Cybersecurity-onderzoekers hebben onthuld dat kunstmatige intelligentie (AI)-assistenten die surfen op het web of het ophalen van URL’s ondersteunen, kunnen worden omgezet in sluipende command-and-control (C2)-relais, een techniek waarmee aanvallers zich kunnen mengen in legitieme bedrijfscommunicatie en detectie kunnen omzeilen.
De aanvalsmethode, die is gedemonstreerd tegen Microsoft Copilot en xAI Grok, heeft de codenaam gekregen AI als C2-proxy door Checkpoint.
Het maakt gebruik van “anonieme webtoegang gecombineerd met browse- en samenvattingsprompts”, aldus het cyberbeveiligingsbedrijf. “Hetzelfde mechanisme kan ook AI-ondersteunde malware-operaties mogelijk maken, waaronder het genereren van verkenningsworkflows, het scripten van acties van aanvallers en het dynamisch beslissen ‘wat nu te doen’ tijdens een inbraak.”
De ontwikkeling duidt op een nieuwe consequente evolutie in de manier waarop bedreigingsactoren AI-systemen kunnen misbruiken, niet alleen om verschillende fasen van de cyberaanvalcyclus op te schalen of te versnellen, maar ook om API’s te gebruiken om tijdens runtime dynamisch code te genereren die zijn gedrag kan aanpassen op basis van informatie verzameld van de gecompromitteerde host en detectie kan omzeilen.
AI-tools fungeren al als krachtvermenigvuldiger voor tegenstanders, waardoor ze belangrijke stappen in hun campagnes kunnen delegeren, of het nu gaat om het uitvoeren van verkenningen, het scannen van kwetsbaarheden, het opstellen van overtuigende phishing-e-mails, het creëren van synthetische identiteiten, het debuggen van code of het ontwikkelen van malware. Maar AI als C2-proxy gaat nog een stap verder.
Het maakt in wezen gebruik van de webbrowsing- en URL-fetch-mogelijkheden van Grok en Microsoft Copilot om door aanvallers gecontroleerde URL’s op te halen en antwoorden terug te sturen via hun webinterfaces, waardoor het in wezen wordt getransformeerd in een bidirectioneel communicatiekanaal dat door de operator uitgegeven opdrachten accepteert en de gegevens van slachtoffers naar buiten tunnelt.
Dit alles werkt met name zonder dat er een API-sleutel of een geregistreerd account nodig is, waardoor traditionele benaderingen zoals het intrekken van sleutels of het opschorten van accounts nutteloos worden.
Anders bekeken verschilt deze aanpak niet van aanvalscampagnes waarbij vertrouwde services voor de distributie van malware en C2 zijn ingezet. Het wordt ook wel living-off-trusted-sites (LOTS) genoemd.
Om dit allemaal te laten gebeuren, is er echter een belangrijke voorwaarde: de actor van de bedreiging moet al op een andere manier een machine hebben gecompromitteerd en malware hebben geïnstalleerd, die vervolgens Copilot of Grok als C2-kanaal gebruikt met behulp van speciaal vervaardigde aanwijzingen die ervoor zorgen dat de AI-agent contact opneemt met de door de aanvaller gecontroleerde infrastructuur en het antwoord met de opdracht die op de host moet worden uitgevoerd, terugstuurt naar de malware.
Check Point merkte ook op dat een aanvaller verder kan gaan dan het genereren van commando’s door gebruik te maken van de AI-agent om een ontwijkingsstrategie te bedenken en de volgende handelwijze te bepalen door details over het systeem door te geven en te valideren of het überhaupt de moeite waard is om te exploiteren.
“Zodra AI-services kunnen worden gebruikt als een onopvallende transportlaag, kan dezelfde interface ook aanwijzingen en modeluitvoer bevatten die fungeren als een externe beslissingsmotor, een opstap naar AI-aangedreven implantaten en AIOps-achtige C2 die triage, targeting en operationele keuzes in realtime automatiseren, aldus Check Point.
De onthulling komt weken nadat Palo Alto Networks Unit 42 een nieuwe aanvalstechniek heeft gedemonstreerd waarbij een ogenschijnlijk onschadelijke webpagina kan worden omgezet in een phishing-site door client-side API-aanroepen te gebruiken naar vertrouwde LLM-services (Large Language Model) voor het dynamisch en in realtime genereren van kwaadaardig JavaScript.
De methode is vergelijkbaar met Last Mile Reassembly (LMR)-aanvallen, waarbij malware door het netwerk wordt gesmokkeld via niet-gecontroleerde kanalen zoals WebRTC en WebSocket en deze rechtstreeks in de browser van het slachtoffer wordt geplaatst, waardoor de beveiligingscontroles effectief worden omzeild.
“Aanvallers zouden zorgvuldig ontworpen aanwijzingen kunnen gebruiken om AI-veiligheidsrails te omzeilen en de LLM te misleiden om kwaadaardige codefragmenten terug te sturen”, aldus Unit 42-onderzoekers Shehroze Farooqi, Alex Starov, Diva-Oriane Marty en Billy Melicher. “Deze fragmenten worden geretourneerd via de LLM-service-API en vervolgens tijdens runtime samengesteld en uitgevoerd in de browser van het slachtoffer, wat resulteert in een volledig functionele phishing-pagina.”
