Rabattoffert för flera licenser
Hotdatabas Sårbarhet AI-utvecklad 2FA-exploit

AI-utvecklad 2FA-exploit

Med Mezo år Sårbarhet, Advanced Persistent Threat (APT), Skadlig programvara
Översätt till:

Cybersäkerhetsforskare har upptäckt en tidigare oidentifierad hotaktör som utnyttjar ett nolldagsangrepp som tros ha utvecklats med hjälp av artificiell intelligens. Detta markerar det första dokumenterade fallet där AI aktivt används i verkliga skadliga operationer för att upptäcka sårbarheter och generera attacker.

Utredare tillskriver kampanjen samordnade cyberkriminella grupper som verkar ha samarbetat kring ett storskaligt initiativ för att utnyttja sårbarheter. Analys av den associerade attackkedjan avslöjade en nolldagarssårbarhet inbäddad i ett Python-skript som kan kringgå tvåfaktorsautentisering (2FA) i en allmänt använd öppen källkodsbaserad, webbaserad systemadministrationsplattform.

Även om inga direkta bevis kopplar Googles Gemini AI-verktyg till operationen, drog forskarna med hög säkerhet slutsatsen att en AI-modell spelade en betydande roll i att upptäcka och beväpna felet. Python-koden uppvisade flera egenskaper som vanligtvis förknippas med utdata genererad från stora språkmodeller (LLM), inklusive mycket strukturerad formatering, omfattande pedagogiska dokumentsträngar, detaljerade hjälpmenyer och en ren ANSI-färgimplementering. Skriptet innehöll också en fabricerad CVSS-poäng, ett vanligt exempel på AI-hallucinationer.

Hur 2FA Bypass-angreppet fungerade

Den identifierade sårbarheten krävde legitima användaruppgifter för att fungera korrekt. Forskarna fastställde att felet härrörde från en semantisk logisk svaghet orsakad av ett hårdkodat förtroendeantagande i applikationens autentiseringsprocess. Sådana logiska brister på hög nivå ligger i allt högre grad inom de analytiska möjligheterna hos moderna LLM-system.

Säkerhetsexperter varnar för att AI dramatiskt accelererar varje steg i cyberattackers livscykel, från upptäckt av sårbarheter till validering av attacker och operativ driftsättning. Den växande användningen av AI av hotande aktörer minskar den tid och ansträngning som krävs för att identifiera svagheter och lansera attacker, vilket sätter försvarare under ökad press.

AI utökar landskapet för skadlig programvara och utnyttjande

Artificiell intelligens är inte längre begränsad till att hjälpa till med sårbarhetsforskning. Hotaktörer använder nu AI för att bygga polymorf skadlig kod, automatisera skadliga operationer och dölja attackfunktionalitet. Ett anmärkningsvärt exempel är PromptSpy, en Android-skadlig kod som missbrukar Gemini för att analysera aktivitet på skärmen och utfärda instruktioner som hjälper skadlig kod att hålla sig kvar i listan över senaste program.

Forskare har också dokumenterat flera uppmärksammade fall som involverar Gemini-assisterad skadlig aktivitet:

Den misstänkta Kina-kopplade cyberspionagegruppen UNC2814 ska ha använt personadrivna jailbreaking-prompter för att tvinga Gemini att ta på sig rollen som nätverkssäkerhetsexpert. Målet var att stödja sårbarhetsforskning riktad mot inbyggda enheter, inklusive TP-Link-firmware och Odette File Transfer Protocol (OFTP)-implementeringar.

Den nordkoreanska hotbildsaktören APT45 påstås ha utfärdat tusentals rekursiva uppmaningar utformade för att analysera CVE:er och validera proof-of-concept-attacker.

Den kinesiska hackergruppen APT27 ska ha använt Gemini för att påskynda utvecklingen av en applikation för flotthantering som troligen var avsedd att hantera en ORB-infrastruktur (operativ reläbox).

Rysslandskopplade intrångsoperationer riktade mot ukrainska organisationer använde AI-assisterade skadliga programfamiljer kända som CANFAIL och LONGSTREAM, vilka båda innehöll LLM-genererad lockbeteendekod för att dölja skadligt beteende.

Vapenbaserad träningsdata och autonoma AI-operationer

Hotaktörer har dessutom observerats experimentera med ett specialiserat GitHub-arkiv med namnet "wooyun-legacy", utformat som ett färdighetsplugin för Claude-kod. Arkivet innehåller mer än 5 000 verkliga sårbarhetsfall som ursprungligen samlades in av den kinesiska sårbarhetsrapporteringsplattformen WooYun mellan 2010 och 2016.

Genom att mata in denna datamängd i AI-system kan angripare möjliggöra kontextuell inlärning som tränar modeller att närma sig källkodsanalys med samma precision som erfarna säkerhetsforskare. Detta förbättrar avsevärt AI:ns förmåga att identifiera subtila logiska brister som standardmodeller kan förbise.

Forskare avslöjade också att en misstänkt Kina-allierad hotaktör använde AI-verktyg som Hexstrike AI och Strix under attacker mot ett japanskt teknikföretag och en stor östasiatisk cybersäkerhetsplattform. Dessa verktyg möjliggjorde enligt uppgift automatiserade rekognoserings- och upptäcktsoperationer med minimal mänsklig intervention.

De växande säkerhetskonsekvenserna av offensiv AI

Resultaten understryker ett stort skifte i cyberhotlandskapet. AI utvecklas snabbt från ett produktivitetsverktyg till en kraftmultiplikator för offensiva cyberoperationer. Från att upptäcka nolldagssårbarheter till att automatisera distribution av skadlig kod och förbättra operationell stealth, förändrar artificiell intelligens fundamentalt hur cyberattacker planeras och utförs.

I takt med att AI-drivna cyberförmågor fortsätter att mogna står organisationer inför en framtid där attacker blir snabbare, mer anpassningsbara och allt svårare att upptäcka innan skada uppstår.

Trendigt

Robinhood-bedrägeri med oigenkännlig inloggningsmejl

Nätfiske, Spam
Oväntade e-postmeddelanden som påstår att det har förekommit misstänkt aktivitet på ett konto bör alltid behandlas med försiktighet. Cyberbrottslingar döljer ofta nätfiskeförsök som brådskande säkerhetsmeddelanden för att pressa mottagare att reagera utan att tänka sig för noga. De så kallade "Robinhood Unrecognized Sign-In"-mejlen är en del av denna växande trend. Dessa meddelanden är inte...

Mest sedda

Läser in...