Маскировка под трафик LLM повышает скрытность кибератак на 42%
Злоумышленники повысили скрытность атак на корпорации на 42%, маскируя вредоносный трафик под запросы к API больших языковых моделей (LLM). Такие атаки воспринимаются системами как легитимное взаимодействие с ИИ, что позволяет незаметно управлять зараженными устройствами. Наиболее уязвимыми оказались финансовый, промышленный и ритейл-сектора.
Злоумышленники активно маскируют вредоносную активность под запросы к API больших языковых моделей, что позволяет скрывать управление зараженными устройствами внутри обычного AI-трафика. Как указывается в сообщении компании, такие атаки часто воспринимаются ИТ-системами как штатное взаимодействие с ИИ, что осложняет их обнаружение.
Поддельные LLM-запросы внешне неотличимы от легитимных, но содержат скрытые команды для серверов управления. Такой трафик, как сообщили специалисты, обходит сетевые фильтры и системы мониторинга, которые не рассматривают обращения к LLM как потенциально угрозу.
В исследовании отмечается, что этот вектор атак является одним из самых быстрорастущих. Злоумышленники адаптируются к изменениям в корпоративной инфраструктуре и используют возможности языковых моделей для динамической генерации вредоносного кода. В частности, появляются семейства «AI Malware», способные автоматически модифицировать скрипты в зависимости от окружения компании-жертвы. Одним из примеров стала угроза MalTerminal, генерирующая вредоносные элементы в процессе выполнения.
Основная опасность, как указывается, заключается в минимальном количестве следов на ранних этапах. Вредоносный код может разворачивать дополнительные модули, создавать прокси-каналы, собирать конфиденциальную информацию и выполнять произвольные команды, оставаясь незамеченным на фоне доверенного AI-трафика.
Наиболее подверженными новым атакам, по данным исследования, оказались три сектора: финансовые организации (34% атак), промышленность и высокотехнологическое производство (27%), а также ритейл и e-commerce (21%). Оставшиеся 18% приходятся на государственные, образовательные и медицинские учреждения.
Для противодействия угрозе специалисты рекомендуют усилить контроль и мониторинг AI-трафика. Организациям следует внедрять детальный анализ структуры LLM-запросов, сопоставлять их с политиками безопасности и ограничивать доступ к AI-сервисам проверенными каналами. Важным шагом также называется разделение рабочих, тестовых и инженерных сред. Дополнительно рекомендуется контролировать операции загрузки и выполнения файлов, а также внедрять системы обнаружения аномалий для выявления подозрительных обращений.
Читайте также
