Aanvaller gebruikt vermoedelijk door AI gegenereerd PowerShell-script om Active Directory in kaart te brengen

Cybersecurity-onderzoekers hebben een inbraak opgemerkt waarbij een onbekende bedreigingsacteur gebruik maakte van een vibe-gecodeerd PowerShell-script voor Active Directory (AD)-opsomming.

“Het script zocht naar de Domain Controller (DC) en bracht gebruikers, computers en domeinen in kaart, voordat een map werd gemaakt en een aantal bestanden werd geëxporteerd, en uiteindelijk AD_Report.html werd gemaakt om het succes van de opsommingspoging te meten”, aldus Huntress-onderzoekers Jevon Ang en Dray Agha.

Bij de aanvalsketen moest de bedreigingsacteur Remote Desktop Protocol (RDP)-toegang tot stand brengen op een aan een domein gekoppelde Windows Server met een reeks vooraf gecompromitteerde inloggegevens, gevolgd door het stallen van de tools in de map “C:ProgramData”. Het incident vond begin juni 2026 plaats.

Dit omvatte een door kunstmatige intelligentie (AI) gegenereerde payload om de Active Directory-omgeving in kaart te brengen. De beoordeling is gebaseerd op verschillende veelbetekenende signalen, zoals de titel van de prompt-iteratie, tijdelijke tekenreeksen, overontwikkelde code die meerdere methoden biedt om een ​​domeincontroller te vinden, en verfraaide console-uitvoer met cyaan, groen, rood en geel.

Huntress beschreef het op maat gemaakte PowerShell-script als “zeer agressief” en “luidruchtig”, waarbij gebruik werd gemaakt van een “cascaderend terugvalmechanisme in vijf stappen” om verkenning en ontdekking mogelijk te maken. Het heet “100% werkend AD Information Gathering Script – FULLY FIXED”, wat een heen-en-weer-beweging met een groot taalmodel (LLM) suggereert.

Zodra de primaire domeincontroller is gelokaliseerd, initieert deze een gegevensverzamelingsroutine om systematisch AD-gebruikers, computers, groepen, organisatie-eenheden (OE’s) en trusts te verzamelen en de details op te slaan in een staging-directory.

Ongeveer 30 minuten later ging de aanvaller over tot het inzetten van een s5cmd, een legitieme tool die wordt gebruikt voor bulkbestandsbewerkingen, samen met SharpShares, een op C# gebaseerd hulpprogramma voor het opsommen van netwerkshares, om te zoeken naar voor de gebruiker toegankelijke gegevensopslagplaatsen.

In de laatste fase worden de gegevens in CSV-bestanden omgezet, gearchiveerd en geëxfiltreerd naar een externe server, maar niet voordat er een HTML-bestand is gemaakt waarin de gegevensdiefstal wordt samengevat in de vorm van een Active Directory Inventory Report.

“Het is waarschijnlijk een ‘nuttige’ injectie van de LLM waar de aanvaller eenvoudigweg mee instemde, in plaats van dat hij opzettelijk in het script was geschreven”, legden de onderzoekers uit.

De ontwikkeling is het zoveelste teken dat bedreigingsactoren hun arsenaal uitbreiden met vibe-gecodeerde malware die is gegenereerd met behulp van AI-modellen, zelfs als de technologie niet wordt misbruikt op een manier die nog niet eerder is gezien. Wat het wel verandert, is dat het de toegangsdrempel voor cybercriminaliteit verlaagt, waardoor minder vaardige actoren met minimale inspanning zeer capabele, ontwijkende instrumenten kunnen bedenken.

“De onderliggende aanvalsketen lijkt nog steeds op het beproefde smash-and-grab-playbook dat we al jaren zien”, aldus Huntress. “Deze kernmethodologie is consistent gebleven, maar wordt nu selectief aangevuld met AI. Deze hybride aanpak geeft prioriteit aan agressie en snelheid boven stealth, waardoor bedreigingsactoren sneller dan ooit zeer schadelijke campagnes kunnen uitvoeren.”

AI als krachtvermenigvuldiger

In een vorige week gepubliceerd rapport onthulde Sygnia dat AI-aanvallers niet noodzakelijkerwijs nieuwe malware of zero-days nodig hebben, maar dat de echte verandering ligt in het feit dat cyberinbraken sneller en groter kunnen worden georkestreerd en groter dan verdedigers ze kunnen beheersen.

Het incidentresponsbedrijf zei dat het een AI-ondersteunde cloudaanval had waargenomen die zich binnen een tijdsbestek van ongeveer 72 uur ontwikkelde van aanvankelijke toegang tot een brede inbreuk op een grote op Amazon Web Services (AWS) gebaseerde omgeving. Er wordt aangenomen dat het einddoel van de activiteit financieel gemotiveerd is, waarbij de aanvaller de toegang tot de cloudinfrastructuur van het slachtoffer gebruikt als hefboom voor afpersing.

“De bedreigingsacteur maakte herhaaldelijk gebruik van nieuw verworven inloggegevens om activiteiten op het gebied van ontdekking, geheimen verzamelen, doorzettingsvermogen en impact opnieuw op te starten”, aldus het rapport. “De aanval was gebaseerd op bekende cloudtechnieken in plaats van nieuwe malware of zero-days.”

“De dreigingsactor maakte geen misbruik van een enkele misconfiguratie; ze ketenden zwakke punten aan elkaar in applicatieservices, AWS-bronnen, broncontrolerepository’s, CI/CD-workflows, runtimecomponenten en datastores, terwijl ze snel inloggegevens ontdekten, geheimen verzamelden, cloud-opsommingen, misbruik van de implementatiepijplijn, runtime-aanpassing, databasetoegang en operationele verstoring.”

Volgens Sygnia voerde de aanvaller herhaalde pogingen uit om persistentie op de gecompromitteerde hosts te bewerkstelligen, waarbij hij de toegangssleutel tot een van de AWS-accounts verkreeg via tekortkomingen in een internetgerichte applicatie. Elke nieuwe toegang werd gevolgd door hernieuwde opsomming, extra geheime verzameling, persistentiepogingen door toegangssleutels en IAM-gebruikers aan te maken, en gegevensexfiltratie. Tegelijkertijd werden verschillende door de aanvaller gemaakte artefacten gemaskeerd als een pentest of een rode teamoefening.

Om nog meer druk uit te oefenen op de slachtoffers voerde de aanvaller een reeks acties uit:

  • Toegang tot S3-buckets weigeren
  • Het beperken van ECS-diensten of containers tot een maximale capaciteit van nul
  • ACL-regels maken om netwerktoegang te blokkeren
  • SQS-wachtrijen opschonen

“Het belang was niet dat AI nieuwe aanvalstechnieken introduceerde, zoals elke waargenomen actie in verband stond met al lang bestaand gedrag van de tegenstander, maar dat het de tijd en moeite verminderde die nodig was om die technieken in een complexe omgeving te implementeren”, aldus Sygnia.

“De bedreigingsactor zette nieuw verkregen toegang herhaaldelijk om in actie op maat. Voor elke nieuwe toegangssleutel leek de actor snel de bijbehorende machtigingen, bereikbare bronnen en de meest waardevolle volgende stappen te bepalen.”

Thijs Van der Does