- 27,296
- 46
- 8 Ноя 2022
Граница между отчётом и инструкцией оказалась куда тоньше, чем хотелось бы ИБ-специалистам.
Искусственный интеллект всё чаще помогает не только защитникам, но и злоумышленникам. Специалисты Sophos выявили инфраструктуру, в которой ИИ использовали для создания и проверки инструментов, предназначенных для скрытной работы в заражённых сетях и обхода современных средств обнаружения атак.
Расследование началось после появления подозрительного устройства в инфраструктуре одного из клиентов. Система зафиксировала вредоносные файлы в каталоге тестирования, а дальнейший анализ показал наличие целого набора инструментов для маскировки активности. Среди них оказались профили Cobalt Strike , имитирующие обычный веб-трафик, механизм управления через Telegram, средства внедрения шелл-кода в легитимные программы Windows и промежуточный узел на базе Cloudflare Workers для сокрытия реального сервера управления.
Изучение найденных артефактов привело аналитиков к репозиторию с кодом, содержащему автоматизированную платформу разведки Active Directory и отдельную среду для разработки вредоносных программ. Многие сценарии были написаны на русском языке и частично созданы с использованием ИИ . Однако Sophos отмечает, что речь не шла о полностью автономной системе. Искусственный интеллект помогал собирать данные, распределять задачи и организовывать рабочие процессы, тогда как ключевые решения принимал человек.
Для разработки использовалась виртуальная лаборатория на основе нескольких машин с Windows Server 2022 и Ubuntu. Отдельные виртуальные машины тестировали способы обхода защитных решений Sophos, CrowdStrike и Microsoft Defender. В роли сервера управления выступал фреймворк Sliver.
Особое внимание авторы отчёта уделили использованию ИИ-ориентированной среды разработки Cursor. Внутри лаборатории работали несколько агентов с разными обязанностями. Центральную роль выполнял агент на базе Claude Opus 4.5, который координировал остальные компоненты. Дополнительные агенты отвечали за тестирование обходов защиты, усиление скрытности операций, документирование результатов, проверку прокси-серверов и развёртывание виртуальных машин.
Содержимое репозитория показало, что злоумышленники изучали публикации Лаборатории Касперского, Palo Alto Networks, Bishop Fox и SpecterOps, после чего поручали ИИ выделять техники атак, сопоставлять их с базой MITRE ATT&CK, подготавливать среду испытаний и запускать проверки. В центре всей платформы находился генератор полезных нагрузок на Python, способный автоматически создавать исполняемые файлы и библиотеки DLL с различными методами сокрытия активности.
По данным Sophos, разработчики создали около 80 модулей, проверявших более 70 различных способов обхода защитных механизмов. Хотя внутренние отчёты лаборатории заявляли о высокой эффективности таких методов, собранные специалистами данные не позволяют однозначно подтвердить успешность всех испытаний.
Авторы исследования считают, что формулировка «красная команда» могла использоваться лишь как способ обойти ограничения ИИ-моделей на создание вредоносного программного обеспечения. По оценке Sophos, обнаруженная деятельность связана с операциями по развёртыванию программ-вымогателей и кражей данных.
Компания предупреждает, что использование ИИ заметно ускоряет разработку вредоносных инструментов и упрощает поиск слабых мест в инфраструктуре. В качестве мер защиты Sophos рекомендует своевременно устанавливать обновления безопасности, использовать многофакторную аутентификацию, современные методы входа вроде ключей доступа и развёртывать эффективные решения класса EDR .
Искусственный интеллект всё чаще помогает не только защитникам, но и злоумышленникам. Специалисты Sophos выявили инфраструктуру, в которой ИИ использовали для создания и проверки инструментов, предназначенных для скрытной работы в заражённых сетях и обхода современных средств обнаружения атак.
Расследование началось после появления подозрительного устройства в инфраструктуре одного из клиентов. Система зафиксировала вредоносные файлы в каталоге тестирования, а дальнейший анализ показал наличие целого набора инструментов для маскировки активности. Среди них оказались профили Cobalt Strike , имитирующие обычный веб-трафик, механизм управления через Telegram, средства внедрения шелл-кода в легитимные программы Windows и промежуточный узел на базе Cloudflare Workers для сокрытия реального сервера управления.
Изучение найденных артефактов привело аналитиков к репозиторию с кодом, содержащему автоматизированную платформу разведки Active Directory и отдельную среду для разработки вредоносных программ. Многие сценарии были написаны на русском языке и частично созданы с использованием ИИ . Однако Sophos отмечает, что речь не шла о полностью автономной системе. Искусственный интеллект помогал собирать данные, распределять задачи и организовывать рабочие процессы, тогда как ключевые решения принимал человек.
Для разработки использовалась виртуальная лаборатория на основе нескольких машин с Windows Server 2022 и Ubuntu. Отдельные виртуальные машины тестировали способы обхода защитных решений Sophos, CrowdStrike и Microsoft Defender. В роли сервера управления выступал фреймворк Sliver.
Особое внимание авторы отчёта уделили использованию ИИ-ориентированной среды разработки Cursor. Внутри лаборатории работали несколько агентов с разными обязанностями. Центральную роль выполнял агент на базе Claude Opus 4.5, который координировал остальные компоненты. Дополнительные агенты отвечали за тестирование обходов защиты, усиление скрытности операций, документирование результатов, проверку прокси-серверов и развёртывание виртуальных машин.
Содержимое репозитория показало, что злоумышленники изучали публикации Лаборатории Касперского, Palo Alto Networks, Bishop Fox и SpecterOps, после чего поручали ИИ выделять техники атак, сопоставлять их с базой MITRE ATT&CK, подготавливать среду испытаний и запускать проверки. В центре всей платформы находился генератор полезных нагрузок на Python, способный автоматически создавать исполняемые файлы и библиотеки DLL с различными методами сокрытия активности.
По данным Sophos, разработчики создали около 80 модулей, проверявших более 70 различных способов обхода защитных механизмов. Хотя внутренние отчёты лаборатории заявляли о высокой эффективности таких методов, собранные специалистами данные не позволяют однозначно подтвердить успешность всех испытаний.
Авторы исследования считают, что формулировка «красная команда» могла использоваться лишь как способ обойти ограничения ИИ-моделей на создание вредоносного программного обеспечения. По оценке Sophos, обнаруженная деятельность связана с операциями по развёртыванию программ-вымогателей и кражей данных.
Компания предупреждает, что использование ИИ заметно ускоряет разработку вредоносных инструментов и упрощает поиск слабых мест в инфраструктуре. В качестве мер защиты Sophos рекомендует своевременно устанавливать обновления безопасности, использовать многофакторную аутентификацию, современные методы входа вроде ключей доступа и развёртывать эффективные решения класса EDR .
- Источник новости
- www.securitylab.ru
