يستخدم أحد ممثلي التهديد برنامج PowerShell النصي الذي تم إنشاؤه على الأرجح بمساعدة نظام ذكاء اصطناعي مثل ChatGPT من OpenAI، أو Gemini من Google، أو CoPilot من Microsoft.
استخدم الخصم البرنامج النصي في حملة عبر البريد الإلكتروني في شهر مارس استهدفت عشرات المنظمات في ألمانيا لتوصيل برنامج Rhadamanthys المسروق للمعلومات.
يقوم PowerShell القائم على الذكاء الاصطناعي بنشر أداة سرقة المعلومات
أرجع الباحثون في شركة Proofpoint للأمن السيبراني الهجوم إلى جهة تهديد تم تتبعها باسم TA547، ويُعتقد أنها وسيط وصول أولي (IAB).
كان TA547، المعروف أيضًا باسم Scully Spider، نشطًا منذ عام 2017 على الأقل حيث يقدم مجموعة متنوعة من البرامج الضارة لأنظمة Windows (ZLoader/Terdot وGootkit وUrsnif وCorebot وPanda Banker وAtmos) وأنظمة Android (Mazar Bot وRed Alert).
في الآونة الأخيرة، بدأ ممثل التهديد في استخدام أداة السرقة المعيارية Rhadamanthys التي تعمل باستمرار على توسيع قدراتها على جمع البيانات (الحافظة والمتصفح وملفات تعريف الارتباط).
قامت Proofpoint بتتبع TA547 منذ عام 2017، وقالت إن هذه الحملة كانت الأولى التي تمت فيها ملاحظة جهة التهديد باستخدام البرامج الضارة Rhadamanthys.
تم توزيع برنامج سرقة المعلومات منذ سبتمبر 2022 على العديد من مجموعات الجرائم الإلكترونية ضمن نموذج البرامج الضارة كخدمة (MaaS).
وفقًا لباحثي Proofpoint، انتحلت TA547 شخصية العلامة التجارية الألمانية Metro Cash-and-Carry في حملة بريد إلكتروني حديثة باستخدام الفواتير كإغراء “لعشرات المؤسسات في مختلف الصناعات في ألمانيا”.
المصدر: بروف بوينت
وتضمنت الرسائل أرشيفًا بتنسيق ZIP محميًا بكلمة المرور “MAR26″، والذي يحتوي على ملف اختصار ضار (.LNK). أدى الوصول إلى ملف الاختصار إلى تشغيل PowerShell لتشغيل برنامج نصي عن بعد.
“قام برنامج PowerShell النصي بفك تشفير ملف Rhadamanthys القابل للتنفيذ والمشفر بـ Base64 والمخزن في متغير وقام بتحميله كتجميع في الذاكرة ثم نفذ نقطة دخول التجميع” – نقطة إثبات
ويوضح الباحثون أن هذه الطريقة سمحت بتنفيذ التعليمات البرمجية الضارة في الذاكرة دون لمس القرص.
عند تحليل برنامج PowerShell النصي الذي قام بتحميل Rhadamanthys، لاحظ الباحثون أنه يتضمن علامة الجنيه/التجزئة (#) متبوعة بتعليقات محددة لكل مكون، وهو أمر غير شائع في التعليمات البرمجية التي أنشأها الإنسان.
المصدر: بروف بوينت
لاحظ الباحثون أن هذه الخصائص نموذجية للتعليمات البرمجية الناشئة عن حلول الذكاء الاصطناعي التوليدية مثل ChatGPT أو Gemini أو CoPilot.
على الرغم من أنهم لا يستطيعون التأكد تمامًا من أن كود PowerShell جاء من حل نموذج اللغة الكبير (LLM)، إلا أن الباحثين يقولون إن محتوى البرنامج النصي يشير إلى إمكانية استخدام TA547 للذكاء الاصطناعي التوليدي لكتابة أو إعادة كتابة برنامج PowerShell النصي.
أوضح دانييل بلاكفورد، مدير أبحاث التهديدات في Proofpoint، لموقع BleepingComputer أنه على الرغم من أن المطورين بارعون في كتابة التعليمات البرمجية، إلا أن تعليقاتهم عادة ما تكون مشفرة، أو على الأقل غير واضحة وبها أخطاء نحوية.
قال بلاكفورد لموقع BleepingComputer: “إن نص PowerShell المشتبه في أنه تم إنشاؤه بواسطة LLM يتم التعليق عليه بدقة باستخدام قواعد نحوية لا تشوبها شائبة. يحتوي كل سطر من التعليمات البرمجية تقريبًا على بعض التعليقات المرتبطة به”.
بالإضافة إلى ذلك، واستنادًا إلى مخرجات تجارب إنشاء التعليمات البرمجية لطلاب ماجستير إدارة الأعمال، فإن لدى الباحثين ثقة عالية إلى متوسطة في أن النص البرمجي TA547 المستخدم في حملة البريد الإلكتروني قد تم إنشاؤه باستخدام هذا النوع من التكنولوجيا.
استخدم BleepingComputer ChatGPT-4 لإنشاء برنامج PowerShell النصي المشابه وبدا رمز الإخراج مثل ذلك الذي شاهدته Proofpoint، بما في ذلك أسماء المتغيرات والتعليقات، مما يشير أيضًا إلى أنه من المحتمل أنه تم استخدام الذكاء الاصطناعي لإنشاء البرنامج النصي.
المصدر: بليبينج كومبيوتر
نظرية أخرى هي أنهم نسخوها من مصدر يعتمد على الذكاء الاصطناعي التوليدي للتشفير.
الذكاء الاصطناعي للأنشطة الضارة
منذ أن أصدرت OpenAI تطبيق ChatGPT في أواخر عام 2022، استفادت جهات التهديد ذات الدوافع المالية من قوة الذكاء الاصطناعي لإنشاء رسائل بريد إلكتروني مخصصة أو محلية للتصيد الاحتيالي، أو إجراء عمليات فحص للشبكة لتحديد نقاط الضعف على المضيفين أو الشبكات، أو إنشاء صفحات تصيد موثوقة للغاية.
كما تحولت بعض الجهات الفاعلة في الدول القومية المرتبطة بالصين وإيران وروسيا إلى الذكاء الاصطناعي التوليدي لتحسين الإنتاجية عند البحث عن الأهداف، وأدوات الأمن السيبراني، وأساليب إثبات الثبات والتهرب من الاكتشاف، فضلاً عن دعم البرمجة النصية.
وفي منتصف شهر فبراير، أعلنت شركة OpenAI عن ذلكالحسابات المحظورةالمرتبطة بمجموعات القرصنة التي ترعاها الدولة Charcoal Typhoon، وSalmon Typhoon (الصين)، وCrimson Storm (إيران)، وEmerald Sleet (كوريا الشمالية)، وForest Blizzard (روسيا) التي تستغل ChatGPT لأغراض ضارة.
نظرًا لأن معظم نماذج تعلم اللغة الكبيرة تحاول تقييد المخرجات إذا كان من الممكن استخدامها لبرامج ضارة أو سلوك ضار، فقد أطلقت الجهات الفاعلة في مجال التهديد نماذجها الخاصةمنصات الدردشة AI لمجرمي الإنترنت.
تحديث [16:40 EST]: توضيحات إضافية من دانييل بلاكفورد، مدير أبحاث التهديدات في Proofpoint، تم تلقيها بعد وقت النشر.