Észlelés elkerülése Cursor-ral
A Sophos egy olyan aktív fenyegető szereplőt azonosított, amely mesterséges intelligenciát használt a végpontvédelmi rendszerek (EDR) kijátszására szolgáló eszközök fejlesztéséhez és teszteléséhez. A kutatás különlegessége, hogy nem egyszerűen AI által generált malware-ről van szó, hanem egy komplett, AI-támogatott fejlesztői és tesztelési környezetről, amelynek célja a védelmi megoldások elleni technikák folyamatos finomítása volt.
A vizsgálat során a Sophos olyan infrastruktúrát talált, amely Cobalt Strike profilokat, Telegram-alapú vezérlő- és irányító (C2) kommunikációt, shellcode-befecskendező eszközöket, valamint Cloudflare Worker alapú átirányító infrastruktúrát tartalmazott. A rendszer célja a rosszindulatú forgalom és a támadói infrastruktúra elrejtése volt.
A támadók egy Cursor nevű AI-alapú fejlesztői környezetet használtak, miközben a tesztlabor virtualizált infrastruktúráját a Ludus platform biztosította. A környezetben külön Windows szerverek futottak Sophos, CrowdStrike és Microsoft Defender védelemmel, amelyek ellen a fejlesztett kártevőket és kijátszási technikákat folyamatosan tesztelték. A laborban közel 80 modul és több mint 70 különböző észlelésmegkerülési technika szerepelt.
A Git-tárolók elemzése alapján a rendszer tartalmazott egy automatizált Active Directory-felderítő modult is, amely előre definiált döntési logika alapján hajtott végre hálózati felderítést, majd az eredmények alapján választotta ki a következő lépéseket. A Sophos szerint ez ugyan AI-támogatott működés volt, de nem tekinthető valódi autonóm, döntésképes mesterséges intelligenciának.
A kutatás egyik legfontosabb megállapítása, hogy az AI ebben az esetben elsősorban fejlesztési gyorsítóként működött. A támadók a modelleket kódgenerálásra, dokumentációk készítésére, tesztelési ciklusok automatizálására és új variánsok előállítására használták, azonban a sikeres EDR-kijátszási technikák kialakításában továbbra is jelentős emberi felügyelet és iteratív fejlesztés játszott szerepet.
A Sophos értékelése szerint az AI jelentősen lerövidíti a támadók fejlesztési ciklusait.