Маскировка вредоносного трафика под LLM увеличила незаметность атак на бизнес на 42%

Использование маскировки под трафик больших языковых моделей увеличило незаметность кибератак на корпоративный сектор на 42%, как указывается в сообщении компании «Информзащита».

По данным исследования, злоумышленники формируют поддельные запросы к LLM-API, которые внешне неотличимы от легитимных, скрывая вредоносную активность внутри обычного AI-трафика. Такая «легитимная оболочка» приводит к тому, что ИТ-системы воспринимают атаки как штатное взаимодействие с ИИ, хотя фактически это канал управления зараженными устройствами.

Такой трафик обходит сетевые фильтры и системы мониторинга, которые обычно не рассматривают LLM-обращения как потенциально вредоносные, что усиливает опасность атак. Помимо этого, как указывается в сообщении, появляются семейства «AI Malware», способные динамически генерировать и модифицировать вредоносный код в зависимости от окружения жертвы, примером чего стала угроза MalTerminal.

Продолжение ниже

Наиболее подверженными новым атакам, по данным исследования, оказались три сектора: финансовые организации (34%), промышленность и высокотехнологическое производство (27%), а также ритейл и e-commerce (21%). Оставшиеся 18% составляют государственные, образовательные и медицинские учреждения.

С учётом выявленных угроз специалисты рекомендуют компаниям усилить контроль и мониторинг AI-трафика. Организациям следует внедрять детальный анализ структуры запросов к LLM-платформам, сопоставлять происхождение обращений с политиками безопасности и ограничивать доступ к AI-сервисам только проверенными каналами. Важным шагом также является разделение рабочих, тестовых и инженерных сред и контроль операций загрузки и выполнения файлов.