Siber güvenlik araştırmacıları, bir tehdit aktörünün yapay zeka (AI) kodlama araçlarını kullanarak uç nokta tespit ve yanıt (EDR) yazılımlarını atlatmak üzere tasarlanmış kötü amaçlı yazılımlar geliştirdiğini ve iyileştirdiğini tespit etti. Bu faaliyet, bir kırmızı takım projesi olarak sunuldu. Sophos X-Ops biriminin analizine göre, olay bir müşteri ortamında şüpheli dosyaların yerel bir test klasöründe bulunmasıyla ortaya çıktı.
Keşfedilen dosyalar ve bağlantılı bir Git deposu, EDR atlatma araçları geliştirmek ve bunları Sophos, CrowdStrike ve Microsoft'un EDR ajanlarına karşı test etmek için kurulmuş bir laboratuvarı ortaya çıkardı. Python betiklerinin çoğunun kısmen yapay zeka tarafından oluşturulduğu ve Rusça yazıldığı belirtildi. Ancak Sophos, AI'nın süreçte otonom olmadığını, her aşamada insan müdahalesinin devam ettiğini vurguladı.
AI, yapılandırılmış bir inşa, test ve iyileştirme döngüsünü hızlandırmak için kullanıldı. Tehdit aktörü, AI tabanlı bir geliştirme ortamı olan Cursor üzerinde çalıştı ve birden fazla AI ajanına roller atadı. Örneğin, Claude Opus modeliyle çalışan bir ajan diğerlerinin kurallarını belirlerken, diğerleri test, operasyonel güvenlik ve dokümantasyon işlerini üstlendi. Ayrıca, kamuya açık güvenlik araştırmalarını taramak, teknikleri MITRE ATT&CK çerçevesine eşlemek ve laboratuvarda yeniden üretmek için ayrı bir çalışma kılavuzu oluşturuldu.
Sistem Güvenliği
Laboratuvarın merkezinde, yükleri şifreleme ve atlatma katmanlarıyla saran ve Cobalt Strike, Sliver gibi saldırı çerçevelerinden yararlanan bir Python aracı yer alıyordu. Sophos, bu şekilde 70'ten fazla tekniği kapsayan yaklaşık 80 modül oluşturulduğunu belirtti. Ajanların, modüllerin yineleme sonrasında neredeyse evrensel olarak etkili hale geldiğini rapor etmesine rağmen, Sophos test çıktılarının bunu net olarak desteklemediğini kaydetti. Projenin kırmızı takım çalışması olarak çerçevelenmesine rağmen, Sophos bunun muhtemelen Claude'un kötü amaçlı yazılım geliştirme etrafındaki güvenlik önlemlerini aşmak için kullanılan bir kılıf olduğunu değerlendirdi. Şirket, savunmacılar için AI'nın bu tür araçların geliştirilmesini kolaylaştırmasının pratikte çok az şey değiştirdiğini ve temel savunma stratejilerinin (zamanında yama, çok faktörlü kimlik doğrulama, modern yöntemler ve geniş EDR dağıtımı) önemini vurguladı.