위협 연구자들은 Windows, macOS, Linux 시스템에서 데이터를 훔치고 암호화하는 Lua 스크립트를 사용하는 첫 번째 AI 기반 랜섬웨어인 'PromptLock'을 발견했습니다. 이 악성 소프트웨어는 Ollama API를 통해 OpenAI의 gpt-oss:20b 모델을 사용하여 하드 코딩된 프롬프트에서 악성 Lua 스크립트를 동적으로 생성합니다. ESET 연구자들에 따르면, PromptLock은 Golang으로 작성되었으며, Ollama API를 통해 gpt-oss:20b 대형 언어 모델에 접근합니다. 이 LLM은 원격 서버에 호스팅되어 있으며, 위협 행위자는 프록시 터널을 통해 이 서버에 연결합니다.
PromptLock은 로컬 파일 시스템 열거, 대상 파일 검사, 데이터 유출, 파일 암호화를 포함한 악성 Lua 스크립트를 동적으로 생성하도록 모델에 지시하는 하드 코딩된 프롬프트를 사용합니다. 연구자들은 데이터 파괴 기능도 언급했지만, 이 기능은 아직 구현되지 않았습니다. 파일 암호화를 위해 PromptLock은 RFID 애플리케이션에 주로 적합하다고 여겨지는 가벼운 SPECK 128비트 알고리즘을 사용하는데, 이는 랜섬웨어에는 다소 이례적인 선택입니다.
ESET은 BleepingComputer에 PromptLock이 그들의 텔레메트리에서 나타나지 않았으며, 대신 VirusTotal에서 발견했다고 전했습니다. 이 사이버 보안 회사는 PromptLock이 개념 증명이나 진행 중인 작업이며, 야생에서 활성 랜섬웨어는 아니라고 믿습니다. 또한, 이것이 현재 실제 위협이 아닌 개념 도구라는 여러 가지 징후가 있습니다. 그 중에는 약한 암호화 암호(SPECK 128비트)를 사용하고, Satoshi Nakamoto에 연결된 하드 코딩된 Bitcoin 주소를 사용하며, 데이터 파괴 기능이 구현되지 않았다는 사실이 포함됩니다. ESET이 PromptLock에 대한 세부 사항을 발표한 후, 한 보안 연구자는 이 악성 소프트웨어가 그들의 프로젝트였고 어떻게든 유출되었다고 주장했습니다.
요약
- 위협 연구자들은 데이터를 훔치고 암호화하는 첫 번째 AI 기반 랜섬웨어 'PromptLock'을 발견했다.
- PromptLock은 로컬 파일 시스템 열거, 대상 파일 검사, 데이터 유출, 파일 암호화를 포함한 악성 Lua 스크립트를 동적으로 생성한다.
- 이 랜섬웨어는 아직 개념 증명 단계에 있으며, 실제 위협이 아닌 것으로 보인다.
- 하지만, 이것은 AI가 악성 소프트웨어 워크플로우에서 무기화될 수 있음을 보여주는 중요한 사례이다.
- 이러한 발전은 러시아의 APT28 그룹에 의해 배포된 것으로 추정되는 LameHug 악성 소프트웨어의 발견을 통해 명확해졌다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.