أداة فدية مبنية بالذكاء الاصطناعي تجعل تجاوز أنظمة الكشف مساراً أسرع للجريمة السيبرانية

اعتمد ممثل تهديد مرتبط ببرمجيات الفدية أداة مبنية بالذكاء الاصطناعي لاكتشاف Active Directory وتجاوز أنظمة الكشف والاستجابة عند نقاط النهاية. وجدت Sophos أن وكلاء Cursor وClaude Opus ساعدوا في التطوير، مع اختبار ما يقارب 80 وحدة ضد أكثر من 70 تقنية. الاختبار العملي هو ما إذا كان المدافعون يستطيعون تقصير دورات التحقق مع تسريع الذكاء الاصطناعي انتقال الأبحاث الهجومية إلى مكونات برمجية خبيثة قابلة للاستخدام.

يوضح هذا الخبر الأثر العملي المباشر على التكاليف أو البنية التحتية أو المخاطر القانونية في القطاع المعني. النقطة الأهم للقارئ هي ما إذا كان الحدث سيغير الأسعار أو الامتثال أو قرارات الاستثمار خلال الفترة المقبلة.

تطوير البرمجيات الخبيثة بمساعدة الذكاء الاصطناعي يدخل أدوات الفدية

اعتمد ممثل تهديد مرتبط ببرمجيات الفدية أداة مبنية بالذكاء الاصطناعي لاكتشاف Active Directory وتجاوز أنظمة الكشف والاستجابة عند نقاط النهاية (EDR). ورصد باحثو Sophos النشاط في بيئة أحد العملاء بعد إطلاق تنبيهات بسبب حمولات مخزنة تحت المسار `C:\Users\User\Documents\test`.

تشير الأداة إلى تحول عملي في عمليات الجريمة السيبرانية. فقد ساعد وكلاء Cursor وClaude Opus في تطوير الأدوات والحمولات عبر مراحل شملت البرمجة الأولية والتحليل والمراجعة، بينما تولى وكلاء آخرون فحص منشورات أبحاث أمنية بحثاً عن تقنيات تجاوز. وتم اختبار بعض البرمجيات الخبيثة التي أُنشئت بهذه الطريقة في بيئات افتراضية ضد أدوات EDR من Sophos وCrowdStrike وMicrosoft.

قالت Sophos إن البشر ظلوا يوجهون العملية، ولم يجد المحققون دليلاً على تشغيل الذكاء الاصطناعي داخل برمجيات خبيثة منشورة أو عمله بشكل مستقل في بيئات الضحايا. إشارة الخطر مختلفة: تبدو أدوات الذكاء الاصطناعي قادرة على تقليص الوقت اللازم لتحويل الأبحاث الهجومية إلى مكونات برمجية خبيثة قابلة للعمل.

تجاوز أنظمة EDR يتحول إلى هدف التطوير

أشارت الملفات التي عثرت عليها Sophos إلى إطار هجوم مصمم حول تفادي الكشف. وشملت المكونات ملفات تعريف Cobalt Strike لجعل حركة beacon تبدو مثل طلبات ويب مشروعة، وآلية قيادة وتحكم قائمة على Telegram bot API، ونصوص Python لحقن shellcode في ملفات Windows تنفيذية مشروعة مع الحفاظ على وظيفتها الأصلية، وCloudflare Worker كواجهة تحويل لإخفاء خادم القيادة والتحكم الخلفي.

درست Sophos في البداية احتمال أن يكون النشاط جزءاً من اختبار اختراق مشروع. تغير التقييم بعد أن وجد المحققون أدلة تشير إلى نشاط خبيث وإجرامي، بما في ذلك سجلات لمشغلي Cobalt Strike تضمنت إشارات إلى مذكرة فدية وإلى عدة مؤسسات على موقع لتسريب بيانات الفدية.

تضمنت الأداة أيضاً مستودع Git يحتوي على لوحة آلية لاكتشاف Active Directory (AD) ومختبراً لاختبار البرمجيات الخبيثة تكرارياً ضد وكلاء EDR من Sophos وCrowdStrike وWindows Defender. كان اكتشاف AD يجمع ملاحظات من المهام المكتملة، ويختار الإجراء التالي من خيارات محددة مسبقاً، ويفوض الخطوات إلى وكلاء بعيدين قبل إعادة تقييم النتائج.

نقطة المتابعة هي سرعة الانتقال من البحث إلى الاستغلال

خصص الإطار أدواراً منفصلة لعدة وكلاء ذكاء اصطناعي. تولى وكيل Claude Opus تنسيق البحث والتطوير، بينما تعامل وكلاء آخرون مع الاختبار، وتعزيز OPSEC، والتوثيق، واختبار ضغط الوكلاء، ونشر الآلات الافتراضية ومهام مرتبطة أخرى.

أثناء التطوير، وثق الوكلاء تقنيات تجاوز من أبحاث Kaspersky وPalo Alto Networks وBishop Fox وSpecterOps، إلى جانب تفاصيل من منشورات على وسائل التواصل الاجتماعي. واستخرجوا التقنيات، وربطوها بقاعدة معرفة MITRE ATT&CK، وحددوا متطلبات إعادة الإنتاج، وجهزوا مختبر اختبار، ونفذوا التقنيات، ثم أبلغوا النتائج.

كان المكون الرئيسي في الإطار أداة Python تولد حمولات، معظمها بلغة Rust وGo، بناءً على تقنيات التهرب. وتم توليد ما يقارب 80 وحدة واختبارها ضد أكثر من 70 تقنية. أشار الوكلاء في البداية إلى إخفاقات كثيرة، لكن الدورات اللاحقة بدت قادرة على تجاوز معظم منتجات EDR التي جرى اختبارها تقريباً. ولاحظت Sophos أيضاً بعض الاختلافات بين مخرجات الاختبار وتقارير الإطار الداخلية.

الاختبار العملي هو ما إذا كان المدافعون قادرين على تقصير دورات التحقق لديهم بالسرعة نفسها التي يستخدم بها ممثلو التهديد الذكاء الاصطناعي لتحويل الأبحاث المنشورة إلى أدوات جاهزة لهجمات الفدية.