国家级威胁行为者利用 ChatGPT 从事网络犯罪

关键要点

微软和 OpenAI 的研究发现，多个国家支持的网络威胁行为者，包括 Fancy Bear 和 Kimsuky，利用 ChatGPT 进行网络犯罪活动。这些国家行为者主要用于剧本编写、钓鱼攻击、漏洞研究和目标侦察等。微软与 OpenAI 共享信息，关闭了与这些威胁组织相关的账户。

根据 Microsoft Threat Intelligence 的一篇 博客文章，俄罗斯、朝鲜、伊朗和中国的国家级黑客组织利用大语言模型LLMs，包括 ChatGPT，进行网络钓鱼支持、漏洞研究、目标侦察和检测规避等活动。

OpenAI 表示，它与 Microsoft 的信息共享合作促使关闭了与这些威胁组织相关的多个人工智能账户。一位微软威胁情报战略总监 Sherrod DeGrippo 在电子邮件中告诉 SC Media：“微软和 OpenAI 的首要任务是保护平台和客户。在这一背景下，安全团队研究账户、IP 地址和其他基础设施的行为，以了解攻击者的手法和能力，这可能包括阻止恶意连接和暂停使用违背服务条款的恶意账户和服务。”

Fancy Bear 在俄乌战争中利用人工智能进行侦察

微软识别出以下五个利用 ChatGPT 的国家级威胁行为者：俄罗斯支持的 Forest BlizzardFancy Bear、朝鲜支持的 Emerald SleetKimsuky、伊朗支持的 Crimson SandstormImperial Kitten、以及中国支持的 Charcoal TyphoonAquatic Panda和 Salmon TyphoonMaverick Panda。

clash怎么配置

DeGrippo 表示：“微软的威胁情报使用行业接受的最佳实践来进行威胁行为者归属。这一活动是在微软通常用于归属的信号中观察到的。我们与 OpenAI 紧密合作，以增强对我们发现的信心。”

作为与俄罗斯军事情报局 GRU 有关的网络间谍组织，Fancy Bear 被观察到使用 LLMs 进行与雷达成像技术和卫星通信协议相关的侦察工作，微软表示这可能与俄罗斯在乌克兰的军事行动有关。

该组织，也被称为 APT28 或 STRONTIUM，在冲突期间通过攻击 能源设施 和 利用 Microsoft Outlook 零日漏洞的攻击活动 的方式，积极攻击乌克兰及其盟友的关键基础设施。

此外，微软的威胁研究人员发现，Fancy Bear 还使用 LLMs 协助文件操作和多进程等脚本任务，可能试图自动化一些操作。

“微软观察到 Forest BlizzardFancy Bear的参与代表了一种对新技术用例的探究，” 威胁情报团队表示。“与其他对手一样，所有与 Forest Blizzard 相关的账户和资产均已被禁用。”

钓鱼、编程辅助和翻译：威胁行为者对人工智能的流行用途

微软指出，识别出的威胁行为者似乎正在“探索和测试” LLMs 的能力，并且研究人员未发现利用这一形式生成的人工智能进行重大网络攻击的证据。

OpenAI 在其博客中表示：“这些行为者的活动与我们过去与外部网络安全专家一起进行的红队评估结果一致，这些评估发现 GTP4 除了实现公开可用的非人工智能工具外，对恶意网络安全任务的能力仅提供有限增量。”

在对威胁行为者使用 LLM 的“早期阶段”评估中，微软观察到生成钓鱼和定向钓鱼内容、优化和故障排除脚本任务、语言翻译支持以及一般研究是一些热门活动。

Kimsuky，亦称为 Velvet Chollima，是一个由朝鲜资助的威胁行为者，经常针对智库、学术机构和新闻组织进行钓鱼攻击，通过冒充同行研究人员、学术人员或记者来收集情报。该组织最近被发现进行 [钓鱼活动以传播恶意软件