Эксперты раскрыли новый способ применения языковых моделей для кибератак на компании

Обходной маневр

Участники группировки Silent Werewolf при атаках в марте 2025 года использовали большую языковую модель для обхода средств защиты, рассказали Forbes в Bi.Zone (ООО «Безопасная информационная зона», является партнером «Сбера»). С помощью языковой модели преодолевался один из элементов киберзащиты компаний — «песочница», в которой происходит выявление софта, представляющего угрозу, пояснил руководитель Bi.Zone Threat Intelligence Олег Скулкин. 

Организации, ставшие жертвами атак Silent Werewolf, устанавливали разработанную этими злоумышленниками программу-загрузчик, которую они получали в фишинговых письмах. Далее, по словам Скулкина, если загрузчик запускался в «песочнице», то «вместо вредоносной программы он устанавливал легитимный файл — языковую модель Llama» (разработана компанией Meta, которая признана в России экстремистской организацией и запрещена). «Песочница» распознавала файл c Llama как не представляющий угрозы и «пропускала его», продолжает эксперт. Таким образом, по данным Bi.Zone, загрузчик обходил защиту, после чего «получал с сервера злоумышленников основную вредоносную нагрузку». В этом качестве, вероятнее всего, злоумышленники использовали стилер XDigo собственной разработки, основная функция которого — «похищение чувствительных данных», пояснили Forbes в Bi.Zone.

Всего в марте 2025 года Silent Werewolf провела две кампании против российских и молдавских организаций из атомной отрасли, а также работающих в секторах приборо-, авиа- и машиностроения и в других отраслях, рассказывают в Bi.Zone. «В рамках двух кампаний эта группировка пыталась атаковать около 80 организаций — соответственно, можно говорить примерно о 80 случаях использования LLM для обхода «песочниц», — отметили в Bi.Zone. По данным компании, кейс Silent Werewolf на текущий момент — единственный случай, когда атакующие использовали LLM для обхода «песочниц».

«Суть их подхода была в том, чтобы пройти проверку «песочницы», показав, что вложение безопасно. Так что на месте LLM мог быть любой легитимный файл, — уточняют в Bi.Zone. — Почему Silent Werewolf выбрали из всех возможных вариантов именно языковую модель? Наиболее вероятная гипотеза заключается в том, что злоумышленники сейчас активно экспериментируют с языковыми моделями и с ИИ в целом: используют их для написания кода, планирования атак, составления фишинговых писем и т. д. Использование файла LLM могло быть частью очередного эксперимента, или — что даже вероятнее — атакующие просто воспользовались тем, что было «под рукой».

В Bi.Zone затруднились оценить ущерб от действий группировки. «Сделать это можно тогда, когда речь идет об атаках с шифрованием инфраструктуры, когда злоумышленники требуют выкуп за расшифровку. В данном же случае целью атакующих был шпионаж, поэтому группировка не уничтожала инфраструктуру и не просила выкуп», — пояснили в компании.

Знакомая техника

То, что использование хакерами ИИ в этом году будет оказывать все большее влияние на ИБ-ландшафт, специалисты прогнозировали и ранее. Это будет выражаться в увеличении числа длительных и комплексных атак, когда киберпреступники непрерывно перебирают все возможные векторы и инструменты для взлома компании, после отражения атаки одного типа сразу же происходит попытка следующей — через другие точки входа, другие потенциальные бреши в защите, рассказывал Forbes генеральный директор RED Security Иван Вассунов: «На этом фоне еще острее встанет проблема дефицита кадров в отрасли». Уже сегодня злоумышленники все чаще и эффективнее применяют ИИ для разработки ВПО (вредоносного программного обеспечения), поиска уязвимостей и проведения кибератак, а в будущем смогут автоматизировать трудоемкие операции по анализу скомпрометированной инфраструктуры, поиску «болевых точек» и обнаружению наиболее ценной информации, обращал внимание СЕО Security Vision Руслан Рахметов.

