Một mối đe dọa mạng đã sử dụng các công cụ hỗ trợ trí tuệ nhân tạo (AI) để tự động hóa quá trình khám phá Active Directory và kiểm thử các kỹ thuật né tránh hệ thống phát hiện và phản hồi điểm cuối (EDR). Hoạt động này làm nổi bật sự phát triển của các khung công tác hậu khai thác được hỗ trợ bởi AI.
Hoạt động xâm nhập được xác định sau khi một điểm cuối đáng ngờ kích hoạt các cảnh báo liên quan đến các payload được lưu trữ trong thư mục người dùng. Cuộc điều tra đã phát hiện một bộ sưu tập các thành phần độc hại, hình thành một bộ công cụ tấn công có cấu trúc chặt chẽ.
Khung công tác tấn công được hỗ trợ bởi AI
Bộ công cụ này bao gồm các cấu hình Cobalt Strike tùy chỉnh, được thiết kế để bắt chước lưu lượng truy cập web hợp pháp. Mục tiêu là hòa lẫn vào môi trường mạng thông thường, gây khó khăn cho việc phát hiện.
Kênh chỉ huy và kiểm soát (C2) nâng cao
Kênh chỉ huy và kiểm soát (C2) được thiết lập dựa trên bot Telegram để ẩn giấu hoạt động liên lạc trong cơ sở hạ tầng đáng tin cậy. Phương pháp này lợi dụng các dịch vụ phổ biến để che đậy lưu lượng C2 thực sự.
Ngoài ra, các script Python có khả năng tiêm shellcode vào các tệp thực thi Windows hợp pháp đã được sử dụng. Các script này đảm bảo rằng các tệp thực thi vẫn duy trì chức năng bình thường sau khi bị tiêm mã độc.
Một Cloudflare Worker cũng được sử dụng như một bộ chuyển hướng để che giấu máy chủ C2 backend thực sự. Điều này giúp ẩn địa chỉ IP của máy chủ C2, làm phức tạp quá trình truy vết của các nhà phân tích.
Vai trò của AI trong phát triển mã độc
Một phát hiện quan trọng là sự hiện diện của các script Python được tạo một phần bởi AI, nhiều trong số đó được viết bằng tiếng Nga. Các script này đi kèm với một kho lưu trữ Git chứa một khung công tác tự động hóa rộng lớn hơn.
Khung công tác này kết hợp một bảng điều khiển khám phá Active Directory tự động với một môi trường lab có kiểm soát. Môi trường lab này được dùng để phát triển và kiểm thử liên tục các mã độc chống lại các nền tảng EDR hàng đầu như Sophos, CrowdStrike và Microsoft Defender.
Hệ thống khám phá Active Directory không hoạt động như một mô hình ngôn ngữ lớn (LLM) hoàn toàn tự động. Thay vào đó, nó tuân theo một mô hình cây quyết định có cấu trúc.
Hệ thống này thu thập kết quả từ các tác vụ đã thực thi, chọn các bước tiếp theo đã được xác định trước và điều phối các hành động đến các tác nhân từ xa. Điều này cho phép thực hiện trinh sát bán tự động trong các môi trường doanh nghiệp, đồng thời duy trì các đường dẫn thực thi có thể dự đoán được.
Môi trường phát triển và kiểm thử
Kẻ tấn công đã xây dựng môi trường kiểm thử bằng cách sử dụng các máy ảo được cung cấp thông qua Ludus. Nhiều hệ thống Windows Server 2022 đã được cấu hình để đánh giá các kỹ thuật vượt qua chống lại các tác nhân EDR khác nhau.
Bên cạnh đó, một hệ thống Ubuntu riêng biệt lưu trữ máy chủ chỉ huy và kiểm soát Sliver. Sự kết hợp này tạo ra một môi trường đa dạng để kiểm thử các biến thể mã độc và kỹ thuật né tránh.
