Shady, китайская компания, предлагает все необходимые приложения для полностью автоматизированной атаки — звучит вполне правдоподобно
С момента выпуска в июле новый инструмент для тестирования на проникновение Villager, связанный с подозрительной китайской компанией и названный исследователями «преемником Cobalt Strike в области искусственного интеллекта», был загружен около 10 000 раз.
Пакет, опубликованный в Python Package Index, работает как клиент Model Context Protocol (MCP) и объединяет в себе несколько инструментов для обеспечения безопасности. Он включает в себя Kali Linux, которую законные специалисты по кибербезопасности используют для автоматизации тестирования на проникновение, а также содержит сотни инструментов, которые можно использовать для масштабных кибератак. Villager также содержит модели искусственного интеллекта DeepSeek для автоматизации рабочих процессов тестирования, а также множество других инструментов на основе ИИ, таких как база данных из 4201 подсказки для систем искусственного интеллекта, которые генерируют эксплойты и другие механизмы, затрудняющие обнаружение.
«Как и Cobalt Strike, его можно использовать в законных целях, но он также готов к злонамеренному использованию без специальных знаний, поскольку полностью автоматизирован, — сказал Дэн Регаладо, главный специалист по безопасности ИИ в Straiker, в интервью The Register. — И мы видим, что его скачивают каждый день, не массово, но регулярно».
В отчёте, опубликованном сегодня и предоставленном The Register, компания Regalado, занимающаяся вопросами безопасности ИИ, и её коллега Аманда Руссо сообщили, что в ходе расследования они фиксировали в среднем 200 загрузок каждые три дня, что в общей сложности составило 9952 загрузки на различных операционных системах, включая Linux, macOS и Windows.
Они установили, что инструмент для тестирования на проникновение с использованием искусственного интеллекта принадлежит китайской организации Cyberspike.
Как и Cobalt Strike, его можно использовать в законных целях, но он также готов к злонамеренному использованию без необходимости в специальных знаниях, поскольку полностью автоматизирован
Cyberspike впервые появился в ноябре 2023 года, когда домен cyberspike[.]top был зарегистрирован на компанию Changchun Anshanyuan Technology Co., которая занимается разработкой искусственного интеллекта и прикладного программного обеспечения.
Однако у компании, судя по всему, нет ни веб-сайта, ни каких-либо других признаков, указывающих на то, что это легальный бизнес. Кроме того, в декабре 2023 года на VirusTotal была загружена более ранняя линейка продуктов Changchun Anshanyuan под названием Cyberspike.
Проанализировав двоичные файлы, Страйкер обнаружил, что весь программный пакет Cyberspike связан с AsyncRAT — трояном для удалённого доступа, который может выполнять такие функции, как доступ к удалённому рабочему столу, компрометация учётной записи Discord, запись нажатий клавиш, перехват веб-камеры и другие функции наблюдения.
«Наш анализ подтверждает, что Cyberspike интегрировала AsyncRAT в свой продукт для «красных команд» с дополнительными плагинами для таких известных хакерских инструментов, как Mimikatz, — написали Регаладо и Руссо. — Эти интеграции демонстрируют, как Cyberspike переупаковывает известные хакерские и наступательные инструменты в готовую платформу для тестирования на проникновение и, вероятно, для вредоносных операций».
Регаладо сказал The Register, что раньше никто не говорил о Cyberspike. «Мы первые», — сказал он.
«Компания вызывает большие подозрения, потому что она зарегистрирована в Китае с указанием реального физического адреса — но мы не думаем, что там есть офис, — и у нас нет информации о сотрудниках», — добавил Регаладо. «Кроме того, их сайт был закрыт в начале 2024 года. Весь код Villager содержит слова на китайском языке, и создатель тоже из этой страны. Но мы видим, что Villager по-прежнему использует домен компании, что говорит о том, что команда всё ещё пользуется инфраструктурой».
От захвата флага до эксплойтов с использованием ИИ
23 июля команда Cyberspike выпустила на PyPI новый инструмент для тестирования на проникновение Villager.
Автор @stupidfish001 — бывший игрок в «захват флага» (CTF) в китайской команде HSCSEC. Это важно, потому что такие соревнования в Китае служат каналом для найма и обучения квалифицированных хакеров, а кибербезопасность и разведывательные службы Пекина стремятся их заполучить.
Villager сам по себе включает в себя несколько компонентов для тестирования на проникновение — или для атаки на чью-то систему, в зависимости от того, кто использует платформу ИИ. Он использует клиентскую службу MCP (порт 25989) для централизованной передачи сообщений и координации, а также базу данных из 4201 запроса к системе ИИ для создания эксплойтов и принятия решений в режиме реального времени. Он также автоматически создаёт изолированные контейнеры Kali Linux для сканирования сети, оценки уязвимостей и тестирования на проникновение.
Villager также интегрируется с Pydantic AI для применения правил форматирования к результатам работы ИИ и настраивает контейнер с функцией самоуничтожения через 24 часа для удаления журналов активности и криминалистических данных о программном инструменте.
Все это значительно упрощает использование Villager для проведения атак, нацеленных на одно веб-приложение, в которых ИИ корректирует эксплойт в зависимости от полученных данных. Согласно отчету:
Если обнаруживается WordPress, Villager автоматически запускает WPScan в контейнере Kali. Если обнаруживается конечная точка API, он переключается на автоматизацию браузера для проверки потоков аутентификации. Система проверки задач гарантирует, что каждый шаг будет выполнен успешно, прежде чем будет сделан следующий.
Или же он может разработать более сложную цепочку атак с использованием нескольких инструментов:
- Автоматизация браузера выявила уязвимость, связанную с загрязнением клиентских прототипов
- Прямое выполнение кода позволяет создавать специализированные полезные нагрузки
- Контейнер Kali отслеживает сетевой трафик для успешной эксплуатации уязвимостей
- В случае успеха механизмы сохранения данных запускаются с помощью команды OS execute
Регаладо говорит, что хочет привлечь внимание компаний к этой ранее не описанной угрозе и к тому, с какой скоростью злоумышленники используют ИИ в неблаговидных целях.
«Злоумышленники действуют очень быстро, автоматизируя атаки с помощью искусственного интеллекта, — сказал он. — Защитники также должны использовать продукты на основе искусственного интеллекта, чтобы защищаться с такой же скоростью».
- Хотите ещё полезных статей? Подпишитесь на нашу рассылку — раз в неделю лучшие материалы .
- Чтобы первыми получать аналитику, кейсы и практические инструкции.
- Получайте еженедельный дайджест с проверенными решениями для вашей работы.
- Подписка бесплатна и её легко отменить. Присоединяйтесь!