Киберпрестъпници използват генеративен ИИ за създаване и усъвършенстване на зловреден софтуер

Изследователи от Sophos разкриха мащабна инфраструктура за разработка на зловреден софтуер, в която генеративни модели с изкуствен интелект са използвани за автоматизиране на процеси по откриване на инфраструктура в Active Directory и разработване на техники за заобикаляне на системи за откриване и реагиране на крайни точки (EDR).

Случаят е поредното доказателство, че ИИ вече не се използва само за създаване на фишинг съдържание или социално инженерство, а започва да играе все по-съществена роля в ускоряването на разработката на сложни инструменти за кибератаки.

Cursor и Claude участват в процеса на разработка

Според анализа, различни етапи от създаването на инструментариума са били подпомогнати от ИИ платформи като Cursor и Claude.

Тези системи са били използвани за:

• първоначално програмиране на компоненти;
• анализ и оптимизация на код;
• ревизии и подобрения;
• документация;
• търсене на техники за заобикаляне на защитни механизми;
• анализ на публични публикации и изследвания в областта на киберсигурността.

Важно е да се подчертае, че според Sophos цялата операция е била управлявана от хора. ИИ не е действал самостоятелно, а е използван като инструмент за ускоряване на изследователската и развойната дейност.

Тестване срещу водещи EDR решения

Изследователите откриват, че разработените зловредни програми са били изпитвани в контролирани виртуални среди срещу решения на:

• Sophos
• CrowdStrike
• Microsoft Defender for Endpoint

Целта е била непрекъснато усъвършенстване на техниките за укриване и избягване на откриването от защитните продукти.

Открит инструментариум за рансъмуер операции

Разследването започва след засичане на подозрителни файлове в среда на клиент на Sophos. Анализът разкрива набор от компоненти, характерни за модерна платформа за следексплоатационни действия.

Сред откритите инструменти са:

• профили за Cobalt Strike, маскиращи трафика като легитимни уеб заявки;
• механизъм за командване и контрол чрез API на Telegram;
• скриптове за инжектиране на шелкод в легитимни Windows приложения;
• пренасочващи сървъри чрез Cloudflare Workers за прикриване на реалната инфраструктура за управление.

Първоначално екипът на Sophos допуска възможността инструментите да принадлежат на легитимен Red Team. По-късно обаче откритите бележки за откуп и препратки към организации, публикувани в сайтове за изтичане на данни от рансъмуер групи, потвърждават престъпния характер на дейността.

Автоматизирано разузнаване в Active Directory

Особено внимание привлича система за автоматизирано разузнаване на Active Directory.

Изследователите откриват Git хранилище, съдържащо компоненти за автоматизирано картографиране на корпоративни среди и последващо събиране на информация.

Системата работи чрез поредица от агенти, които:

1. анализират резултатите от предишни действия;
2. определят следващата стъпка;
3. изпращат задачи към други агенти;
4. оценяват получените резултати;
5. планират нови операции.

Този подход наподобява модерните „агентни“ ИИ архитектури, при които множество специализирани агенти работят координирано по една задача.

Различни ИИ агенти изпълняват специализирани роли

Според Sophos в платформата са използвани множество агенти със строго определени функции.

Сред тях са:

• координиращ агент, базиран на Claude Opus;
• агенти за тестове срещу EDR решения;
• агенти за оперативна сигурност (OPSEC);
• агенти за изграждане на виртуални лаборатории;
• агенти за стрес тестове на прокси инфраструктура;
• агенти за техническа документация.

Някои от тях са анализирали публикации на водещи компании и изследователи по сигурността, включително материали на:

• Kaspersky
• Palo Alto Networks Unit 42
• Bishop Fox
• SpecterOps

След това агентите автоматично извличат техниките, съпоставят ги с рамката MITRE ATT&CK, изграждат тестова среда и оценяват резултатите.

Почти 80 модула за заобикаляне на защитите

Основният компонент в платформата представлява Python инструмент за генериране на полезни товари (payloads), създавани основно на езиците Rust и Go.

Според анализа:

• генерирани са близо 80 различни модула;
• тествани са над 70 техники за укриване;
• използвани са множество слоеве за криптиране;
• внедрени са техники за избягване на пясъчници (sandbox);
• прилагани са алтернативни методи за изпълнение на код.

След множество цикли на тестване и оптимизация голяма част от модулите успяват да избегнат откриването от различни EDR решения.

Новата реалност: по-кратък път от изследването до атаката

Най-важният извод от разследването не е, че ИИ самостоятелно създава рансъмуер. По-тревожното е, че той значително съкращава времето между публикуването на нова техника от изследователите по сигурността и нейното внедряване от престъпни групи.

Вместо да прекарват седмици или месеци в анализиране и имплементиране на нови методи, заплахите вече могат да използват генеративни модели за автоматизиране на голяма част от процеса. Това увеличава скоростта на адаптация на атакуващите и поставя допълнителен натиск върху защитните екипи и доставчиците на решения за киберсигурност.

Случаят показва, че бъдещето на киберзаплахите вероятно няма да бъде доминирано от автономен злонамерен ИИ, а от хора, които използват ИИ като мощен инструмент за ускоряване на разработката, тестването и усъвършенстването на своите атаки.