新型隐蔽攻击:恶意软件将C2流量伪装成腾讯云上的虚假LLM API请求
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
Akamai Hunt团队发现一种新型恶意软件,利用伪装的LLM API请求来隐藏命令与控制流量,增加检测难度。该恶意软件通过腾讯云的伪API进行远程控制,显示了攻击手法的演变,强调企业需加强网络安全防护。
🎯
关键要点
- Akamai Hunt团队发现新型恶意软件,利用伪装的LLM API请求隐藏命令与控制流量。
- 该恶意软件通过腾讯云的伪API进行远程控制,显示攻击手法的演变。
- 恶意软件将命令与控制流量隐藏在正常的AI流量中,增加了检测难度。
- 恶意软件采用非典型C2架构,使用虚假的LLM聊天补全API发送编码字符串。
- 腾讯云服务器作为跳板,攻击者利用合法API端点掩盖恶意活动。
- 该恶意软件支持多种指令,具备完全远程控制受害者机器的能力。
- 研究人员发现恶意软件中嵌入的.NET有效载荷,构成SOCKS5/HTTP代理工具包。
- 恶意软件与可疑RAR存档相关联,包含多阶段加载机制。
- 攻击手法演进趋势显示攻击者快速演进其攻击方法,组织需加强网络安全防护。
➡️