Phát triển và điều phối bằng AI
Quá trình phát triển được hỗ trợ bởi một IDE (môi trường phát triển tích hợp) gốc AI, có tên là Cursor. Mọi hoạt động được điều phối thông qua nhiều tác nhân AI với các vai trò được chỉ định cụ thể.
Một tác nhân AI chính, được cung cấp bởi Claude Opus, quản lý việc điều phối và thiết lập quy tắc. Trong khi đó, các tác nhân khác xử lý việc kiểm thử, cải thiện bảo mật hoạt động, tài liệu và triển khai cơ sở hạ tầng.
Giao tiếp giữa các tác nhân và kho mã được quản lý bằng Model Context Protocol. Điều này cho phép các cam kết tự động và các chu kỳ phát triển lặp đi lặp lại. Đây là một yếu tố quan trọng giúp tăng tốc quá trình phát triển các mối đe dọa mạng mới.
Khung công tác cũng tích hợp nghiên cứu về các mối đe dọa bên ngoài. Các tác nhân AI được hướng dẫn để tiếp nhận các blog bảo mật có sẵn công khai, trích xuất các kỹ thuật tấn công, ánh xạ chúng tới khung MITRE ATT&CK và tái tạo chúng trong lab.
Các nguồn thông tin bao gồm các công ty bảo mật nổi tiếng và các nhà cung cấp nghiên cứu red team. Quá trình này cho phép tạo mẫu nhanh chóng các kỹ thuật tấn công dựa trên các phương pháp thực tế, nâng cao khả năng của mối đe dọa mạng này.
Bộ tạo payload mô-đun
Cốt lõi của khung công tác là một bộ tạo payload mô-đun được viết bằng Python. Bộ tạo này sản xuất các tệp thực thi bằng Rust và Go. Các payload này được bao bọc trong các lớp mã hóa và logic né tránh.
Điều này cho phép kẻ tấn công kiểm thử hơn 70 kỹ thuật khác nhau. Mặc dù tỷ lệ thành công ban đầu thấp, các lần lặp lại liên tục được báo cáo đã cải thiện hiệu quả vượt qua, mặc dù kết quả vẫn chưa được xác minh đầy đủ.
Mục tiêu và khuyến nghị phòng thủ
Các nhà nghiên cứu của Sophos đánh giá rằng khung công tác này, mặc dù được trình bày như một công cụ red team, có khả năng cao được dùng cho các vụ xâm nhập mạng thực tế. Điều này bao gồm việc triển khai ransomware và đánh cắp dữ liệu.
Việc sử dụng AI giúp đẩy nhanh đáng kể các chu kỳ phát triển. Tuy nhiên, điều này không làm thay đổi các yêu cầu phòng thủ cơ bản. Các tổ chức cần tiếp tục duy trì các biện pháp bảo mật mạnh mẽ.
Các khuyến nghị bảo mật bao gồm vá lỗi kịp thời, triển khai xác thực đa yếu tố (MFA) và sử dụng hệ thống EDR toàn diện. Đây là những biện pháp thiết yếu để chống lại các mối đe dọa mạng ngày càng phức tạp.
Phòng ngừa và phát hiện xâm nhập
Kẻ tấn công ngày càng sử dụng AI để xác định và khai thác các lỗ hổng trong hệ thống phòng thủ. Do đó, việc đầu tư vào các giải pháp phát hiện xâm nhập hiệu quả là cực kỳ quan trọng.
Đảm bảo các hệ thống EDR được cập nhật và cấu hình chính xác có thể giúp nhận diện sớm các hoạt động đáng ngờ. Điều này là then chốt để ngăn chặn các cuộc tấn công trước khi chúng gây ra thiệt hại nghiêm trọng.
Các biện pháp bảo mật như phân đoạn mạng, nguyên tắc đặc quyền tối thiểu và đào tạo nhận thức bảo mật cho nhân viên cũng đóng vai trò quan trọng. Chúng tạo thành một lớp phòng thủ đa tầng chống lại các mối đe dọa mạng tinh vi.
Tham khảo thêm thông tin chi tiết về đánh giá của Sophos tại: Sophos Blog.
