據(jù)BleepingComputer消息，在3月的一起針對(duì)德國(guó)數(shù)十家機(jī)構(gòu)網(wǎng)絡(luò)釣魚(yú)活動(dòng)中，研究人員發(fā)現(xiàn)，攻擊者使用的 PowerShell 腳本很有可能由人工智能輔助創(chuàng)建。

網(wǎng)絡(luò)安全公司 Proofpoint 的研究人員將這次攻擊歸因于一個(gè)至少?gòu)?2017 年起就開(kāi)始活躍、被追蹤為 TA547 的攻擊者，又名 Scully Spider，擅長(zhǎng)利用各類(lèi)惡意軟件針對(duì)Windows和安卓系統(tǒng)。而此次攻擊活動(dòng)中使用的是一種名為“Rhadamanthys”的模塊化竊取程序，能夠搜集剪貼板、瀏覽器、cookie中的數(shù)據(jù)。

研究人員稱(chēng)， TA547 在此次攻擊活動(dòng)中冒充德國(guó)麥德龍，以發(fā)票為誘餌，欺騙了德國(guó)各行各業(yè)的數(shù)十家組織。 這些郵件包括一個(gè)用密碼 "MAR26 "保護(hù)的 ZIP 壓縮包，其中包含一個(gè)惡意快捷方式文件（.LNK），訪(fǎng)問(wèn)該快捷方式文件會(huì)觸發(fā) PowerShell 運(yùn)行遠(yuǎn)程腳本，并在內(nèi)存中執(zhí)行惡意代碼。

冒充麥德龍現(xiàn)購(gòu)自運(yùn)公司的 TA547 釣魚(yú)郵件

在分析加載 Rhadamanthys 的 PowerShell 腳本時(shí)，研究人員注意到腳本中包含一個(gè)哈希符號(hào) (#)，后面是每個(gè)組件的特定注釋?zhuān)@在由真人創(chuàng)建的代碼中并不常見(jiàn)。 研究人員指出，這是由ChatGPT、Gemini 或 CoPilot 等生成式人工智能所生成代碼的典型特征。雖然他們不能絕對(duì)確定 PowerShell 代碼來(lái)自大型語(yǔ)言模型（LLM）解決方案，但研究人員表示，腳本內(nèi)容表明 TA547 有可能使用了生成式人工智能來(lái)編寫(xiě)或改寫(xiě) PowerShell 腳本。

TA547 攻擊中使用的疑似人工智能生成的 PowerShell 腳本

Proofpoint 威脅研究主管丹尼爾·布萊克福德（Daniel Blackford）告訴BleepingComputer，雖然開(kāi)發(fā)人員很擅長(zhǎng)編寫(xiě)代碼，但他們的注釋通常是隱晦的，而且存在語(yǔ)法錯(cuò)誤。而這些疑似由 LLM 生成的 PowerShell 腳本注釋縝密，語(yǔ)法無(wú)懈可擊，幾乎每一行代碼都有一些相關(guān)注釋。

此外，根據(jù)使用 LLM 生成代碼的實(shí)驗(yàn)結(jié)果，研究人員已幾乎相信TA547所用的代碼就是使用此類(lèi)技術(shù)生成。BleepingComputer 使用 ChatGPT-4 創(chuàng)建了一個(gè)類(lèi)似的 PowerShell 腳本，輸出的代碼看起來(lái)與 Proofpoint 看到的代碼相似，包括變量名和注釋?zhuān)@進(jìn)一步表明該腳本很可能是由人工智能生成。

使用 ChatGPT 生成的 PowerShell 腳本示例

自 OpenAI 于 2022 年底發(fā)布 ChatGPT 以來(lái)，出于經(jīng)濟(jì)動(dòng)機(jī)的攻擊者一直在利用人工智能來(lái)創(chuàng)建定制化或本地化的網(wǎng)絡(luò)釣魚(yú)電子郵件、運(yùn)行網(wǎng)絡(luò)掃描以識(shí)別主機(jī)或網(wǎng)絡(luò)上的漏洞，以及構(gòu)建高度可信的網(wǎng)絡(luò)釣魚(yú)頁(yè)面。但由于大多數(shù)大型語(yǔ)言學(xué)習(xí)模型都試圖限制可能被用于惡意軟件或惡意行為的輸出，網(wǎng)絡(luò)犯罪分子開(kāi)始推出專(zhuān)門(mén)用于惡意目的的人工智能平臺(tái)。