.svg?branch=dev&width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?branch=dev&width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Gli analisti di Sophos X-Ops hanno osservato un malintenzionato che utilizzava tecnologie di intelligenza artificiale (AI) per testare tattiche di elusione dei sistemi di rilevamento e risposta sugli endpoint (EDR) nell'ambito di un framework di post-exploit del “red team”. L'attività è stata rilevata quando un endpoint anomalo registrato all'interno dell'ambiente di un cliente ha generato avvisi relativi a payload provenienti dalla directory C:\Users\User\Documents\test. Diversi file presenti in questa directory erano dannosi e indicavano l'esistenza di un quadro di attacco più ampio incentrato sull'elusione del rilevamento:
- Profili di traffico Cobalt Strike progettati per far apparire il traffico beacon come legittime richieste web.
- Un meccanismo di comando e controllo (C2) esterno basato su API Telegram che instradava la comunicazione tramite la piattaforma Telegram per eludere il rilevamento utilizzando connessioni Internet dirette.
- Più script malware di sviluppo con shellcode per l’iniezione in eseguibili Windows legittimi, preservandone al contempo la funzionalità originale.
- Uno strumento AI Cloudflare Worker che agisce come reindirizzatore front-end per oscurare il server C2 effettivo.
Strumenti generati dall'IA
Diversi script Python presenti sul dispositivo, molti dei quali scritti in russo, sono stati in parte generati dall'IA. Ulteriori indagini hanno portato alla luce un repository Git contenente un framework di strumenti e script che si articolano in due componenti: un pannello di rilevamento automatizzato di Active Directory (AD) e un laboratorio che utilizza un approccio iterativo per lo sviluppo e il test di malware contro gli agenti di rilevamento e risposta agli endpoint (EDR) di Sophos, CrowdStrike e Windows Defender. L'attività del pannello AD assomiglia molto a una funzionalità automatizzata guidata dall'IA, ma non rappresenta un modello linguistico di grandi dimensioni (LLM) in grado di ragionare in modo autonomo. L'individuazione automatizzata di AD viene invece effettuata raccogliendo osservazioni da attività completate, scegliendo il ramo successivo da un insieme predefinito di azioni, inviando il lavoro ad agenti remoti e rivalutando quando vengono restituiti i risultati.
L'analisi ha rivelato che l'uso dell'intelligenza artificiale nello sviluppo di malware era piuttosto limitato e veniva impiegato principalmente per coordinare i flussi di lavoro e supportare la sperimentazione. Il percorso effettivo per aggirare l'EDR consisteva in un ciclo di test ingegneristico strutturato che prevedeva la revisione umana e iterazioni successive.
Leggi tutto l’articolo: https://www.sophos.com/en-us/blog/pointing-a-cursor-at-evading-detection