新型隐蔽攻击:恶意软件将C2流量伪装成腾讯云上的虚假LLM API请求
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
Akamai Hunt团队发现一种新型恶意软件,利用伪装的LLM API请求来隐藏命令与控制流量,增加检测难度。该恶意软件通过腾讯云的伪API进行远程控制,显示了攻击手法的演变,强调企业需加强网络安全防护。
🎯
关键要点
- Akamai Hunt团队发现新型恶意软件,利用伪装的LLM API请求隐藏命令与控制流量。
- 该恶意软件通过腾讯云的伪API进行远程控制,显示攻击手法的演变。
- 恶意软件将命令与控制流量隐藏在正常的AI流量中,增加了检测难度。
- 恶意软件采用非典型C2架构,使用虚假的LLM聊天补全API发送编码字符串。
- 腾讯云服务器作为跳板,攻击者利用合法API端点掩盖恶意活动。
- 该恶意软件支持多种指令,具备完全远程控制受害者机器的能力。
- 研究人员发现恶意软件中嵌入的.NET有效载荷,构成SOCKS5/HTTP代理工具包。
- 恶意软件与可疑RAR存档相关联,包含多阶段加载机制。
- 攻击手法演进趋势显示攻击者快速演进其攻击方法,组织需加强网络安全防护。
❓
延伸问答
这种新型恶意软件是如何隐藏其命令与控制流量的?
该恶意软件通过伪装成合法的大语言模型(LLM)API请求来隐藏命令与控制流量。
恶意软件使用了什么样的C2架构?
该恶意软件采用非典型C2架构,向虚假的LLM聊天补全API发送编码字符串。
腾讯云在这次攻击中扮演了什么角色?
腾讯云服务器被用作跳板,攻击者利用其合法API端点掩盖恶意活动。
这种恶意软件具备哪些功能?
该恶意软件支持多种指令,具备完全远程控制受害者机器的能力。
研究人员发现了什么样的有效载荷?
研究人员发现了嵌入的.NET有效载荷,构成SOCKS5/HTTP代理工具包。
这次攻击的演进趋势有什么启示?
攻击者快速演进其攻击方法,组织需加强网络安全防护以应对现代威胁。
➡️
