与俄有关的 “GreyVibe” 攻击者借 AI 强化网络攻击
- 浏览次数 92
- 喜欢 0
攻击者借助 AI 提升攻击的速度、规模与复杂性。随着 AI 技术不断发展,攻击者对其利用也会升级。“GreyVibe” 就是一个值得关注的对象。
“GreyVibe” 此前未被记录,WithSecure 公司将其描述为与俄罗斯有关联的组织。研究人员确信,“GreyVibe” 的操作人员为莫斯科时区的俄语使用者,但对于该组织是网络犯罪团伙、国家行为体,还是两者兼具,尚难确定。
自 2025 年 8 月起,该组织主要针对乌克兰的军事、政府、平民及商业实体发动攻击,这与俄罗斯的国家利益高度契合。同时,研究人员发现诸多迹象表明,至少部分 “GreyVibe” 成员在社交层面并非顶尖的国家精英操作人员。例如,他们在早期开发的产品中使用基于网络俚语的命名方式,如 “letsrollboyos”“totallyunsus” 和 “cuteuwu”。
研究人员表示,“GreyVibe” 并非纯粹国家行为体的另一个线索,在于其行动的各个阶段都大量使用 AI,“从搭建虚假网站、制作诱饵,到开发定制恶意软件以及生成攻击后工具”。报告还提到,在资源开发方面,包括混淆脚本、加载器脚本以及攻击后脚本的编写都用到了 AI。这本身并不稀奇,因为所有恶意行为者都在利用 AI 加快攻击速度、扩大攻击规模。
然而,尽管研究人员发现 “GreyVibe” 使用了顶级 AI,如 Ideogram AI、ChatGPT 和谷歌 Gemini,但它在由大语言模型(LLM)生成的 LegionRelay Windows 恶意软件中引入了设计缺陷。这种失误通常不会出现在精英攻击者身上。正是这个失误,使得 WithSecure 的研究人员自 2025 年年中起,能够长期监测和追踪 “GreyVibe” 的活动。
此类失误不太可能出现在精英攻击者身上,这或许就是 WithSecure 高级威胁情报研究员穆罕默德・卡泽姆・哈桑・内贾德(Mohammad Kazem Hassan Nejad)所说的原因:“让‘GreyVibe’与众不同的并非原始技术能力,而是由 AI 驱动的行动野心。该组织利用生成式 AI 发挥出超出自身水平的能力 —— 加速开发进程、填补能力短板,并打造出一套全新的行动模式,增加了追踪和溯源的难度。这预示着技术水平较低的攻击者未来可能的运作方式。”
“GreyVibe” 初期的诱骗手段丰富且多依赖 AI
“GreyVibe” 初期的诱骗手段多样,且在很大程度上依赖 AI。鱼叉式网络钓鱼邮件(至少有六次不同的活动,但未涉及深度伪造)会引导受害者访问第三方文件共享服务(如谷歌云端硬盘和 4sync)上的 ZIP 或 RAR 压缩文件。这些文件会启动一个诱饵文件吸引用户注意力,同时在后台启动 PhantomRelay(Windows 恶意软件)感染链。
研究人员称之为 “公主俱乐部”(PrincessClub)的另一项活动,利用虚假成人俱乐部网站,在 Windows 系统上传播 Fallspy(安卓恶意软件)以及 PhantomRelay 或 LegionRelay。虚假女性人设会通过 Telegram 或约会网站,进一步引诱受害者访问这些诱饵网站。
AI 的广泛使用不仅弥补了 “GreyVibe” 自身能力的不足,还减少了 “与先前活动的历史关联”。简而言之,我们无法确定该组织此前是否曾以其他名称被其他研究人员追踪过 —— 但 WithSecure 并未发现相关证据。
不过,WithSecure 检测到 “GreyVibe” 使用了一种独特的 ISO 构建器,这可能与 TrickBot 生态系统以及 UAC - 0098(一个可能涉及前 TrickBot 成员的活动集群,此前也被观察到针对乌克兰发动攻击)有关。
“GreyVibe” 仍在活动,其成员身份依旧未知。未来,其 AI 技术水平可能会提高。WithSecure 表示:“鉴于其对 AI 的广泛使用,我们预计该组织的攻击手法将继续演变和多样化,这可能会增加持续检测、追踪和溯源的复杂性。”
该组织是否会受诱惑,将活动范围从目前聚焦的乌克兰扩大到其他地区,仍有待观察。如果它真的与俄罗斯国家活动紧密相关,考虑到当前全球地缘政治局势,这种可能性很大。
消息来源:securityweek.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文