Microsoft заявляет, что злоумышленники все чаще используют искусственный интеллект в своих операциях для ускорения атак, масштабирования вредоносной деятельности и снижения технических барьеров во всех аспектах кибератаки.
Согласно новому отчету Microsoft Threat Intelligence, атакующие используют генеративные ИИ-инструменты для широкого спектра задач, включая разведку, фишинг, разработку инфраструктуры, создание вредоносного ПО и действия после компрометации.
Во многих случаях ИИ используется для составления фишинговых писем, перевода контента, обобщения украденных данных, отладки вредоносного ПО и помощи в написании скриптов или настройке инфраструктуры.
“Microsoft Threat Intelligence обнаружила, что большая часть вредоносного использования ИИ сегодня сосредоточена на применении языковых моделей для создания текста, кода или медиа. Злоумышленники используют генеративный ИИ для составления фишинговых приманок, перевода контента, обобщения украденных данных, генерации или отладки вредоносного ПО, а также для создания каркасов скриптов или инфраструктуры”, — предупреждает Microsoft.
“Для этих целей ИИ выступает в роли мультипликатора силы, который снижает техническое трение и ускоряет выполнение, в то время как операторы-люди сохраняют контроль над целями, выбором мишеней и решениями о развертывании”.
ИИ используется для усиления кибератак
Microsoft обнаружила, что несколько групп злоумышленников интегрируют ИИ в свои кибератаки, в том числе северокорейские группы, отслеживаемые как Jasper Sleet (Storm-0287) и Coral Sleet (Storm-1877), которые используют эту технологию в рамках схем с удаленными ИТ-специалистами.
В этих операциях ИИ-инструменты помогают генерировать реалистичные личности, резюме и коммуникации для трудоустройства в западных компаниях и поддержания доступа после найма.
Jasper Sleet использует генеративные ИИ-платформы для оптимизации разработки мошеннических цифровых персон. Например, участники Jasper Sleet запрашивали у ИИ-платформ генерацию культурно подходящих списков имен и форматов адресов электронной почты для соответствия конкретным профилям личности. Например, злоумышленники могут использовать следующие типы запросов для задействования ИИ в этом сценарии:
Пример запроса 1: «Создай список из 100 греческих имен».
Пример запроса 2: «Создай список форматов адресов электронной почты с использованием имени Джейн Доу“.
Jasper Sleet также использует генеративный ИИ для анализа вакансий на должности, связанные с разработкой программного обеспечения и ИТ, на профессиональных платформах, запрашивая у инструментов извлечение и обобщение требуемых навыков. Эти результаты затем используются для адаптации поддельных личностей под конкретные роли.
❖ Microsoft Threat Intelligence
В отчете также описывается, как ИИ используется для помощи в разработке вредоносного ПО и создании инфраструктуры: злоумышленники используют ИИ-инструменты для кодирования для генерации и доработки вредоносного кода, устранения ошибок или портирования компонентов вредоносного ПО на разные языки программирования.
Некоторые эксперименты с вредоносным ПО демонстрируют признаки ИИ-управляемого вредоносного ПО, которое динамически генерирует скрипты или изменяет поведение во время выполнения.
Microsoft также наблюдала, как Coral Sleet использует ИИ для быстрого создания поддельных корпоративных сайтов, предоставления инфраструктуры, а также для тестирования и устранения неполадок своих развертываний.
Когда средства защиты ИИ пытаются предотвратить использование ИИ в этих задачах, Microsoft заявляет, что злоумышленники используют методы джейлбрейка (jailbreaking), чтобы обманом заставить большие языковые модели (LLM) генерировать вредоносный код или контент.
В дополнение к использованию генеративного ИИ исследователи Microsoft начали видеть, как злоумышленники экспериментируют с агентным ИИ для выполнения задач автономно и адаптации к результатам.
Однако Microsoft утверждает, что в настоящее время ИИ используется преимущественно для принятия решений, а не для автономных атак.
Поскольку многие кампании, нацеленные на ИТ-специалистов, полагаются на злоупотребление законным доступом, Microsoft советует организациям рассматривать эти схемы и аналогичную активность как риски инсайдеров.
Кроме того, поскольку эти атаки с использованием ИИ имитируют традиционные кибератаки, защитникам следует сосредоточиться на обнаружении аномального использования учетных данных, усилении систем идентификации против фишинга и защите ИИ-систем, которые могут стать целями в будущих атаках.
Microsoft не одинока в том, что видит растущее использование искусственного интеллекта злоумышленниками для усиления атак и снижения входных барьеров.
Google недавно сообщила, что злоумышленники злоупотребляют Gemini AI на всех этапах кибератак, что отражает то, что Amazon наблюдала в своей кампании.
Amazon и блог по безопасности Cyber and Ramen также недавно сообщили о злоумышленнике, который использовал несколько сервисов генеративного ИИ в рамках кампании, в результате которой было скомпрометировано более 600 межсетевых экранов FortiGate.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams
