2025年7月中旬,出现了一场新型攻击活动,网络犯罪分子利用生成式人工智能制作政府身份证件的深度伪造图像,并将其嵌入鱼叉式钓鱼邮件中,以此绕过传统的 antivirus 防护措施。
这些电子邮件冒充军事和安全机构,还配有由ChatGPT生成的逼真视觉素材。
收件人被催促查看“草稿”身份证,这触发了恶意压缩包的下载,这些压缩包会执行经过混淆处理的脚本。
此次行动的复杂性凸显了对手战术的一种令人担忧的演变——他们将人工智能与传统的规避技术相结合,以渗透敏感网络。
经证实,这一威胁行为者隶属于Kimsuky组织,他们利用AutoIt和PowerShell,从韩国的命令与控制服务器投放了多阶段有效载荷。
起初,一个压缩归档文件中包含了一个伪装成合法文档的快捷方式文件。
打开后,此快捷方式通过cmd[.]exe调用批处理命令,以组合存储在环境变量中的恶意指令。
这些命令触发了一系列HTTP请求,以获取一个深度伪造的PNG文件和一个批处理脚本,这两个文件在到达后立即执行。
Genians的分析师发现,该批处理脚本使用了环境变量切片——通过诸如"% ab901ab [:] ~ 7,1 %"之类的表达式一次提取一个字符——来重建有效载荷部署所需的命令。
这种技术不仅能避开基于特征的引擎对恶意意图的检测,还能通过将可见操作延迟到完整命令字符串构建完成,来规避启发式检测。
下载图像中的元数据证实了其AI生成的来源,通过专门的检测器分析后,该图像被标记为深度伪造内容,概率为98%。
尽管依赖先进的人工智能启发法,但该活动仍取决于经典的持久性和混淆策略。
受害者的机器在合法软件更新的伪装下注册了计划任务,确保有效载荷定期运行。
生成式人工智能资产与自动化脚本的结合使用,形成了一种混合威胁,对传统的杀毒软件构成了挑战。
因此,安全团队必须通过行为分析以及端点检测与响应(EDR)解决方案来增强防御能力,这些解决方案能够实时监控脚本活动和计划任务的创建。
感染机制
最初的攻击浪潮始于一封伪装成政府身份证草案审核的钓鱼邮件。
点击该链接的接收者会收到一个名为Government_ID_Draft[.]zip的ZIP压缩包,其中包含Government_ID_Draft[.]lnk。
这个快捷方式启动了cmd[.]exe,并将一个长字符串赋值给环境变量,然后利用字符切片动态重建恶意的PowerShell命令。
重建后,该脚本获取了两个有效载荷:一个由ChatGPT生成的深度伪造PNG文件和一个附带的批处理脚本。
然后,该批处理脚本创建了一个名为"HncAutoUpdateTaskMachine"的计划任务,伪装成韩光办公软件(Hancom Office)的更新,每隔7分钟执行一次HncUpdateTray[.]exe及其附带的config[.]bin。
AutoIt编译的脚本中存在混淆,该脚本使用一种维吉尼亚密码变体来加密配置字符串,从而阻碍静态分析。
这种分层的感染和持久化方法展示了攻击者创新的新高度,将生成式人工智能与传统的恶意软件交付管道相结合。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
