IBM X-Force 称存在新恶意软件在 Interlock 勒索软件入侵期间使用了名为 Slopoly 的病毒,它帮助攻击者在一周多的时间内保持对受感染服务器的访问并支持数据盗窃。该公司将 Slopoly 描述为可能是人工智能生成的 PowerShell 后门,但没有提供有关哪个模型创建它的证据。
这种区别很重要。这里最有力的证实不是人工智能确定地编写了恶意软件,而是该脚本显示出大型语言模型辅助开发的强烈迹象。IBM 指出了特征例如广泛的注释、结构化日志记录、错误处理、明确命名的变量以及类似于迭代人工智能辅助输出的未使用代码。
IBM 将这次入侵归因于其追踪的 Hive0163 出于经济动机的集群,该集群在重大攻击中部署了 Interlock 勒索软件。据 IBM 称,该小组使用了 Slopoly在最初的 ClickFix 社交工程诱惑之后,与其他恶意软件(包括 NodeSnake、InterlockRAT、JunkFiction 和 Interlock 勒索软件负载本身)一起处于攻击链的后期。
| 功能 | 举报行为 |
|---|---|
| 坚持 | 创建名为 Runtime Broker 的计划任务 |
| C2通讯 | 每 30 秒发送一次心跳信标 |
| 命令轮询 | 每 50 秒检查一次命令 |
| 命令执行 | 通过运行接收到的命令cmd.exe |
| 数据返回 | 将命令输出发送回 C2 |
| 记录 | 保持旋转persistence.log文件 |
| 部署路径 | C:\ProgramData\Microsoft\Windows\Runtime\ |
这些技术细节来自IBM对事件中使用的PowerShell脚本的分析。 IBM 表示,该恶意软件很可能是由构建者生成的,该构建者插入了静态配置值,例如会话 ID、互斥体名称、命令和控制地址以及信标间隔。
为什么“人工智能生成”的标签需要小心
IBM的报告并未声称Slopoly因AI而先进。事实上,该公司表示,从技术角度来看,该脚本“充其量是平庸的”,并且缺乏其自己的“多态”标签所暗示的自我修改行为。 IBM 还表示,无法确定使用的是哪种模型,但它认为质量表明该模型不太先进。
因此,真实的情况并不是人工智能突然创造了精英恶意软件。人工智能可能帮助攻击者更快、更省力地构建自定义恶意软件。 IBM 将此视为威胁行为者现在可以更快地生产可用工具的早期迹象,即使这些工具不是特别复杂。
攻击链一览
- 最初的访问是通过 ClickFix 社会工程策略实现的。
- 攻击者随后部署了 Slopoly 来维持访问长达一周多。
- IBM 表示,同样的入侵还涉及 NodeSnake、InterlockRAT 和 JunkFiction 加载程序。
- 最后的勒索软件阶段使用 64 位 Windows Interlock 有效负载。
IBM 表示,它观察到的勒索软件样本可以作为具有系统权限的计划任务运行,并在加密文件之前使用 Windows 重新启动管理器 API 来解锁文件。据报道,加密文件收到了. !NT3RLOCK或者.int3R1Ock扩展。
为什么此事件很重要
这个案例很重要,因为它展示了人工智能在网络犯罪中的实际应用,而不是理论上的应用。 IBM 的评估表明,攻击者可能已经在使用生成式 AI 来加速恶意软件开发、创建自定义后门并在实时入侵期间调整工具。这并不会让恶意软件一夜之间就比成熟的恶意软件系列更好,但它可以缩短开发时间并降低攻击者的技能障碍。
它还适合 Interlock 周围更广泛的模式。 IBM 和 IBM X-Force Exchange 将 Interlock 描述为与多阶段入侵、多个后门和勒索活动相关的大型勒索软件操作。 Slopoly 似乎是该生态系统中的又一个工具,而不是一个独立的突破。
FAQ
Slopoly 真的是 AI 写的吗?
没有公开报告可以肯定地证明这一点。 IBM 表示,该脚本显示了大型语言模型辅助开发的强烈迹象,但它无法识别确切的模型。
斯洛波利在这次袭击中做了什么?
IBM 表示,它充当 PowerShell 后门,维持持久性、联系命令和控制服务器、执行命令并返回结果。
攻击是如何开始的?
IBM 表示,此次入侵始于 ClickFix 社交工程诱饵,然后通过其他恶意软件和勒索软件组件扩展。
Slopoly 是复杂的恶意软件吗?
IBM 说不。该公司将其描述为技术上并不复杂,并表示它主要展示了人工智能如何加速恶意软件的创建,而不是自行产生高级功能。