Попытку использования Llama в марте 2025 года группировкой Silent Werewolf, более известной как XDSpy, также зафиксировали специалисты F6, рассказал Forbes один из них. По его словам, применение Llama — «довольно старый подход атакующих, впервые замеченный в арсенале группы в апреле 2024 года». Этот подход, по словам специалиста F6, заключается в том, что при исследовании управляющих серверов вместо загрузки вредоносных нагрузок происходит скачивание файла размером 45,4 Гб с именем llama-2-70b.Q5_K_M.gguf. «Последний раз мы наблюдали его в рассылке группы XDSpy от 11 марта 2025 года, направленной в адрес разработчика в области технологий моделирования авиационных комплексов и обучения», — указывает собеседник Forbes.

По словам эксперта, сама по себе модель Llama в атаке не используется, а служит лишь своего рода файлом-заглушкой. Чтобы избегать запуска этого файла в исследовательской среде, необходимо настроить эту среду таким образом, чтобы злоумышленники не смогли определить, что запуск выполняется в «песочнице», указал собеседник в F6.

О том, что киберпреступники применяют LLM для обхода систем защиты, знает и директор департамента расследований T.Hunter Игорь Бедеров. «Пока такие атаки редки, но их число растет», — констатирует он. Для противодействия, по словам эксперта, необходимы комбинированные меры: технические улучшения «песочниц», регулярный аудит LLM и повышение осведомленности сотрудников.

Мартовскую рассылку от группировки XDSpy, известной с 2011 года и атакующей исключительно страны СНГ, наблюдали и в ГК «Солар» (входит в «Ростелеком»), сообщили там. «В последние время мы не фиксировали у наших заказчиков фишинговых рассылок, которые приводили бы к загрузке стилера XDigo», — отмечает эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар» Дмитрий Маричев. Он не подтвердил, что в марте эта группировка применяла в атаках LLM. Однако, по словам эксперта, техника обхода «песочницы» у стилера XDigo применялась еще летом 2023 года — тогда загружалась модель EleutherAI. «Эта техника обхода распространена и, как видим, применяется до сих пор, — рассуждает Маричев. — Отметим, что в этой технике сама языковая модель никак не используется. Выполняется только загрузка файла большого объема».

По версии же Positive Technologies, интерпретация информации о данных атаках в том ключе, что злоумышленники обходят «песочницы» с использованием больших языковых моделей, не совсем корректна. «Речь идет не об использовании LLM в атаках, а о том, что вредоносные ссылки, используемые в фишинговых атаках группировки, вели к скачиванию вредоносного ПО XDigo, но в определенный момент переключались на невредоносный файл, который может весить десятки гигабайт. В некоторых случаях этим файлом была Llama», — сообщил Forbes руководитель отдела исследования угроз PT Expert Security Center Аскер Джамирзе.

По его словам, в Positive Technologies зафиксировали две схемы атак XDSpy. В первой из них после перехода по ссылке из письма жертва скачала вредоносный файл XDigo, во второй ИБ-исследователь, кликнув по ссылке, переходил на сервис huggingface.co, после чего начиналось скачивание Llama, которая весит 45 Гб. «То есть у злоумышленников есть какая-то фильтрация тех, кто переходит по вредоносной ссылке, — размышляет Джамирзе. — И жертв они отправляют на скачивание XDigo, а всех остальных — на скачивание легитимных файлов». При этом, по его словам, первое скачивание ПО жертвой могло вести к загрузке вредоносного ПО, а последующие скачивания исследователями ИБ в «песочницах» могли вести на «большой легитимный файл». Это, по словам Аскера Джамирзе, не позволяло «получить настоящую вредоносную нагрузку и провести полноценный анализ». «Большой размер файла в данном случае решающего значения не имеет, это мог быть любой легитимный файл любого размера», — добавил он.