美國人工智慧專家遭到鎖定，攻擊者對其散布惡意程式SugarGh0st RAT

由惡意軟體Gh0stRAT衍生而來的RAT木馬程式SugarGh0st RAT，最早是去年底由思科威脅情報團隊Talos揭露，當時駭客針對烏茲別克和韓國下手，如今又有新的攻擊行動出現。

資安業者Proofpoint揭露鎖定美國人工智慧專家而來的攻擊行動UNK_SweetSpecter，對方於今年5月，針對當地參與人工智慧工作的學術機構、政府服務、企業組織而來，意圖對其散布SugarGh0st RAT。

值得留意的是，研究人員指出，這起攻擊行動極具針對性，駭客的目標不到10人，且皆與一家具領先地位的美國人工智慧組織有直接關係。

他們在UNK_SweetSpecter攻擊行動的早期階段，發現攻擊者使用簡體中文的跡象，這樣的情況如同Talos的調查結果，但Proofpoint並未找到其他證據，無法確認攻擊者就是來自中國。

不過，由於5月初傳出美國政府有意限制中國存取生成式AI服務，若是中國企業組織使用相關技術受限，很有可能尋求駭客來取得相關資訊，進一步達成中國發展的目標。從這樣的情勢來看，發動攻擊的駭客，很有可能與中國之間有所關連。

針對這波攻擊行動的攻擊鏈，研究人員指出，對方濫用免費電子郵件信箱發送以AI主題為誘餌的信件，引誘收信人開啟ZIP壓縮檔附件。

一旦收信人依照指示打開附件，並執行當中的Windows捷徑檔案（LNK），電腦就會被植入JavaScript開發的惡意程式載入工具（Dropper）。該工具內含誘餌文件檔案、透過側載執行的ActiveX工具（程式庫），以及經過加密處理的可執行檔。

若是此惡意程式載入工具執行，電腦就會顯示誘餌檔案讓收信人降低警覺，並載入其中的程式庫元件，使得駭客能透過JavaScript執行Windows的API，最終於受害電腦部署SugarGh0st RAT。