Bedrohungsakteure nutzen KI zur Automatisierung der Entdeckung und Ausnutzung von Zero-Day-Schwachstellen mit maschineller Geschwindigkeit

Technik und Auswirkungen

KI-gesteigeltes Spionage und die GAMECHANGE-Kampagne Der auffälligste Fallstudie in diesem Bereich ist GAMECHANGE, der erste dokumentierte Fall.

Im September 2024 identifiziert und mit hoher Sicherheit als chinesische, staatlich geförderte Operation eingestuft, zielte GAMECHANGE auf ungefähr 70 globale Einrichtungen ab, darunter Technologieunternehmen, Finanzinstitute und Regierungsbehörden, wobei vier Organisationen erfolgreich kompromittiert wurden.

Die Malware war in Python geschrieben, mithilfe PE-Datei kompiliert und, die ukrainische Regierungsvertreter nachahmten. GTG-1002s KI-orchestriertes Spionage (Quelle – Cyberthint) Was GAMECHANGE auszeichnete, war, dass seine Anweisungen nicht in den Binärcode hartkodiert waren.

Technischer Hintergrund

Stattdessen sendete es Abfragen an Alibabas Qwen-Coder-Modell über die Hugging Face API und generierte Befehle, die in Echtzeit ausgeführt wurden. Es bettete einzigartige API-Tokens ein, um Blacklisting zu widerstehen, sammelte Hardware-, Prozess-, Netzwerk- und Active Directory-Daten und kopierte rekursiv Office-Dokumente und PDFs.

Die Analyse ’s Black Hat beschrieb GAMECHANGE als ein Pilotprogramm, das die Fähigkeiten Einsatz testet. Gefälschte Vertreter eines ukrainischen Ministeriums (Quelle – Cyberthint).

Zwei weitere experimentelle Malware-Familien, die KI-gestützt sind, wurden ebenfalls dokumentiert. MalTerminal, die früheste bekannte Malware, die bösartige Payloads zur Laufzeit generiert, wurde 2024 vorgestellt.

Sicherheitslage und Risiko

Bei Ausführung bot sie die Wahl zwischen Ransomware oder einem Reverse Shell, sendete Anfragen an einen GPT-4-Endpunkt und generierte Verschlüsselungs- und Exfiltrationscode im Speicher, ohne auf die Festplatte zu schreiben. JSOUTFMUT, entdeckt 2024, war ein VBScript-Dropper, der seine Mutationen.

Sein Thinking Robot-Modul fragte die Gemini Flash API nach neuen Obfuskationstechniken, generierte stündlich eine frische Variante und kopierte sich auf externe Laufwerke und Netzlaufwerke. Sicherheitsteams müssen davon ausgehen, dass Angreifer nun mit maschineller Geschwindigkeit agieren.

Die Mean Time to Contain ist kritischer als die Mean Time to Detect, da reaktive Strategien versagen, wenn die Angriffsgeschwindigkeit das Patchen übertrifft. Die LotL-Überwachung sollte auf die Netzwerkebene verlagert werden, da klassische IOCs schnell veralten.

Anomaliebasierte Signale wie unerwartete Nutzung hoher

Anomaliebasierte Signale wie unerwartete Nutzung hoher Entropie bieten eine persistentere Erkennung.

AI API-Verkehr sollte zu den Überwachungslisten hinzugefügt werden, und YARA-basiertes API-Schlüssel-Scanning zusammen mit der Überprüfung ärdateien auf eingebettete JSON-Prompt-Strukturen gehören zu den effektivsten Wegen, um LLM-eingebettete Malware abzufangen.

Das Platzieren künstlicher Signale in Täuschungsumgebungen kann auch zu falsch positiven Ergebnissen in Angreifer-KI-Modellen führen. Letztendlich wird nicht die Geschwindigkeit des Patchens, sondern die Geschwindigkeit der Eindämmung des Verstoßes das Ergebnis bestimmen.