أعلنت شركة جوجل يوم الأربعاء عن اكتشافها لجهة تهديد مجهولة تستخدم برمجية خبيثة تجريبية مكتوبة بلغة Visual Basic Script تحمل اسم PROMPTFLUX، والتي تتفاعل مع واجهة برمجة التطبيقات الخاصة بنموذج الذكاء الاصطناعي Gemini لكتابة كودها المصدري بهدف تحسين التمويه والتهرب من الكشف.
 |
| جوجل تكشف عن PROMPTFLUX: برمجية خبيثة تستخدم Gemini AI لإعادة كتابة كودها كل ساعة |
ما هي برمجية PROMPTFLUX الخبيثة؟
وفقًا لتقرير مجموعة استخبارات التهديدات في جوجل (GTIG) المشارك مع The Hacker News، فإن PROMPTFLUX مكتوبة بلغة VBScript وتتفاعل مع واجهة برمجة التطبيقات الخاصة بـ Gemini لطلب تقنيات محددة للتمويه والتهرب في VBScript لتسهيل التعديل الذاتي "في الوقت المناسب"، وذلك على الأرجح للتهرب من الكشف القائم على التوقيعات الثابتة.
الميزة المبتكرة في هذه البرمجية الخبيثة تكمن في مكونها "Thinking Robot" (الروبوت المفكر)، والذي يستعلم بشكل دوري من نموذج اللغة الكبير (LLM)، وهو Gemini 1.5 Flash أو الإصدارات الأحدث في هذه الحالة، للحصول على كود جديد للتهرب من الكشف. يتم تحقيق ذلك باستخدام مفتاح API مشفر لإرسال الاستعلام إلى نقطة نهاية Gemini API.
رغم أن وظيفة التعديل الذاتي (AttemptToUpdateSelf) معلقة في الكود، إلا أن وجودها، بالإضافة إلى التسجيل النشط لاستجابات الذكاء الاصطناعي، يشير بوضوح إلى هدف المطور في إنشاء سكريبت متحول يمكنه التطور مع مرور الوقت
مجموعة استخبارات التهديدات في جوجل
كيف تعمل آلية التحديث الذاتي؟
يتم إرسال الأمر إلى النموذج بشكل محدد للغاية وقابل للتحليل الآلي، حيث يطلب تغييرات في كود VB Script للتهرب من برامج مكافحة الفيروسات ويوجه النموذج لإخراج الكود فقط دون أي إضافات.
| المكون | الوظيفة |
|---|---|
| Thinking Robot | الاستعلام الدوري من Gemini AI للحصول على كود محدث |
| مفتاح API المشفر | الاتصال بواجهة Gemini API |
| وظيفة التحديث الذاتي | إعادة كتابة الكود المصدري كل ساعة |
| آلية الانتشار | النسخ إلى الأقراص القابلة للإزالة ومشاركات الشبكة |
بالإضافة إلى قدرة التجديد، تقوم البرمجية الخبيثة بحفظ النسخة الجديدة المموهة في مجلد بدء تشغيل Windows لتأسيس الاستمرارية، وتحاول الانتشار عن طريق نسخ نفسها إلى الأقراص القابلة للإزالة ومشاركات الشبكة المعينة.
اكتشاف نسخ متعددة من PROMPTFLUX
أفادت جوجل أيضًا بأنها اكتشفت عدة تنوعات من PROMPTFLUX تتضمن إعادة إنشاء الكود المدفوع بنماذج اللغة الكبيرة، حيث تستخدم إحدى النسخ أمرًا لإعادة كتابة الكود المصدري الكامل للبرمجية الخبيثة كل ساعة من خلال توجيه نموذج اللغة الكبير للعمل كـ "خبير في تمويه VB Script".
تحذير: يُقدر أن PROMPTFLUX لا تزال في مرحلة التطوير أو الاختبار، حيث تفتقر البرمجية الخبيثة حاليًا إلى أي وسيلة لاختراق شبكة أو جهاز الضحية.
لا يُعرف حاليًا من يقف وراء هذه البرمجية الخبيثة، لكن المؤشرات تشير إلى جهة تهديد ذات دوافع مالية تبنت نهجًا واسعًا غير محدد جغرافيًا أو صناعيًا لاستهداف مجموعة واسعة من المستخدمين.
