網路犯罪市場在短短半年內發生了很多變化,在 2023 上半年的一些詐騙 (如虛擬綁架) 以及網路犯罪工具當中已經可以明顯感受到生成式 AI 工具的快速擴張,比方說,市場上開始出現 WormGPT 和 FraudGPT 這樣的工具。AI 的運用,使得駭客有辦法發動更多精密攻擊,衍生出全新的挑戰。好消息是,AI 技術同樣也能讓資安團隊的工作發揮更大成效。
這段期間,我們在分析一些主要事件和攻擊模式時發現了一些能夠協助企業預先防範風險並針對下半年的挑戰預作準備的洞見。
網路犯罪所用到的 AI 工具
AI 在企業內的使用率大幅提升,也實現了諸多效益。然而網路駭客同樣也開始借助 AI 的力量讓攻擊更有效率。
正如趨勢科技的一份研究報告在 6 月指出,虛擬綁架是一種相對較新且令人擔憂的假冒詐騙。歹徒讓受害者相信他們綁架了受害者的親友,藉此勒索受害者。事實上,歹徒是使用一種名為「深偽/深度偽造」(deepfake) 的 AI 技術在電話中假冒「被綁架者」的聲音。他們會從受害者社群媒體貼文上蒐集影片來訓練 AI 模型。
然而,真正的問題是生成式 AI 技術在駭客攻擊的前期扮演著日益吃重的角色,使駭客加快了原本耗時的受害者篩選過程。為了找出在面對緊急情況時最可能願意支付贖金的受害者,駭客集團運用了像 ChatGPT 這類生成式 AI 來過濾大量潛在受害者的資料,然後再配合地理定位與廣告數據分析。其結果就是一套能讓詐騙集團一眼就知道該將攻擊集中在哪些目標的風險導向評分系統。
這已經不是理論,虛擬綁架詐騙已經是現在進行式。壞消息是,未來生成式 AI 還能讓這類攻擊變得更加自動化且效果更好。駭客可讓 ChatGPT 產生一份腳本,然後利用 Deepfake 深偽技術搭配文字轉語音軟體,將腳本轉成被綁架者所說的話。
當然,虛擬綁架只是駭客集團持續精進的眾多詐騙手法之一。還有另一種稱為「殺豬盤(Pig Butchering)」的投資詐騙,歹徒會試圖跟受害者培養感情,變成網路好友 (有時甚至是透過交友網站),然後慢慢引導受害人將錢投入一個虛構的網路加密貨幣騙局當中。目前最令人擔心的是駭客可能使用 ChatGPT 或類似工具來改進對話技巧,甚至建立一份最可能掉入這類陷阱的受害者名單。
未來可能的情況
生成式 AI 工具的出現,讓駭客集團將攻擊自動化並提升效率。未來,我們可能會看到使用 AI 技術的威脅出現,例如 DDoS 攻擊、資料清除程式等等,網路攻擊的精密度和規模將進一步提升。
一個令人擔憂的情況就是利用生成式 AI 來過濾大量資料以篩選出受害者。有了這項能力,駭客集團就能精確鎖定某些個人和企業,讓攻擊的效果最大化。
反擊
所幸,資安專家 (如趨勢科技) 同樣也在開發 AI 工具來協助客戶防範上述威脅。趨勢科技是率先在資安領域導入 AI 與機器學習的先驅,我們早在 2005 年便開始在產品中內建這類技術。從早期的垃圾郵件過濾,我們就已經在發展能更有效偵測及攔截未知威脅的模型。
趨勢科技的防禦策略
最近,我們開始利用生成式 AI 來改善資安營運。我們開發了「Companion」這套網路資安助理來將重複性工作自動化,讓忙碌的資安分析師有更多時間專心處理高價值的工作。此外,它還有助於填補人才的空缺,協助 SecOps 人員解讀一些複雜的腳本、執行分類、提供行動建議,並且解釋警報通知的意義,提供情境資訊。
2023 上半年還發生了些什麼?
勒索病毒:適應與成長
勒索病毒攻擊已變得越來越精密,駭客會利用 AI 工具來將惡意活動自動化。一個名為「Mimic」的最新勒索病毒就是利用合法的搜尋工具來尋找它想要加密的特定檔案,藉此造成最大損害。此外,Royal 勒索病毒集團也將其攻擊目標拓展至 Linux 平台,象徵其能力又更上層樓。
根據趨勢科技資料指出,勒索病毒集團最常攻擊的三大產業是:金融、IT 和醫療。這些產業在 2023 年 1 月 1 日至 7 月 17 日期間分別發生了 219、206 和 178 次駭客成功入侵的案例。
我們研究發現,勒索病毒集團之間也更頻繁地彼此合作,藉此降低成本並提高市占率。此外,還有一些集團在動機上出現轉變,最近變得更像進階持續性滲透攻擊 (APT) 集團。要對抗持續演變的威脅,企業必須採取一種「提前防備」的策略來強化自己的防禦,從一開始就防止威脅進入他們的網路。
漏洞:網路資安風險指標趨於和緩
儘管網路資安風險指標 (Cyber Risk Index,簡稱 CRI) 已下降至「輕微」程度,但威脅的情勢依舊令人擔心。駭客正在經由一些規模較小的平台發動攻擊,例如 Clop 勒索病毒利用 MOVEIt 來入侵政府機關。而 Google 新推出的頂層網域也存在著潛在風險,駭客可能用這些網域來隱藏惡意網址。聯網汽車為駭客打開了新的攻擊途徑,因此主動的資安風險管理至關重要。
攻擊行動:躲避偵測及擴大目標
駭客會不斷翻新他們的攻擊工具、技巧和程序 (TTP),藉此躲避偵測並開發更多受害者。例如,APT34 使用了一種基於 DNS 的通訊方式並搭配合法 SMTP 郵件流量來避開資安政策的管制。此外,Earth Preta 也將攻擊目標移轉至重大基礎設施與重要機構,使用混合式技巧來散播惡意程式。
某些 APT 持續性滲透攻擊又重出江湖,例如 APT41 的次級團體「Earth Longzhi」,帶來了新的技巧並攻擊多個國家的企業。這類攻擊行動會透過有組織的方式來進行網路間諜行動,因此企業必須隨時保持警戒以防範這類攻擊。
請至以下網址來了解有關「趨勢科技 2023 上半年網路資安報告」的更多資訊: https://www.trendmicro.com/vinfo/us/security/research-and-analysis/threat-reports/roundup/stepping-ahead-of-risk-trend-micro-2023-midyear-cybersecurity-threat-report