بر اساس گزارش اطلاعات تهدید اوپنایآی، “عامل روسیزبان از مدلهای ما برای کمک به توسعه و بهبود بدافزار ویندوز، رفع اشکال کد در زبانهای مختلف برنامهنویسی و راهاندازی زیرساخت فرمان و کنترل خود استفاده کرد.” این عامل تهدید دانش عمیقی از ساختار داخلی ویندوز داشت و رفتارهای امنیت عملیاتی مناسبی از خود نشان داد.
شرکت هوش مصنوعی این کمپین بدافزار مبتنی بر زبان Go را با نام رمز ScopeCreep نامگذاری کرده است. هیچ مدرکی دال بر گسترده بودن این فعالیت وجود ندارد.
طبق گزارش اوپنایآی، تهدیدکننده از حسابهای ایمیل موقت برای ثبتنام در ChatGPT استفاده میکرد و هر حساب را فقط برای یک مکالمه بهکار میبرد تا بهبود تدریجی در نرمافزار مخرب خود ایجاد کند. سپس حساب را رها کرده و به حساب بعدی میرفت. این روش استفاده از شبکهای از حسابها برای بهینهسازی کد، تمرکز مهاجم بر امنیت عملیاتی را نشان میدهد.
مهاجمان سپس بدافزار تولید شده با کمک هوش مصنوعی را از طریق یک مخزن کد عمومی توزیع کردند که خود را به عنوان ابزار مشروع نشانهگیری بازی ویدیویی به نام Crosshair X معرفی میکرد. کاربرانی که نسخه آلوده این نرمافزار را دانلود میکردند، سیستمهایشان توسط یک بارگذار بدافزار آلوده میشد که سپس محمولههای اضافی را از سرور خارجی دریافت و اجرا میکرد.
اوپنایآی توضیح داد: “از آن نقطه، بدافزار طراحی شده بود تا فرآیند چندمرحلهای را برای افزایش دسترسیها، ایجاد پایداری مخفیانه، اطلاعرسانی به تهدیدکننده و سرقت دادههای حساس آغاز کند، در حالی که از شناسایی فرار میکرد.”
بدافزار برای افزایش دسترسیها با استفاده از ShellExecuteW راهاندازی مجدد میشود و برای فرار از شناسایی، از PowerShell برای حذف برنامهای خود از Windows Defender، سرکوب پنجرههای کنسول و درج تأخیرهای زمانی استفاده میکند.
تاکتیکهای دیگر ScopeCreep شامل استفاده از رمزگذاری Base64 برای مبهمسازی محمولهها، تکنیکهای بارگذاری جانبی DLL و پروکسیهای SOCKS5 برای پنهانسازی آدرسهای IP منبع است.
هدف نهایی این بدافزار، جمعآوری اعتبارنامهها، توکنها و کوکیهای ذخیره شده در مرورگرهای وب و انتقال آنها به مهاجم است. همچنین قابلیت ارسال هشدار به کانال تلگرام مهاجمان هنگام آلوده شدن قربانیان جدید را دارد.
اوپنایآی اشاره کرد که تهدیدکننده از مدلهایش برای رفع اشکال قطعه کد Go مرتبط با درخواست HTTPS کمک گرفت و همچنین برای یکپارچهسازی API تلگرام و استفاده از دستورات PowerShell از طریق Go برای تغییر تنظیمات Windows Defender، بهویژه در افزودن استثناهای آنتیویروس، راهنمایی خواست.
دومین گروه حسابهای ChatGPT که توسط اوپنایآی غیرفعال شدند، با دو گروه هکری منتسب به چین مرتبط هستند: APT5 و APT15. یکی از زیرمجموعهها با چتبات هوش مصنوعی در موضوعات مرتبط با تحقیقات متنباز درباره نهادهای مختلف مورد علاقه و موضوعات فنی تعامل داشت و همچنین برای تغییر اسکریپتها یا رفع مشکلات پیکربندی سیستم استفاده میکرد.
اوپنایآی گفت: “زیرمجموعه دیگری از تهدیدکنندگان به نظر میرسید که سعی در انجام فعالیتهای توسعه پشتیبانی شامل مدیریت سیستم لینوکس، توسعه نرمافزار و راهاندازی زیرساخت داشتند.”
این شامل درخواست کمک برای ساخت بستههای نرمافزاری برای استقرار آفلاین و مشاوره مربوط به فایروالها و سرورهای نام پیکربندی شده بود. تهدیدکنندگان در فعالیتهای توسعه وب و اپلیکیشن اندروید شرکت داشتند.