برمجيات خبيثة أخرى مدعومة بالذكاء الاصطناعي
أشارت جوجل إلى أن الخصوم يتجاوزون استخدام الذكاء الاصطناعي لمجرد مكاسب إنتاجية بسيطة لإنشاء أدوات قادرة على تعديل سلوكها أثناء التنفيذ، ناهيك عن تطوير أدوات مصممة خصيصًا يتم بيعها بعد ذلك في المنتديات السرية لتحقيق الربح المالي. بعض الأمثلة الأخرى للبرمجيات الخبيثة المدعومة بنماذج اللغة الكبيرة التي لاحظتها الشركة هي كما يلي:
- FRUITSHELL: shell عكسي مكتوب بلغة PowerShell يتضمن أوامر مشفرة للتحايل على الكشف أو التحليل بواسطة أنظمة الأمان المدعومة بنماذج اللغة الكبيرة
- PROMPTLOCK: برنامج فدية متعدد المنصات مكتوب بلغة Go يستخدم نموذج لغة كبير لإنشاء وتنفيذ سكريبتات Lua خبيثة ديناميكيًا في وقت التشغيل (تم تحديده كإثبات للمفهوم)
- PROMPTSTEAL (المعروف أيضًا باسم LAMEHUG): أداة تعدين بيانات يستخدمها الفاعل APT28 الذي ترعاه الدولة الروسية في الهجمات التي تستهدف أوكرانيا، والذي يستعلم من Qwen2.5-Coder-32B-Instruct لإنشاء أوامر للتنفيذ عبر واجهة برمجة التطبيقات لـ Hugging Face
- QUIETVAULT: أداة سرقة بيانات اعتماد مكتوبة بلغة JavaScript تستهدف رموز GitHub و NPM
إساءة استخدام Gemini من قبل جهات تهديد ترعاها دول
من منظور Gemini، قالت الشركة إنها لاحظت جهة تهديد مرتبطة بالصين تسيء استخدام أداة الذكاء الاصطناعي الخاصة بها لصياغة محتوى طُعم مقنع، وبناء بنية تحتية تقنية، وتصميم أدوات لاستخراج البيانات.
في إحدى الحالات على الأقل، يُقال إن الجهة المهددة أعادت صياغة أوامرها من خلال تحديد نفسها كمشارك في تمرين capture-the-flag (CTF) للتحايل على الحواجز الأمنية وخداع نظام الذكاء الاصطناعي لإرجاع معلومات مفيدة يمكن الاستفادة منها لاستغلال نقطة نهاية مخترقة.
بدا أن الفاعل تعلم من هذا التفاعل واستخدم ذريعة CTF لدعم التصيد الاحتيالي والاستغلال وتطوير web shell. صدّر الفاعل العديد من أوامره حول استغلال برامج وخدمات البريد الإلكتروني المحددة بتعليقات مثل "أنا أعمل على مشكلة CTF" أو "أنا حاليًا في CTF، ورأيت شخصًا من فريق آخر يقول ..." وفر هذا النهج نصائح حول خطوات الاستغلال التالية في "سيناريو CTF"
جوجل
أمثلة على إساءة استخدام Gemini من قبل جهات حكومية
- الصين: إساءة استخدام Gemini من قبل فاعل يُشتبه في ارتباطه بالصين في مهام متنوعة، تتراوح من إجراء استطلاع أولي على أهداف محددة وتقنيات التصيد إلى تسليم الحمولات والبحث عن مساعدة في أساليب الحركة الجانبية واستخراج البيانات
- إيران - APT41: إساءة استخدام Gemini للمساعدة في تمويه الكود وتطوير كود C++ و Golang لأدوات متعددة، بما في ذلك إطار عمل C2 يسمى OSSTUN
- إيران - MuddyWater: إساءة استخدام Gemini لإجراء بحث لدعم تطوير برمجيات خبيثة مخصصة لدعم نقل الملفات والتنفيذ عن بُعد، مع التحايل على الحواجز الأمنية من خلال الادعاء بأنه طالب يعمل على مشروع جامعي نهائي أو يكتب مقالًا عن الأمن السيبراني
- إيران - APT42: إساءة استخدام Gemini لصياغة مواد لحملات التصيد الاحتيالي التي غالبًا ما تتضمن انتحال شخصيات أفراد من مراكز الأبحاث، وترجمة المقالات والرسائل، والبحث في الدفاع الإسرائيلي، وتطوير "وكيل معالجة البيانات" الذي يحول طلبات اللغة الطبيعية إلى استعلامات SQL للحصول على رؤى من البيانات الحساسة
- كوريا الشمالية - UNC1069: إساءة استخدام Gemini لإنشاء مواد طُعم للهندسة الاجتماعية، وتطوير كود لسرقة العملات المشفرة، وصياغة تعليمات احتيالية تنتحل صفة تحديث برنامج لاستخراج بيانات اعتماد المستخدم
- كوريا الشمالية - TraderTraitor: إساءة استخدام Gemini لتطوير الكود والبحث عن الاستغلالات وتحسين أدواتهم
تقنيات التزييف العميق والهندسة الاجتماعية
علاوة على ذلك، قالت GTIG إنها لاحظت مؤخرًا UNC1069 يستخدم صورًا ومقاطع فيديو مزيفة عميقة تنتحل شخصيات أفراد في صناعة العملات المشفرة في حملات الهندسة الاجتماعية الخاصة بهم لتوزيع باب خلفي يسمى BIGMACHO على أنظمة الضحايا تحت ستار مجموعة تطوير برمجيات Zoom (SDK). تجدر الإشارة إلى أن بعض جوانب النشاط تشترك في أوجه تشابه مع حملة GhostCall التي كشفت عنها Kaspersky مؤخرًا.
