Google 威脅情報小組(GTIG)最新報告指出,網路攻擊者已開始部署整合大型語言模型(LLM)的全新惡意軟體家族。這些惡意程式能在執行過程中動態生成惡意腳本、混淆自身程式碼以規避偵測,並即時建立惡意功能,展現傳統惡意軟體難以企及的靈活性。
PromptFlux:每小時動態重寫程式碼
Google 將這項技術稱為「即時」(just-in-time)自我修改。最具代表性的案例是實驗性惡意程式
PromptFlux,這是一款以VBScript撰寫的投放器(dropper),
利用 Google 的 Gemini API 生成混淆後的 VBScript 變體。
PromptFlux最創新之處在於其「思考機器人」(Thinking Robot)模組,該模組會定期查詢 Gemini 以取得新程式碼來規避防毒軟體。惡意程式會向模型發送高度具體且可機器解析的提示詞,要求產生能規避防毒的 VBScript 程式碼變體。除了動態生成程式碼外,惡意程式還會將混淆後的新版本儲存到 Windows 啟動資料夾以建立持久性,並嘗試將自身複製到可移除磁碟機和網路共享資料夾以進行傳播。
雖然 PromptFlux 仍處於早期開發階段,尚未對目標造成實際損害,但 Google 已採取行動停用其對 Gemini API 的存取權限,並刪除所有相關資產。
PromptSteal:俄羅斯APT28的實戰部署
GTIG 將
PromptSteal 惡意軟體歸因於俄羅斯政府支持的
駭客組織 APT28(又稱 Fancy Bear)。該組織在針對烏克蘭的實際攻擊行動中部署了此工具(亦稱 LameHug)。
PromptSteal 的創新之處在於將 LLM 作為遠端指令產生器。
該惡意軟體本身不含任何硬編碼的資料收集指令,而是偽裝成良性的圖像生成程式。它會在背景中向 Hugging Face API 發送提示詞,指示 Qwen2.5-Coder-32B-Instruct 模型生成特定的命令列指令,用於收集系統資訊並從使用者目錄複製文件。接著,惡意軟體會執行這些 AI 生成的指令並外洩收集到的資料。
Google 研究人員表示,這是首次觀察到會查詢 LLM 的惡意軟體被部署於實際攻擊行動中。
其他AI驅動的惡意程式家族
除了 PromptFlux 和 PromptSteal,GTIG 報告還揭露了其他整合 AI 功能的惡意程式。
FruitShell 是一個以 PowerShell 撰寫的反向 shell,已公開釋出。它內建硬編碼的提示詞,專門用於繞過基於 LLM 的安全分析。
QuietVault 是一款以 JavaScript 撰寫的憑證竊取工具,主要鎖定 GitHub 和 NPM 權杖。它利用主機上的 AI 命令列介面工具和提示詞來搜尋額外的機密資料,竊取的憑證則透過動態建立的公開 GitHub 儲存庫外洩。
實驗性勒索軟體
PromptLock 依賴 Lua 腳本在 Windows、macOS 和 Linux 機器上竊取和加密資料。它會使用 LLM 在執行時期動態生成惡意 Lua 腳本。
駭客濫用Gemini進行完整攻擊生命週期
除了 AI 驅動的惡意程式,Google 報告還記錄了多起威脅行為者在整個攻擊生命週期中濫用 Gemini 的案例。其中一個與中國有關的威脅行為者假扮參與「奪旗競賽」(CTF) 的選手,誘騙 Gemini 提供受限資訊,並在後續的釣魚攻擊、漏洞利用和網頁 shell 開發中持續以 CTF 為藉口。
伊朗駭客組織 MuddyCoast(UNC3313)假扮學生身分使用 Gemini 進行惡意軟體開發和除錯,意外曝光了 C2 網域和金鑰。另一個伊朗組織 APT42 則濫用 Gemini 進行釣魚和資料分析,包括建立誘餌、翻譯內容,以及開發將自然語言轉換為 SQL 的「資料處理代理」來探勘個人資料。
中國的 APT41 利用 Gemini 協助程式碼開發,強化其 OSSTUN C2 框架。北韓威脅組織 Masan(UNC1069)利用 Gemini 進行加密貨幣竊取、多語言釣魚,並建立深偽誘餌。另一個北韓組織 Pukchong(UNC4899)則用它開發針對邊緣裝置和瀏覽器的程式碼。
在所有已識別的案例中,Google 已停用相關帳號,並根據觀察到的攻擊手法強化模型防護措施。
地下論壇的AI網路犯罪工具市場日益成熟
Google 研究人員發現,
英語和俄語地下市場對惡意 AI 工具和服務的興趣日益增長,因為這些工具降低了部署複雜攻擊的技術門檻。許多地下論壇的廣告採用類似傳統合法 AI 模型的行銷語言,強調提升工作流程和效率。
這些供應項目涵蓋
深偽和
圖像生成工具、
惡意軟體開發、
釣魚、
研究與偵察,以及
漏洞利用等。GTIG 更識別出多個行為者宣傳可涵蓋攻擊各階段的多功能工具。這些 AI 服務的推廣相當積極,許多開發者會先推出免費版本來宣傳新功能,付費版則通常包含 API 和 Discord 存取權限。
防護建議
Google 表示將調查所有濫用其服務和產品的跡象,包括政府支持的威脅行為者相關活動。除了與執法機構合作,Google 也運用對抗攻擊者的經驗來改善其 AI 模型的安全性。
面對 AI 驅動的惡意程式威脅,企業和資安團隊建議採取以下措施:
- 強化端點偵測與回應(EDR)能力,特別注意異常的 API 呼叫行為
- 監控系統中是否存在未經授權的 AI CLI 工具
- 留意惡意程式定期重寫自身程式碼的行為模式
- 加強員工安全意識訓練,提高對 AI 生成多語言釣魚內容的警覺
- 定期檢視 GitHub 等平台上的公開儲存庫,防止憑證外洩
本文轉載自 BleepingComputer、HelpNetSecurity。