據(jù)BleepingComputer消息，在3月的一起針對德國數(shù)十家機(jī)構(gòu)網(wǎng)絡(luò)釣魚活動中，研究人員發(fā)現(xiàn)，攻擊者使用的 PowerShell 腳本很有可能由人工智能輔助創(chuàng)建。

網(wǎng)絡(luò)安全公司 Proofpoint 的研究人員將這次攻擊歸因于一個至少從 2017 年起就開始活躍、被追蹤為 TA547 的攻擊者，又名 Scully Spider，擅長利用各類惡意軟件針對Windows和安卓系統(tǒng)。而此次攻擊活動中使用的是一種名為“Rhadamanthys”的模塊化竊取程序，能夠搜集剪貼板、瀏覽器、cookie中的數(shù)據(jù)。

研究人員稱， TA547 在此次攻擊活動中冒充德國麥德龍，以發(fā)票為誘餌，欺騙了德國各行各業(yè)的數(shù)十家組織。 這些郵件包括一個用密碼 "MAR26 "保護(hù)的 ZIP 壓縮包，其中包含一個惡意快捷方式文件（.LNK），訪問該快捷方式文件會觸發(fā) PowerShell 運(yùn)行遠(yuǎn)程腳本，并在內(nèi)存中執(zhí)行惡意代碼。

冒充麥德龍現(xiàn)購自運(yùn)公司的 TA547 釣魚郵件

在分析加載 Rhadamanthys 的 PowerShell 腳本時，研究人員注意到腳本中包含一個哈希符號 (#)，后面是每個組件的特定注釋，這在由真人創(chuàng)建的代碼中并不常見。 研究人員指出，這是由ChatGPT、Gemini 或 CoPilot 等生成式人工智能所生成代碼的典型特征。雖然他們不能絕對確定 PowerShell 代碼來自大型語言模型（LLM）解決方案，但研究人員表示，腳本內(nèi)容表明 TA547 有可能使用了生成式人工智能來編寫或改寫 PowerShell 腳本。

TA547 攻擊中使用的疑似人工智能生成的 PowerShell 腳本

Proofpoint 威脅研究主管丹尼爾·布萊克福德（Daniel Blackford）告訴BleepingComputer，雖然開發(fā)人員很擅長編寫代碼，但他們的注釋通常是隱晦的，而且存在語法錯誤。而這些疑似由 LLM 生成的 PowerShell 腳本注釋縝密，語法無懈可擊，幾乎每一行代碼都有一些相關(guān)注釋。

此外，根據(jù)使用 LLM 生成代碼的實(shí)驗(yàn)結(jié)果，研究人員已幾乎相信TA547所用的代碼就是使用此類技術(shù)生成。BleepingComputer 使用 ChatGPT-4 創(chuàng)建了一個類似的 PowerShell 腳本，輸出的代碼看起來與 Proofpoint 看到的代碼相似，包括變量名和注釋，這進(jìn)一步表明該腳本很可能是由人工智能生成。

使用 ChatGPT 生成的 PowerShell 腳本示例

自 OpenAI 于 2022 年底發(fā)布 ChatGPT 以來，出于經(jīng)濟(jì)動機(jī)的攻擊者一直在利用人工智能來創(chuàng)建定制化或本地化的網(wǎng)絡(luò)釣魚電子郵件、運(yùn)行網(wǎng)絡(luò)掃描以識別主機(jī)或網(wǎng)絡(luò)上的漏洞，以及構(gòu)建高度可信的網(wǎng)絡(luò)釣魚頁面。但由于大多數(shù)大型語言學(xué)習(xí)模型都試圖限制可能被用于惡意軟件或惡意行為的輸出，網(wǎng)絡(luò)犯罪分子開始推出專門用于惡意目的的人工智能平臺。