导 读
HP 截获了一起电子邮件攻击活动,其中包含由 AI 生成的植入程序传递的标准恶意软件负载。在植入程序上使用 gen-AI 几乎肯定是迈向真正新的 AI 生成恶意软件负载的进化步骤。
2024 年 6 月,HP 发现了一封钓鱼邮件,其中包含常见的发票主题诱饵和加密的 HTML 附件;即 HTML 走私以避免被发现。
这没什么新鲜的——也许除了加密。通常,网络钓鱼者会向目标发送一个已加密的存档文件。HP 首席威胁研究员 Patrick Schlapfer 解释说,“攻击者在附件中用 JavaScript 实现了 AES 解密密钥。这并不常见,也是我们仔细研究的主要原因。”
解密后的附件打开后看起来像是一个网站,但其中包含 VBScript 和可免费使用的 AsyncRAT 信息窃取程序。
VBScript 是信息窃取程序有效负载的投放器。它将各种变量写入注册表;它将 JavaScript 文件投放到用户目录中,然后将其作为计划任务执行。创建 PowerShell 脚本,最终导致执行 AsyncRAT 有效负载。
除了一个方面,所有这些都相当标准。“VBScript 结构整洁,每个重要命令都带有注释。这很不寻常。”Schlapfer 补充道。
恶意软件通常被混淆,不包含任何注释。而这个则恰恰相反。它也是使用法语编写的,法语虽然可以运行,但不是恶意软件编写者的常用语言。这些线索让研究人员认为该脚本不是由人类编写的,而是由 gen-AI为人类编写的。
他们使用自己的 gen-AI 编写了一个脚本来测试这一理论,该脚本具有非常相似的结构和注释。虽然结果不是绝对的证据,但研究人员确信该 dropper 恶意软件是通过 gen-AI 编写的。
但还是有点奇怪。为什么不混淆?为什么攻击者不删除注释?加密也是借助人工智能实现的吗?答案可能在于人们对人工智能威胁的普遍看法——它降低了恶意攻击者新人的进入门槛。
与 Schlapfer 共同担任首席威胁研究员的 Alex Holland 解释道,“当我们评估攻击时,我们会检查所需的技能和资源。在这种情况下,所需的资源很少。
有效载荷 AsyncRAT 是免费提供的。HTML 走私不需要编程专业知识。除了一个控制信息窃取者的 C&C 服务器之外,没有其他基础设施。恶意软件很基础,没有混淆。简而言之,这是一次低级攻击。”
这一结论进一步表明攻击者是使用 gen-AI 的新手,也许正是因为攻击者是新手,所以 AI 生成的脚本才没有被混淆,并附有完整的注释。如果没有注释,几乎不可能说该脚本可能是或可能不是 AI 生成的。
这就引出了第二个问题。如果我们假设这种恶意软件是由一个经验不足的新手生成的,并留下了使用人工智能的线索,那么经验更丰富的对手是否会更广泛地使用人工智能,而这些对手不会留下这样的线索?
这是有可能的。——很大程度上是无法检测和无法证明的。
“我们早就知道 gen-AI 可用于生成恶意软件。”Holland 说道。“但我们还没有看到任何确凿的证据。现在我们有一个数据点告诉我们,犯罪分子正在野外使用 AI。”这是朝着预期目标迈出的又一步:除了投放器之外,还有新的 AI 生成的有效载荷。
技术报告:https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-september-2024/
新闻链接:
https://www.securityweek.com/ai-generated-malware-found-in-the-wild/
今日安全资讯速递
APT事件
Advanced Persistent Threat
堪萨斯州水务设施在遭受网络攻击后转为手动操作
https://www.securityweek.com/kansas-water-facility-switches-to-manual-operations-following-cyberattack/
伊朗 APT 是中东地区网络的初始接入提供商
https://www.securityweek.com/iranian-apt-operating-as-initial-access-provider-to-networks-in-the-middle-east/
与朝鲜有关的 APT Gleaming Pisces 通过恶意 Python 包提供新的 PondRAT 后门
https://securityaffairs.com/168781/apt/gleaming-pisces-malicious-python-packages.html
以色列是否渗透了黎巴嫩电信网络?
https://securityaffairs.com/168817/intelligence/did-israel-infiltrate-lebanese-telecoms-networks.html
一般威胁事件
General Threat Incidents
信息窃取恶意软件绕过 Chrome 的新 cookie 窃取防御措施
https://www.bleepingcomputer.com/news/security/infostealer-malware-bypasses-chromes-new-cookie-theft-defenses/
美国点对点支付和汇款公司 MoneyGram 证实,网络攻击导致其服务中断
https://securityaffairs.com/168827/security/moneygram-outage-caused-by-cyberattack.html
AutoCanada 称,员工数据可能在勒索软件攻击中被泄露
https://www.bleepingcomputer.com/news/security/autocanada-says-ransomware-attack-may-impact-employee-data/
美国医疗保险和医疗补助服务中心(CMS)称,数据泄露影响310万人
https://www.bleepingcomputer.com/news/healthcare/us-govt-agency-cms-says-data-breach-impacted-31-million-people/
在 Play Store 上的热门相机和浏览器应用中发现 Necro Android 恶意软件
https://thehackernews.com/2024/09/necro-android-malware-found-in-popular.html
新型 Octo2 Android 银行木马出现,具备设备接管功能
https://thehackernews.com/2024/09/new-octo2-android-banking-trojan.html
黑客声称入侵德勤服务器,德勤称敏感数据还安全
https://www.securityweek.com/deloitte-says-no-threat-to-sensitive-data-after-hacker-claims-server-breach/
人工智能生成的恶意软件在野外被发现
https://www.securityweek.com/ai-generated-malware-found-in-the-wild/
漏洞事件
Vulnerability Incidents
关键基础设施中使用的自动油箱计量器存在严重漏洞
https://www.theregister.com/2024/09/24/security_bugs_fuel_storage_tanks/
Versa Networks 修补暴露身份验证令牌的漏洞
https://www.securityweek.com/versa-networks-patches-vulnerability-exposing-authentication-tokens/
CERT/CC 警告 Microchip ASF 中存在未修补的严重漏洞
https://www.securityweek.com/cert-cc-warns-of-unpatched-critical-vulnerability-in-microchip-asf/
Ivanti vTM 身份验证绕过漏洞(CVE-2024-7593)已被利用
https://www.bleepingcomputer.com/news/security/critical-ivanti-vtm-auth-bypass-bug-now-exploited-in-attacks/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):人工智能生成的恶意软件在野外被发现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论