علاوه بر این، خوشههای مرتبط با چین از ChatGPT برای کار روی اسکریپت حمله brute-force که میتواند به سرورهای FTP نفوذ کند، تحقیق درباره استفاده از مدلهای زبانی بزرگ برای خودکارسازی تست نفوذ و توسعه کد برای مدیریت ناوگان دستگاههای اندروید جهت پست یا لایک کردن محتوا در پلتفرمهای رسانههای اجتماعی مانند فیسبوک، اینستاگرام، تیکتاک و X استفاده کردند.
برخی از سایر خوشههای فعالیت مخرب مشاهده شده که از ChatGPT به شیوههای نامشروع استفاده کردند عبارتند از:
شبکهای مطابق با طرح کارگران فناوری اطلاعات کره شمالی که از مدلهای اوپنایآی برای هدایت کمپینهای استخدام فریبنده استفاده کرد و مطالبی تولید کرد که احتمالاً تلاشهای تقلبی آنها برای درخواست مشاغل فناوری اطلاعات، مهندسی نرمافزار و سایر مشاغل از راه دور در سراسر جهان را پیش میبرد.
Sneer Review، فعالیتی احتمالاً با منشأ چینی که از مدلهای اوپنایآی برای تولید انبوه پستهای رسانههای اجتماعی به زبانهای انگلیسی، چینی و اردو در موضوعات مرتبط با ژئوپلیتیک این کشور برای اشتراکگذاری در فیسبوک، ردیت، تیکتاک و X استفاده کرد.
Operation High Five، فعالیتی با منشأ فیلیپین که از مدلهای اوپنایآی برای تولید حجم انبوهی از نظرات کوتاه به زبان انگلیسی و تاگلیش در موضوعات مرتبط با سیاست و رویدادهای جاری فیلیپین برای اشتراکگذاری در فیسبوک و تیکتاک استفاده کرد.
Operation VAGue Focus، فعالیتی با منشأ چینی که از مدلهای اوپنایآی برای تولید پستهای رسانههای اجتماعی جهت اشتراکگذاری در X با جعل هویت روزنامهنگاران و تحلیلگران ژئوپلیتیک، پرسیدن سؤالات درباره ابزارهای حمله و بهرهبرداری از شبکه کامپیوتری و ترجمه ایمیلها و پیامها از چینی به انگلیسی به عنوان بخشی از تلاشهای مشکوک مهندسی اجتماعی استفاده کرد.
Operation Helgoland Bite، فعالیتی احتمالاً با منشأ روسی که از مدلهای اوپنایآی برای تولید محتوای روسی درباره انتخابات آلمان در سال ۲۰۲۵ استفاده کرد و از آمریکا و ناتو انتقاد کرد تا در تلگرام و X به اشتراک بگذارد.
Operation Uncle Spam، فعالیتی با منشأ چینی که از مدلهای اوپنایآی برای تولید محتوای قطبی رسانههای اجتماعی که از هر دو طرف موضوعات تفرقهانگیز در گفتمان سیاسی آمریکا حمایت میکرد، برای اشتراکگذاری در Bluesky و X استفاده کرد.
Storm-2035، عملیات نفوذ ایرانی که از مدلهای اوپنایآی برای تولید نظرات کوتاه به زبان انگلیسی و اسپانیایی که حمایت از حقوق لاتینتبارها، استقلال اسکاتلند، اتحاد مجدد ایرلند و حقوق فلسطینیان را ابراز میکرد و قدرت نظامی و دیپلماتیک ایران را ستایش میکرد، برای اشتراکگذاری در X توسط حسابهای غیرواقعی که خود را ساکنان آمریکا، انگلستان، ایرلند و ونزوئلا معرفی میکردند، استفاده کرد.
Operation Wrong Number، فعالیتی احتمالاً با منشأ کامبوجی مرتبط با سندیکاهای کلاهبرداری وظیفهای تحت مدیریت چین که از مدلهای اوپنایآی برای تولید پیامهای کوتاه استخدامی به زبانهای انگلیسی، اسپانیایی، سواحیلی، کینیارواندا، آلمانی و کریول هائیتی استفاده کرد که حقوق بالا برای کارهای پیشپاافتاده مانند لایک کردن پستهای رسانههای اجتماعی تبلیغ میکرد.
محققان اوپنایآی توضیح دادند: “برخی از این شرکتها با دریافت هزینههای عضویت قابل توجه از افرا
کلمات کلیدی : ChatGPT، بدافزار، هکری چینی، اوپنایآی، تهدیدکنندگان روسی، امنیت سایبری
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.