AI-оружие в руках хакеров-дилетантов: как Darktrace обнаружила вредоносное ПО, созданное нейросетью

Сеть CloudyPots представляет собой распределенную систему хонепотов, которая непрерывно отслеживает и анализирует активность злоумышленников в реальном времени. Недавняя атака была направлена на Docker-хонепот, где злоумышленник получил первоначальный доступ через незащищенный Docker API. В результате был создан контейнер с именем «python-metrics-collector», который выполнил цепочку команд для загрузки и запуска вредоносного скрипта с внешних ресурсов, включая Pastebin и GitHub Gist.

Ключевой особенностью инцидента стал сам Python-скрипт, который оказался полноценным фреймворком для эксплуатации уязвимости React2Shell. Этот фреймворк был предназначен для сканирования сети, получения удаленного выполнения кода (RCE) и развертывания криптомайнера XMRig для добычи Monero. Однако, по мнению аналитиков Darktrace, наиболее показательными были стилистические особенности кода. Скрипт начинался с многострочного комментария, заявляющего об «образовательных и исследовательских целях», и был обильно снабжен пояснениями, что нетипично для рукописного вредоносного ПО, где обычно приоритет отдается обфускации и компактности.

Специалисты проверили фрагменты кода в детекторе AI-контента GPTZero, который подтвердил высокую вероятность его генерации языковой моделью. Это указывает на то, что злоумышленник, вероятно, использовал техники «джейлбрейка», чтобы обойти встроенные в модель ограничения на создание вредоносного кода, представив запрос как учебный. Функционал скрипта включал генерацию списка IP-адресов для атаки, формирование специального запроса, эксплуатирующего уязвимость в Next.js, и выполнение команды для загрузки и запуска майнера. Криптовалютный кошелек для сбора средств был жестко прописан в коде, что позволило исследователям отследить успешность кампании.

Согласно данным публичного майнинг-пула supportxmr.com, атакующему удалось скомпрометировать 91 хост. Однако финансовый результат оказался крайне скромным. На момент анализа общий заработок составил около 0.015 XMR (примерно 5 фунтов стерлингов), а ежедневный доход не превышал 1.33 фунта. Несмотря на низкую рентабельность, этот случай имеет важное сигнальное значение. Он доказывает, что технология генеративного ИИ уже сейчас позволяет злоумышленникам с минимальными навыками создавать рабочие инструменты для атак и масштабировать их.

Эксперты Darktrace также обратили внимание на необычную архитектуру атаки. В отличие от типичных образцов вредоносного ПО для Docker, загруженный скрипт не содержал собственного механизма распространения. Это говорит о том, что функция сканирования и заражения новых жертв, вероятно, была вынесена на отдельный центральный сервер. IP-адрес инициатора атаки был зарегистрирован на резидентного интернет-провайдера в Индии, что может указывать либо на использование прокси, либо на то, что злоумышленник действовал с домашнего компьютера.

В заключении аналитики подчеркивают, что данный инцидент следует рассматривать как превью ближайшего будущего киберугроз. AI-генерация делает создание и модификацию вредоносного ПО по запросу доступным практически для любого человека. В ответ защитникам необходимо сосредоточиться на максимально быстром устранении уязвимостей, непрерывном мониторинге поверхности атаки и поведенческих методах обнаружения, способных выявлять аномалии независимо от внешнего вида исполняемого кода. Эра оперативного, масштабируемого и общедоступного вредоносного ПО, созданного нейросетями, уже наступила.

IPv4

• 49.36.33.11

Domains

• smplu.link

SHA256

• 594ba70692730a7086ca0ce21ef37ebfc0fd1b0920e72ae23eff00935c48f15b
• d57dda6d9f9ab459ef5cc5105551f5c2061979f082e0c662f68e8c4c343d667d