AI in the Middle
A Check Point Research elemzése szerint a web-alapú, publikus AI-szolgáltatások új típusú támadási felületet jelentenek, amelyeket a rosszindulatú szereplők C2 infrastruktúraként tudnak kihasználni. Az AI in the Middle szerint egy támadó ne csak egyszerűen AI-modellt használjon adatok generálására vagy automatizálásra, hanem független AI-szolgáltatót illesszen be a kompromittált hálózat kommunikációs láncába, és így a biztonsági ellenőrzéseken átlátszó, legitim forgalomként mozgatott C2-parancsokat és-visszajelzéseket valósítson meg. Ez a taktika úgy működik, hogy a malware AI-kéréseket küld egy publikus AI-API felé, amelyek a támadó által kontrollált módon értelmezett válaszokat továbbítanak a behatolt gépeknek, ami nehezíti a klasszikus hálózati detektálást, mert a forgalom külső, hitelesnek tűnő célpontok felé irányul.
A fenyegetők nem csupán generatív AI-képességeket vesznek kölcsön adatgyűjtéshez vagy phishing-támogatáshoz, hanem aktívan beépítik az AI-szolgáltatásokat a C2-csatornájukba mint közvetítő réteget, így a parancsok és kimenetek egy részét közvetlenül ezeken a publikus platformokon keresztül kezelik. Ez olyan új kihívásokat vet fel, amelyek a hagyományos C2-blokkolási és hálózati észlelési megközelítéseket kevésbé hatékonnyá teszik, mivel a biztonsági rendszerek gyakran nem különböztetik meg az AI-szolgáltatások legitim használatát a támadói célú kommunikációtól.