التوقعات المستقبلية لاستخدام الذكاء الاصطناعي في الهجمات السيبرانية
يأتي هذا التطور بينما قالت جوجل إنها تتوقع أن تتحرك جهات التهديد "بشكل حاسم من استخدام الذكاء الاصطناعي كاستثناء إلى استخدامه كقاعدة" من أجل تعزيز سرعة ونطاق وفعالية عملياتها، مما يسمح لها بشن هجمات على نطاق واسع.
إن إمكانية الوصول المتزايدة إلى نماذج الذكاء الاصطناعي القوية والعدد المتزايد من الشركات التي تدمجها في العمليات اليومية تخلق ظروفًا مثالية لهجمات حقن الأوامر. تعمل جهات التهديد على تحسين تقنياتها بسرعة، والطبيعة منخفضة التكلفة وعالية المكافأة لهذه الهجمات تجعلها خيارًا جذابًا
جوجل
الأسئلة الشائعة حول PROMPTFLUX
ما هي برمجية PROMPTFLUX الخبيثة؟
PROMPTFLUX هي برمجية خبيثة تجريبية مكتوبة بلغة VBScript تستخدم واجهة برمجة التطبيقات الخاصة بنموذج الذكاء الاصطناعي Gemini من جوجل لإعادة كتابة كودها المصدري بشكل دوري للتهرب من الكشف بواسطة برامج مكافحة الفيروسات.
كيف تستخدم PROMPTFLUX الذكاء الاصطناعي؟
تستخدم البرمجية مكونًا يسمى "Thinking Robot" يستعلم من نموذج Gemini 1.5 Flash للحصول على كود محدث. تقوم البرمجية بإرسال أوامر محددة لطلب تقنيات تمويه وتهرب جديدة، ويمكنها إعادة كتابة كودها المصدري بالكامل كل ساعة.
هل PROMPTFLUX تشكل تهديدًا فعليًا حاليًا؟
حاليًا، تُقدر PROMPTFLUX بأنها في مرحلة التطوير أو الاختبار، وتفتقر إلى وسائل اختراق شبكات أو أجهزة الضحايا. ومع ذلك، فهي تمثل تطورًا خطيرًا في تقنيات البرمجيات الخبيثة.
ما هي البرمجيات الخبيثة الأخرى المدعومة بالذكاء الاصطناعي؟
كشفت جوجل عن عدة برمجيات خبيثة أخرى مدعومة بالذكاء الاصطناعي بما في ذلك: FRUITSHELL (shell عكسي بلغة PowerShell)، PROMPTLOCK (برنامج فدية)، PROMPTSTEAL (أداة تعدين بيانات)، و QUIETVAULT (أداة سرقة بيانات اعتماد).
كيف يمكن الحماية من التهديدات المدعومة بالذكاء الاصطناعي؟
للحماية من التهديدات المدعومة بالذكاء الاصطناعي، يُنصح بتحديث برامج الأمان بانتظام، استخدام حلول أمان متعددة الطبقات، تفعيل المصادقة متعددة العوامل، والحذر من رسائل البريد الإلكتروني والروابط المشبوهة.
الخلاصة
يمثل اكتشاف PROMPTFLUX نقطة تحول مهمة في تطور البرمجيات الخبيثة، حيث يستخدم المهاجمون الذكاء الاصطناعي ليس فقط لتحسين إنتاجيتهم، بل لإنشاء أدوات قادرة على التطور والتكيف تلقائيًا. مع تزايد إمكانية الوصول إلى نماذج الذكاء الاصطناعي القوية، من المتوقع أن نشهد المزيد من التهديدات السيبرانية المتطورة التي تستفيد من هذه التقنيات.
تؤكد جوجل على ضرورة أن تظل المؤسسات والأفراد يقظين وأن يحدثوا أنظمة الأمان الخاصة بهم باستمرار للتعامل مع هذه التهديدات المتطورة. إن فهم كيفية استخدام المهاجمين للذكاء الاصطناعي هو الخطوة الأولى نحو تطوير دفاعات فعالة ضد هذه الهجمات.
