พบปฏิบัติการ JADEPUFFER ใช้ LLM Agent ดำเนินการโจมตีแรนซัมแวร์แบบอัตโนมัติ

ยอดเข้าชม: 55 views

366/69 (IT) ประจำวันจันทร์ที่ 6 กรกฎาคม 2569

นักวิจัยด้านความปลอดภัยตรวจพบปฏิบัติการแรนซัมแวร์ที่ใช้ AI Agent ถูกติดตามในชื่อ JADEPUFFER โดยประเมินว่าอาจเป็นกรณีแรกที่มีการบันทึกการโจมตีด้วยแรนซัมแวร์ที่ดำเนินการโดย Large Language Model (LLM) แบบอัตโนมัติครบทุกขั้นตอน ตั้งแต่การเจาะระบบ การสำรวจสภาพแวดล้อม การขโมยข้อมูลรับรอง การเคลื่อนย้ายภายในเครือข่าย การยกระดับสิทธิ์ ไปจนถึงการเข้ารหัสและทำลายข้อมูลบนระบบเป้าหมาย

รายงานระบุว่า JADEPUFFER เริ่มต้นการโจมตีโดยใช้ประโยชน์จากช่องโหว่ CVE-2025-3248 ใน Langflow ซึ่งเป็นแพลตฟอร์มโอเพนซอร์สสำหรับพัฒนาแอปพลิเคชัน AI เพื่อรันโค้ดบนเซิร์ฟเวอร์ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต จากนั้น AI Agent จะดำเนินการสำรวจระบบ ค้นหาข้อมูลรับรองและ API Keys เข้าถึงระบบจัดเก็บข้อมูล สร้างกลไกคงอยู่ในระบบ และเคลื่อนย้ายไปยังเซิร์ฟเวอร์ฐานข้อมูลเป้าหมาย ก่อนเข้ารหัสข้อมูลและทิ้งข้อความเรียกค่าไถ่ โดยนักวิจัยยังพบว่า AI Agent สามารถปรับเปลี่ยนวิธีการโจมตีเมื่อพบข้อผิดพลาดได้ภายในเวลาประมาณ 31 วินาที โดยไม่ต้องอาศัยการสั่งงานจากมนุษย์

องค์กรควรเร่งอัปเดต Langflow และระบบที่เปิดให้เข้าถึงจากอินเทอร์เน็ตให้เป็นเวอร์ชันล่าสุด จำกัดการเข้าถึงบริการสำคัญจากภายนอก ตรวจสอบการจัดเก็บข้อมูลรับรองและข้อมูลลับภายในระบบ พร้อมเฝ้าระวังพฤติกรรมที่ผิดปกติ เช่น การค้นหาข้อมูลรับรอง การสร้างกลไกคงอยู่ในระบบ รวมถึงการเชื่อมต่อไปยังเซิร์ฟเวอร์ภายนอกที่ไม่รู้จัก เพื่อช่วยลดความเสี่ยงจากการโจมตีที่ใช้ AI Agent ในอนาคต

แหล่งข่าว : https://www.bleepingcomputer.com/news/security/jadepuffer-ransomware-used-ai-agent-to-automate-entire-attack