Исследователи из компании Check Point, специализирующейся на кибербезопасности, выявили новый вектор атак, нацеленный на популярные ассистенты на базе искусственного интеллекта. Объектами исследования стали Microsoft Copilot и Grok от xAI, которые, как выяснилось, могут быть использованы злоумышленниками в качестве скрытых реле для командно-контрольных центров (C2). Этот метод атаки получил официальное кодовое название «AI as a C2 proxy» (ИИ как прокси для C2) и позволяет хакерам маскироваться под легитимные корпоративные коммуникации, эффективно избегая обнаружения традиционными средствами защиты.
Технический механизм эксплуатации опирается на возможности ИИ-ассистентов по анонимному доступу к веб-ресурсам и обработке URL-адресов. Используя специфические подсказки (промпты) для просмотра и суммирования информации, злоумышленники создают двунаправленный канал связи. Через этот канал операторы могут отправлять команды на зараженное устройство и туннелировать данные жертвы наружу, используя инфраструктуру доверенных нейросетей как посредника.
Алгоритм атаки состоит из четырех последовательных этапов. Сначала вредоносное ПО, предварительно установленное на скомпрометированном хосте, отправляет специально подготовленный промпт ИИ-агенту. Затем агент, используя свои функции веб-серфинга, обращается к инфраструктуре, контролируемой злоумышленником. Сервер хакера отвечает командой, которую ИИ-агент принимает и через свой веб-интерфейс передает обратно вредоносному ПО для исполнения.
Ключевой особенностью данного метода является отсутствие необходимости в аутентификации. Атака осуществляется без использования API-ключей или зарегистрированных учетных записей, что делает бесполезными стандартные контрмеры, такие как отзыв ключей или блокировка аккаунтов. В классификации угроз данный подход относится к категории «Living-off-trusted-sites» (LOTS), подразумевающей использование легитимных и доверенных сайтов для проведения кибератак.
Важным условием для реализации сценария «AI as a C2 proxy» является предварительная компрометация системы. Для инициирования промптов к ИИ-агенту на целевой машине уже должно присутствовать вредоносное программное обеспечение, установленное другими способами. Таким образом, метод выступает инструментом пост-эксплуатации, усиливающим скрытность присутствия злоумышленника в сети.
Данное открытие демонстрирует эволюцию злоупотребления искусственным интеллектом. Ранее возможности ИИ использовались хакерами преимущественно как «умножители силы» для разведки, сканирования уязвимостей, создания фишинговых писем, генерации синтетических личностей, отладки кода и разработки вредоносных программ. Новые возможности C2-прокси переводят угрозу на уровень операционной автоматизации, где ИИ выступает в роли внешнего механизма принятия решений («Decision Engine»), определяющего дальнейшие действия атаки.
Исследователи отмечают, что использование API для генерации кода во время выполнения на основе данных с зараженного хоста обеспечивает динамическую адаптацию атак. Это позволяет автоматизировать рабочие процессы разведки, скриптинг действий злоумышленника и сортировку целей. В перспективе такие технологии станут ступенью к появлению «AI-Driven implants» (имплантов, управляемых ИИ) и командно-контрольных центров в стиле AIOps.
Публикация Check Point появилась спустя несколько недель после обнародования схожих результатов группой Palo Alto Networks Unit 42. Исследователи Unit 42, в число которых вошли Шехроз Фаруки, Алекс Старов, Дива-Ориан Марти и Билли Меличер, обнаружили технику превращения безобидных веб-страниц в фишинговые сайты с помощью клиентских API-вызовов к доверенным большим языковым моделям (LLM).
Согласно данным Unit 42, процесс атаки включает использование промптов, обходящих защитные ограждения (guardrails) безопасности, в результате чего LLM возвращает вредоносный JavaScript. Этот код затем собирается и выполняется непосредственно в браузере жертвы во время работы. Эксперты сравнивают этот метод с атаками типа «Last Mile Reassembly» (LMR), которые обычно используют WebRTC или WebSocket для скрытной доставки вредоносного контента.
Изображение носит иллюстративный характер
Технический механизм эксплуатации опирается на возможности ИИ-ассистентов по анонимному доступу к веб-ресурсам и обработке URL-адресов. Используя специфические подсказки (промпты) для просмотра и суммирования информации, злоумышленники создают двунаправленный канал связи. Через этот канал операторы могут отправлять команды на зараженное устройство и туннелировать данные жертвы наружу, используя инфраструктуру доверенных нейросетей как посредника.
Алгоритм атаки состоит из четырех последовательных этапов. Сначала вредоносное ПО, предварительно установленное на скомпрометированном хосте, отправляет специально подготовленный промпт ИИ-агенту. Затем агент, используя свои функции веб-серфинга, обращается к инфраструктуре, контролируемой злоумышленником. Сервер хакера отвечает командой, которую ИИ-агент принимает и через свой веб-интерфейс передает обратно вредоносному ПО для исполнения.
Ключевой особенностью данного метода является отсутствие необходимости в аутентификации. Атака осуществляется без использования API-ключей или зарегистрированных учетных записей, что делает бесполезными стандартные контрмеры, такие как отзыв ключей или блокировка аккаунтов. В классификации угроз данный подход относится к категории «Living-off-trusted-sites» (LOTS), подразумевающей использование легитимных и доверенных сайтов для проведения кибератак.
Важным условием для реализации сценария «AI as a C2 proxy» является предварительная компрометация системы. Для инициирования промптов к ИИ-агенту на целевой машине уже должно присутствовать вредоносное программное обеспечение, установленное другими способами. Таким образом, метод выступает инструментом пост-эксплуатации, усиливающим скрытность присутствия злоумышленника в сети.
Данное открытие демонстрирует эволюцию злоупотребления искусственным интеллектом. Ранее возможности ИИ использовались хакерами преимущественно как «умножители силы» для разведки, сканирования уязвимостей, создания фишинговых писем, генерации синтетических личностей, отладки кода и разработки вредоносных программ. Новые возможности C2-прокси переводят угрозу на уровень операционной автоматизации, где ИИ выступает в роли внешнего механизма принятия решений («Decision Engine»), определяющего дальнейшие действия атаки.
Исследователи отмечают, что использование API для генерации кода во время выполнения на основе данных с зараженного хоста обеспечивает динамическую адаптацию атак. Это позволяет автоматизировать рабочие процессы разведки, скриптинг действий злоумышленника и сортировку целей. В перспективе такие технологии станут ступенью к появлению «AI-Driven implants» (имплантов, управляемых ИИ) и командно-контрольных центров в стиле AIOps.
Публикация Check Point появилась спустя несколько недель после обнародования схожих результатов группой Palo Alto Networks Unit 42. Исследователи Unit 42, в число которых вошли Шехроз Фаруки, Алекс Старов, Дива-Ориан Марти и Билли Меличер, обнаружили технику превращения безобидных веб-страниц в фишинговые сайты с помощью клиентских API-вызовов к доверенным большим языковым моделям (LLM).
Согласно данным Unit 42, процесс атаки включает использование промптов, обходящих защитные ограждения (guardrails) безопасности, в результате чего LLM возвращает вредоносный JavaScript. Этот код затем собирается и выполняется непосредственно в браузере жертвы во время работы. Эксперты сравнивают этот метод с атаками типа «Last Mile Reassembly» (LMR), которые обычно используют WebRTC или WebSocket для скрытной доставки вредоносного контента.
