Microsoft: Nordkoreanische Cyberkriminelle nutzen KI für Betrug
Wie Microsoft Threat Intelligence berichtete, nutzen nordkoreanische Cyberkriminelle KI, um ihre langjährige Methode auszubauen, bei der technische Fachkräfte aus dem Ausland dauerhaft bei internationalen Unternehmen eingesetzt werden.
KI-Dienste unterstützen nordkoreanische Agenten während des gesamten Angriffszyklus. Die Angreifer haben KI zu einem "Kraftverstärker" gemacht, der ihre Bemühungen unterstützt und automatisiert, um Ziele zu recherchieren, bösartige Ressourcen zu entwickeln, Zugriff zu erlangen und aufrechtzuerhalten, der Erkennung zu entgehen und Tools für Angriffe und Aktivitäten nach der Kompromittierung als Waffen einzusetzen, so die Forscher.
Microsoft zufolge nutzen drei Gruppen, die das Unternehmen als Coral Sleet, Sapphire Sleet und Jasper Sleet verfolgt, KI, um die Zeit zu verkürzen, die für die Erstellung digitaler Identitäten für bestimmte Arbeitsmärkte und Positionen benötigt wird. Diese Gruppen nutzen häufig finanzielle Gelegenheiten oder Vorstellungsgespräche als Köder, um sich einen ersten Zugang zu verschaffen.
Jasper Sleet nutzt generative KI-Tools, um Stellenanzeigen auf Plattformen wie Upwork zu recherchieren und gefragte Fähigkeiten oder Erfahrungsanforderungen zu identifizieren, um gefälschte Identitäten an die angestrebten Positionen anzupassen, so Microsoft in dem Bericht.
Die Forscher warnten, dass Bedrohungsgruppen auch "den Umfang und die Raffinesse ihrer Social-Engineering- und Erstzugriffsoperationen erheblich verbessern", indem sie KI-gesteuerte Medien für Identitätsdiebstahl und Echtzeit-Stimmmodulation erstellen.
Nordkoreanische Cyberkriminelle nutzen KI-Dienste, um Köder zu generieren, die interne Kommunikation in mehreren Sprachen mit muttersprachlicher Sprachgewandtheit imitieren.
Diese Technologien ermöglichen es Cyberkriminellen, maßgeschneiderte, überzeugende Köder und Identitäten in beispielloser Geschwindigkeit und Menge zu erstellen, was die Hürden für komplexe Angriffe senkt und die Wahrscheinlichkeit eines erfolgreichen Angriffs erhöht.
Microsoft hat beobachtet, dass Jasper Sleet die KI-Anwendung Faceswap verwendet, um die Gesichter nordkoreanischer IT-Mitarbeiter in gestohlene Ausweisdokumente einzufügen, wobei in einigen Fällen dasselbe KI-generierte Foto für mehrere Identitäten wiederverwendet wird.
Jasper Sleet nutzt auch KI-gestützte Kommunikation, wenn ein Agent erfolgreich von einer Zielorganisation eingestellt wurde, um einer Entdeckung zu entgehen und eine langfristige Anstellung zu sichern. Microsoft hat beobachtet, dass nordkoreanische Remote-IT-Mitarbeiter KI-Tools dazu verwenden, professionelle Antworten zu verfassen, technische Fragen zu beantworten oder Code-Schnipsel zu generieren, um die Leistungserwartungen in ungewohnten Umgebungen zu erfüllen.
Nordkoreanische Cyberkriminelle nutzen KI, um zuvor beobachtete Aktivitäten nach einem Angriff zu verfeinern und so den Zeit- und Wissensaufwand für die Entscheidungsfindung zu reduzieren, so Microsoft. Diese KI-gestützten Aufgaben beschleunigen die Analyse unbekannter kompromittierter Umgebungen, identifizieren gangbare Wege für laterale Bewegungen und ermöglichen es den Agenten, sich in legitime Aktivitäten einzufügen.
Nordkoreanische Cyberkriminelle nutzen KI auch, um Berechtigungen zu erweitern, sensible Datensätze oder Anmeldedaten zu lokalisieren und zu stehlen sowie das Risiko einer Entdeckung durch die Analyse von Sicherheitskontrollen zu minimieren.
Generative KI macht den größten Teil der KI-bezogenen Bedrohungsaktivitäten aus, aber laut Microsoft ist ein Übergang zu agentenbasierter KI im Gange.
Für Bedrohungsakteure könnte diese Verlagerung eine bedeutende Veränderung in ihrer Vorgehensweise bedeuten, da sie halbautonome Arbeitsabläufe ermöglicht, die Phishing-Kampagnen kontinuierlich verfeinern, die Infrastruktur testen und anpassen, die Persistenz aufrechterhalten oder Open-Source-Informationen auf neue Möglichkeiten hin überwachen.
Microsoft hat noch keine groß angelegte Nutzung von agentenbasierter KI durch Angreifer beobachtet, was vor allem auf die derzeitige Zuverlässigkeit und operative Einschränkungen zurückzuführen ist.
Microsoft warnte jedoch, dass Experimente das Potenzial agentenbasierter KI-Systeme für fortgeschrittenere und schädlichere Aktivitäten verdeutlichen.