Этот ИИ-агент автономно взломал сеть, адаптировался на лету и потребовал выкуп

ии-агент Langflow вымогательство Llm кибератака Sysdig csoonline.com

Исследование Sysdig: полностью автономный ИИ-агент JadePuffer провел комплексную атаку с вымогательством, используя LLM для адаптации действий. Это демонстрирует ускорение операций программ-вымогателей.

Полностью автономный ИИ-агент осуществил комплексную кибератаку с целью вымогательства, использовав уязвимый сервер Langflow, что демонстрирует, как большие языковые модели могут ускорить операции по распространению программ-вымогателей, согласно исследованию, опубликованному Sysdig.

Sysdig подробно описала операцию в научной работе, заявив, что ИИ-агент под кодовым названием JadePuffer завершил всю цепочку вторжения, от первоначального доступа до вымогательства данных из баз данных, используя LLM для адаптации своих действий и выполнения более 600 скоординированных полезных нагрузок.

«Команда по исследованию угроз Sysdig (TRT) зафиксировала то, что мы считаем первым задокументированным случаем агентного программного обеспечения для вымогательства: полная операция по вымогательству, управляемая от начала до конца большой языковой моделью (LLM)», — написал в работе Майкл Кларк, директор по исследованию угроз в Sysdig.

Sysdig классифицирует JadePuffer как агентную угрозу, что означает, что его атакующая способность была реализована ИИ-агентом, а не набором инструментов, управляемым человеком.

Известный дефект открывает двери

По данным Sysdig, JadePuffer получил первоначальный доступ, используя CVE-2025-3248 — уязвимость RCE в общедоступном экземпляре Langflow, после чего перешел к производственному серверу, на котором работали MySQL и платформа конфигурации Nacos от Alibaba.

ИИ-агент извлек учетные данные, установил постоянство, нанес на карту внутренние службы и в конечном итоге зашифровал 1342 записи конфигурации Nacos, прежде чем удалить исходные таблицы и оставить требование выкупа в Биткойнах.

Кларк написал, что особенностью кампании были не методы эксплуатации, которые в значительной степени полагались на известные уязвимости и неправильные настройки, а способность ИИ-агента принимать оперативные решения на протяжении всего вторжения.

Sysdig сообщила, что операция затронула две отдельные машины: скомпрометированный хост Langflow, который обеспечил первоначальный доступ, и второй производственный сервер баз данных, который был истинной целью агента. Все полезные нагрузки, по словам исследователей, доставлялись в виде Python-кода, закодированного в Base64, через конечную точку удаленного выполнения кода Langflow.

«Однако самой поразительной характеристикой было поведение LLM», — написал он. «Полезные нагрузки JADEPUFFER были самоописывающими. Они содержали рассуждения на естественном языке, приоритизацию целей и такого рода подробные аннотации, которые операторы-люди нечасто пишут, но код, сгенерированный LLM, производит рефлекторно».

В работе приводится несколько примеров, когда ИИ-агент диагностировал сбои и генерировал исправленные полезные нагрузки без вмешательства человека. В одном случае он восстановился после неудачной попытки создать учетную запись администратора на платформе Nacos от Alibaba в течение 31 секунды. Sysdig заявила, что это поведение, наряду с самоописывающимся кодом и контекстуальными рассуждениями, подтверждает их оценку того, что операция управлялась LLM.

Эксперты видят эволюцию, а не революцию

Независимый исследователь кибербезопасности и специалист по red team Вибхум Дубей заявил, что кампания представляет собой «эволюцию в исполнении», а не принципиально новую технику программ-вымогателей.

«Я вижу в этом скорее эволюцию в исполнении, чем совершенно новую технику программ-вымогателей», — сказал Дубей. «Злоумышленники автоматизируют разведку, кражу учетных данных и развертывание годами. Разница в том, что ИИ-агент может связывать эти этапы вместе и принимать решения, не дожидаясь оператора-человека».

Адаптивное принятие решений — самая большая проблема, сказал он. «Традиционные методы обнаружения предполагают, что злоумышленники следуют довольно предсказуемым путям. ИИ-агент может быстро менять тактику, если что-то заблокировано, из-за чего каждое вторжение выглядит немного по-разному. Меня меньше беспокоит этап шифрования, чем тихий этап до него, когда агент сопоставляет идентификаторы, привилегии и отношения доверия, избегая обнаружения».

Вместо того чтобы сосредотачиваться на отдельных инструментах, защитникам следует уделять первоочередное внимание обнаружению поведения злоумышленников, включая подозрительную активность идентификаторов, повышение привилегий, аномальные шаблоны аутентификации и необычные последовательности действий в разных системах, сказал Дубей.

Хотя ИИ снижает операционный барьер для кампаний по распространению программ-вымогателей, он не заменяет опытных злоумышленников, добавил он. «Разница, которую вносит ИИ, заключается в том, что он помогает менее опытным операторам более эффективно связывать действия после эксплуатации. Защитники должны предполагать, что будущие вторжения будут происходить быстрее и требовать меньшего ручного вмешательства со стороны злоумышленника».

Поведенческое обнаружение остается ключевым

Автономные ИИ-агенты, способные самостоятельно выполнять несколько этапов атаки, представляют собой «эволюцию, а не революцию», — сказал Прашант Шарма, консультант по кибербезопасности в Cyble.

«Методы с использованием ИИ применяются уже некоторое время, но появление автономных агентов, способных самостоятельно выполнять несколько этапов атаки, может существенно увеличить скорость, масштаб и адаптивность операций по распространению программ-вымогателей», — сказал Шарма.

Он отметил, что злоумышленники уже используют ИИ для улучшения фишинга, разработки вредоносного ПО, разведки и социальной инженерии, и ожидает, что автономные возможности станут более распространенными по мере созревания технологии.

Однако для корпоративных защитников приоритеты безопасности в значительной степени остаются неизменными.

«Современные платформы EDR, XDR и SOC созданы для того, чтобы помечать вредоносное поведение, а не лежащую в его основе технологию, которая его вызывает», — сказал Шарма. «Независимо от того, проводится ли атака вручную или оркестрируется ИИ-агентом, такие действия, как злоупотребление учетными данными, повышение привилегий, боковое перемещение, эксфильтрация данных и развертывание программ-вымогателей, по-прежнему оставляют обнаружимые поведенческие следы».

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: