Siber güvenlik alanında yeni bir tehdit ortaya çıktı. Araştırmacılar, bir tehdit aktörünün yapay zeka (YZ) kodlama araçlarını kullanarak uç nokta tespit ve yanıt (EDR) yazılımlarını atlatmak için kötü amaçlı yazılımlar geliştirdiğini tespit etti. Sophos X-Ops tarafından keşfedilen aktivite, bir müşteri ortamındaki olağandışı bir uç noktanın yerel bir test klasöründeki kötü amaçlı dosyalar için uyarı vermesiyle ortaya çıktı. Bu dosyalar ve bağlantılı bir Git deposu, kaçınma araçları geliştirmek ve bunları Sophos, CrowdStrike ve Microsoft'un EDR ajanlarına karşı test etmek için oluşturulmuş bir laboratuvarı ortaya çıkardı. Python betiklerinin çoğu kısmen YZ tarafından oluşturulmuş ve Rusça yazılmıştı.
Sophos, en önemli bulgunun YZ'nin ne yapmadığı olduğunu vurguladı. İş akışı otonom bir şekilde çalışan bir model tarafından yürütülmüyordu ve kötü amaçlı yazılımın içine YZ gömülü değildi. Bunun yerine YZ, yapı, test ve iyileştirmeden oluşan yapılandırılmış bir döngüyü hızlandırdı, ancak her adımda hala insan incelemesi gerekiyordu. Aktör, YZ tabanlı bir geliştirme ortamı olan Cursor içinde çalıştı ve birkaç ajana roller atadı. Claude Opus üzerinde çalışan bir ajan diğerlerinin kurallarını belirlerken, diğerleri test, operasyonel güvenlik ve dokümantasyonla ilgilendi. Ayrı bir çalışma kitabı, kamu güvenlik araştırmalarını taramak, teknikleri MITRE ATT&CK çerçevesine eşlemek ve laboratuvarda yeniden üretmekle görevlendirildi.
Laboratuvarın merkezinde, yükleri şifreleme ve kaçınma katmanlarıyla saran ve özel yükleyiciler üreten bir Python aracı vardı. Bu araç, Cobalt Strike ve Sliver gibi saldırı çerçevelerinden yararlanıyordu. Sophos, bu şekilde 70'ten fazla tekniği kapsayan yaklaşık 80 modül oluşturulduğunu belirtti. Ajanlar, modüllerin yinelemeden sonra neredeyse evrensel olarak etkili hale geldiğini bildirdi, ancak Sophos belgelenen test çıktısının bunu açıkça desteklemediğini kaydetti. Proje kırmızı takım çalışması olarak çerçevelenmiş olsa da, Sophos bu etiketin muhtemelen bir kılıf olduğunu ve kısmen Claude'un kötü amaçlı yazılım geliştirme etrafındaki güvenlik duvarlarını aşmak için kullanıldığını değerlendirdi.
Uzmanların Görüşleri
Sophos ekibi, "Gerçekte, çerçeve hedef ortamlarda gizli sömürü sonrası aktivite için inşa edildi" dedi. Şirket ayrıca aktiviteyi bilinen fidye yazılımı ve veri hırsızlığı operasyonlarıyla ilişkilendirdi. Savunmacılar için Sophos, YZ'nin bu tür araçları oluşturma engelini düşürmesine ve saldırganların boşlukları daha hızlı bulmasına yardımcı olmasına rağmen, değişimin pratikte çok az şey değiştirdiğini savundu. Ekip, kuruluşları derinlemesine savunma temellerini korumaya çağırdı: zamanında yama yapma, çok faktörlü kimlik doğrulama (MFA), geçiş anahtarları gibi modern yöntemler ve geniş EDR dağıtımı.