Proofpoint’ten araştırmacılar yakın zamanda gözlemledi onlarca kuruluşu hedef alan kötü niyetli bir kampanya Almanya’daki çeşitli endüstrilerde. Saldırı zincirinin bir parçası özellikle göze çarpıyordu: kodu açıkça yapay zeka (AI) tarafından oluşturulmuş, normalde sıradan bir kötü amaçlı yazılım düşürücü.
Araştırmacıların keşfettiği şey: İlk erişim aracısı (IAB) TA547, kimlik avı saldırılarında yapay zeka tarafından oluşturulan düşürücüyü kullanıyor.
Her ne kadar bu daha fazlasının habercisi olsa da paniğe gerek yok. Kötü amaçlı yazılımlara karşı savunma, onu kim veya ne yazarsa yazsın aynıdır ve yapay zekalı kötü amaçlı yazılımların henüz dünyayı ele geçirmesi muhtemel değildir.
Proofpoint’in tehdit araştırmalarından sorumlu kıdemli yöneticisi Daniel Blackford, “Önümüzdeki birkaç yıl boyunca yüksek lisans eğitimlerinden çıkan kötü amaçlı yazılımların, bir insanın yazabileceğinden daha karmaşık olacağını düşünmüyorum” diyor. Sonuçta yapay zekayı bir kenara bırakırsak, “Bize karşı çalışan çok yetenekli yazılım mühendislerimiz var.”
TA547’nin Yapay Zeka Düşürücüsü
TA547’nin finansal amaçlı siber saldırılarla ilgili uzun bir geçmişi var. Trickbot kaçakçılığıyla öne çıktı ancak Gozi/Ursnif, Lumma hırsızı, NetSupport RAT, StealC, ZLoader ve daha fazlası dahil olmak üzere çok sayıda diğer popüler siber suç aracı arasında geçiş yaptı.
Blackford, “Yalnızca TA547’de değil, diğer gruplarda da geliştirme döngülerinin çok daha hızlı yinelendiğini, diğer kötü amaçlı yazılımların benimsendiğini, neyin kalıcı olacağını görmek için yeni teknikler denediğini görüyoruz” diye açıklıyor. Ve TA547’nin en son evrimi yapay zeka ile olmuş gibi görünüyor.
Saldırıları kısa kimliğe bürünme e-postalarıyla başladı; örneğin Alman perakende şirketi Metro AG kılığına girerek. E-postalar, sıkıştırılmış LNK dosyalarını içeren şifre korumalı ZIP dosyalarını içeriyordu. LNK dosyaları yürütüldüğünde, düşen bir Powershell betiğini tetikledi Rhadamanthys bilgi hırsızı.
Yeterince basit gibi görünse de Rhadamanthys’i kaldıran Powershell betiğinin tuhaf bir özelliği vardı. Kodun içinde, her bir bileşenin üzerinde bir hashtag ve ardından bileşenin neyi başardığına dair son derece spesifik yorumlar vardı.
TA547 damlalığının bir parçası. Kaynak: Kanıt noktası
Proofpoint’in belirttiği gibi bu, LLM tarafından oluşturulan kodun bir özelliğidir; bu da grubun (veya damlalığı orijinal olarak yazan kişinin) bunu yazmak için bir tür sohbet robotu kullandığını gösterir.
Daha Kötü Yapay Zeka Kötü Amaçlı Yazılımlar Gelecek mi?
Geri kalanımız gibi siber saldırganlar da yapay zeka sohbet robotlarının hedeflerine daha kolay, hızlı ve etkili bir şekilde ulaşmalarına nasıl yardımcı olabileceğini deniyor.
Bazıları anladı Günlük operasyonlarını geliştirmek için yapay zekayı kullanmanın küçük yollarıörneğin hedeflere ve ortaya çıkan güvenlik açıklarına ilişkin araştırmalara yardımcı olarak. Ama bunun dışında kavram kanıtları Ve garip yenilik aracıBilgisayar korsanlarının yapay zekanın yardımıyla yararlı kötü amaçlı yazılımlar yazdıklarına dair çok fazla kanıt yok.
Blackford’a göre bunun nedeni, kötü amaçlı kod yazma konusunda insanların hâlâ robotlardan çok daha iyi olması. Ayrıca yapay zeka geliştiricileri, yazılımlarının kötüye kullanılmasını önlemek için adımlar attı.
En azından şimdilik, “bu grupların operasyonlarını büyütmek için yapay zekadan yararlanma yolları, onunla yeni süper kötü amaçlı yazılımlar yaratacakları fikrinden daha ilginç bir sorun” diyor.
Süper kötü amaçlı yazılımları otomatik olarak oluşturduktan sonra bile ona karşı savunma görevi aynı kalacaktır. Proofpoint’in gönderisinde belirttiği gibi, “Aynı şekilde, ticari e-posta gizliliğini (BEC) gerçekleştirmek için LLM tarafından oluşturulan kimlik avı e-postaları, insan tarafından oluşturulan içerikle aynı özellikleri kullanır ve makine tarafından oluşturulan kodu içeren otomatik algılamalar, kötü amaçlı yazılımlar veya komut dosyaları tarafından yakalanır. bir sanal alanda (veya bir ana bilgisayarda) aynı şekilde çalışmaya devam edecek ve aynı otomatik savunmaları tetikleyecektir.”