น deepfake ที่สร้างด้วย AI
  
  
3. Zero Trust Security
• จำกัดสิทธิ์ผู้ใช้งาน (Least Privilege)
• ไม่ให้พนักงานทั่วไปมีสิทธิ์รันสคริปต์หรือดาวน์โหลดโปรแกรมโดยตรง
  
  
4. ตรวจสอบและเฝ้าระวังด้วย Threat Intelligence
• ใช้บริการ Threat Intelligence เพื่ออัปเดตข้อมูลกลุ่มแฮกเกอร์, IOC (Indicators of Compromise) และเทคนิคใหม่ ๆ
  
  
5. การทดสอบและซ้อมเหตุการณ์ (Incident Response Drill)
• จำลองเหตุการณ์ฟิชชิ่ง/มัลแวร์ในองค์กร เพื่อทดสอบว่าทีมงานตอบสนองได้ทันท่วงทีหรือไม่

การใช้ Generative AI ทำให้การโจมตีไซเบอร์มีความสมจริงและตรวจจับได้ยากยิ่งขึ้น องค์กรที่ยังพึ่งพาแอนตี้ไวรัสแบบดั้งเดียวย่อมเสี่ยงอย่างมาก จำเป็นต้องเสริมด้วย EDR/XDR, การวิเคราะห์พฤติกรรม, การอบรมบุคลากร และการสร้างวัฒนธรรม Cybersecurity เพื่อให้พร้อมรับมือกับภัยคุกคามยุคใหม่

#CyberSecurity #AIThreats #GenerativeAI #Deepfake #Phishing #SpearPhishing #Malware #CyberAttack #ThreatIntelligence #ZeroTrust #EDR #XDR #SecurityAwareness #CyberResilience #FutureOfCybersecurity