威胁行为体日益依赖生成式AI工具增强网络攻击能力

根据CrowdStrike的2025威胁狩猎报告,威胁行为体正广泛使用生成式AI工具提升攻击效率。从社会工程钓鱼到恶意软件开发,AI技术正在改变网络攻击的战术和技术,包括国家支持的黑客和网络犯罪组织都在利用AI实现攻击自动化和规模化。

威胁行为体日益依赖生成式AI工具

根据CrowdStrike今日发布的《2025威胁狩猎报告》,威胁行为体正越来越多地依赖生成式AI(GenAI)工具推动其恶意活动。

报告概述了威胁领域的多个趋势。例如,2025年上半年语音钓鱼(vishing)攻击数量已超过2024年全年追踪的攻击数量,手动键盘入侵同比增长27%。但最引人注目的数据涉及威胁行为体如何使用GenAI增强其操作。

历史上,许多涉及GenAI的新兴攻击都涉及提示注入或某种基本的社会工程技巧(如使用ChatGPT生成钓鱼邮件),但这种情况正在迅速改变。这些基本概念正以更复杂的方式应用,我们看到"技术性"AI攻击越来越多地出现。

CrowdStrike在报告中强调了这种日益增长的复杂性,强调攻击者——如参与IT技术人员诈骗的那些——正在使用LLM增强其战术、技术和程序(TTP)。

黑客使用AI

正如CrowdStrike所说,威胁行为体利用GenAI模型进行社会工程、技术和信息操作,这些方式"可能有助于提高威胁行为体操作的速度、获取专业知识和可扩展性"。

此外,组织越来越多地集成AI意味着威胁行为体有了新的攻击面可利用。CrowdStrike强调,4月份观察到多个威胁行为体利用追踪为CVE-2025-3248的Langflow AI漏洞实现未经身份验证的远程代码执行。Langflow AI是用于构建AI代理的流行工具。

“这一活动表明,威胁行为体将AI工具视为集成基础设施而非外围应用,将其作为主要攻击向量进行 targeting,“报告指出。“随着组织继续采用AI工具,攻击面将继续扩大,受信任的AI工具将成为下一个内部威胁。”

在社会工程方面,攻击者使用AI生成自然语言钓鱼邮件、创建具有匹配在线存在的数字角色,并令人信服地开发确保目标响应所需的文档和文件。

对于技术操作,AI可用于协助恶意软件和漏洞利用的开发,为持续攻击提供技术支持,并帮助增强目标侦察的信息收集方面。在信息操作方面,攻击者使用GenAI创建虚假信息内容、看似可信的媒体基础设施,并通过翻译成不同语言进行针对性宣传。

国家行为体与网络犯罪组织都在使用AI

CrowdStrike强调了国家行为体和"网络犯罪"行为体如何从生成式AI使用中受益。

“国家对手——如那些归属于伊朗和朝鲜的——正越来越多地采用GenAI技术,使其网络操作更快、更高效、更难以检测。他们使用公开可用模型辅助侦察、漏洞研究以及钓鱼活动内容和有效载荷开发,“CrowdStrike报告写道。“资源较少的威胁行为体,包括网络犯罪和黑客行动主义者,已采用GenAI自动化任务并改进工具,包括脚本生成、技术问题解决、恶意软件开发和基础设施增强。”

最终,CrowdStrike认为威胁行为体使用GenAI增强当前攻击方法而非完全替代它们。

IT技术人员诈骗

利用AI革命的一种攻击者是假冒IT技术人员。这些冒充求职者以获得雇佣并访问特权公司数据的个人,已成为某些组织的真正棘手问题。这些通常与朝鲜相关但可能来自不同背景的工作人员可能难以区分,部分原因是这些工作人员有时会作为渗透过程的一部分进行数月的真实工作。

CrowdStrike的报告聚焦于其追踪为"Famous Chollima"的朝鲜关联威胁行为体。研究人员追踪了过去12个月中320起Famous Chollima操作人员获得软件开发者欺诈雇佣的事件。

CrowdStrike将对手的高节奏归因于"在招聘和雇佣过程的每个阶段自动化和优化工作流程的GenAI驱动工具”。操作人员使用AI生成简历和求职信,创建虚假数字角色,在视频面试中掩盖真实身份(通过深度伪造技术),表现出更流利的英语,并根据需要协助工作任务。

“一旦被雇佣,FAMOUS CHOLLIMA IT工作人员使用GenAI代码助手(如Microsoft Copilot或VSCodium)和GenAI翻译工具协助日常任务和与其合法工作职能相关的通信,“CrowdStrike报告写道。“虽然普通员工可能以类似方式使用GenAI,但这些工具——特别是那些支持英语通信的工具——对FAMOUS CHOLLIMA尤其关键。这些操作人员英语不流利,可能同时从事三到四份工作,需要GenAI完成工作并管理和响应多个通信流。”

为应对Famous Chollima(可能还有其他类似攻击者),CrowdStrike建议在招聘过程中实施增强的身份验证流程,检查专业在线资料;实施实时深度伪造挑战;加强远程访问安全控制,“特别关注地理位置屏蔽和端点安全规避尝试”;并为招聘经理和IT人员创建相关培训计划。

当被问及这种雇佣诈骗问题的规模时,Meyers解释说这是”[朝鲜]政权完全规模化的收入操作”。

“仅过去一年,CrowdStrike OverWatch就追踪到320多起FAMOUS CHOLLIMA操作人员欺诈受雇为远程IT工人的案例——同比增长220%,“他告诉Dark Reading。“基于此活动的数量和一致性,我们评估该活动可能每年为朝鲜产生数亿美元收入。我们将其归因于支持政权武器计划的第75局。”

Meyers补充说,该计划普遍存在,跨越多个国家并针对全球组织。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次