最新消息
AI 網路犯罪進入新紀元,深度偽造與自動化成新常態。
2025-08-06根據 CrowdStrike 今日發布的《2025 年威脅狩獵報告》,生成式人工智慧(GenAI)工具正被威脅行動者廣泛應用,以提升其惡意活動的速度、專業知識獲取能力和規模。這份報告揭示了網路威脅格局的數項關鍵趨勢,其中最引人注目的是 GenAI 如何從根本上改變了網路攻擊的模式。
報告指出,2025 年上半年,語音釣魚(vishing)攻擊的數量已超越 2024 年全年總和,而手動鍵盤入侵(hands-on keyboard intrusions)也同比增長了 27%。然而,最令人震驚的數據是關於威脅行動者如何利用 GenAI 來增強其作戰能力。過去,許多新興的 GenAI 攻擊僅限於提示注入或基本的社交工程伎倆,例如利用 ChatGPT 編寫釣魚郵件。但現在,這種情況正在迅速改變,這些基本概念正以更複雜的方式被應用,技術性 AI 攻擊正日益頻繁地出現。
CrowdStrike 強調,攻擊者,包括那些參與 IT 技術人員詐騙的團體,正利用大型語言模型(LLMs)來提升他們的戰術、技術和程序(TTPs)。正如 CrowdStrike 所述,威脅行動者利用 GenAI 模型進行社交工程、技術操作和資訊操作,這些應用「可能已導致威脅行動者行動的速度、專業知識獲取和可擴展性顯著增加。」
值得警惕的是,隨著組織日益整合 AI 工具,威脅行動者也獲得了新的攻擊面可供利用。CrowdStrike 揭示,今年四月,多個威脅行動者利用 Langflow AI 的一個漏洞(CVE-2025-3248),實現了未經身份驗證的遠端程式碼執行。Langflow AI 是一個廣受歡迎的 AI 代理建構工具。報告指出:「這項活動表明,威脅行動者將 AI 工具視為整合基礎設施,而非周邊應用程式,並將其作為主要的攻擊向量。隨著組織持續採用 AI 工具,攻擊面將不斷擴大,受信任的 AI 工具將成為下一個內部威脅。」
在社交工程方面,攻擊者正利用 AI 生成自然語言的釣魚郵件,創建具有匹配線上形象的數位身份,並令人信服地開發所需的文件和檔案,以確保目標回應。在技術操作方面,AI 可用於協助開發惡意軟體和漏洞利用,為正在進行的攻擊提供技術支援,並幫助增強目標偵察的資訊收集方面。而在資訊操作方面,攻擊者已利用 GenAI 創建虛假資訊內容、看似可信的媒體基礎設施,並透過翻譯成不同語言來製作有針對性的宣傳內容。
CrowdStrike 強調,國家級行為者和「eCrime」犯罪分子都正從生成式 AI 的使用中獲益。報告指出:「國家級對手——例如伊朗和北韓——正日益採用 GenAI 技術,使其網路行動更快、更高效、更難以被偵測。他們正在使用公開可用的模型來協助其偵察、漏洞研究以及釣魚活動的內容和有效載荷開發。」報告進一步提到:「資源較少的威脅行動者,包括 eCrime 和駭客行動主義者,已利用 GenAI 自動化任務並改進其工具,包括腳本生成、技術問題解決、惡意軟體開發和基礎設施增強。」
CrowdStrike 最終認為,威脅行動者正利用 GenAI 來增強現有的攻擊方法,而非完全取代它們。CrowdStrike 反對者行動負責人 Adam Meyers 表示,就生成式 AI 威脅而言,「我們已經遠離了新奇階段。」Meyers 補充說:「這不僅僅是 GPT 生成的釣魚郵件。GenAI 正在成為對手運作方式的核心部分。我們看到國家級和 eCrime 行為者都在利用它來更快行動、擴大操作規模,並在受害者環境中保持不被偵測。AI 驅動攻擊從理論走向實戰的一個明確標誌是我們看到對手正在使用 GenAI 編寫腳本和構建惡意軟體。這正在發生。」
報告特別聚焦於利用 AI 革命的「假 IT 技術人員」詐騙。這些冒充求職者以獲取公司特權數據的個人,已成為某些組織的真正麻煩。這些通常與北韓相關但可能來自不同背景的員工,很難區分,部分原因是這些工作人員有時會進行數月的實際工作作為滲透過程的一部分。
CrowdStrike 的報告揭露了一個北韓相關的威脅行動者,其追蹤名稱為「Famous Chollima」。研究人員在過去 12 個月中追蹤到 320 起 Famous Chollima 行動者透過欺詐手段獲得軟體開發人員職位的事件。CrowdStrike 將該對手的高速歸因於「GenAI 驅動的工具,這些工具在招聘和僱傭過程的每個階段都實現了自動化和優化。」行動者利用 AI 生成履歷和求職信,創建虛假數位身份,在視訊面試中掩蓋真實身份(透過深度偽造技術),表現出更流利的英語,並根據需要協助完成工作任務。
報告指出:「一旦被僱用,FAMOUS CHOLLIMA 的 IT 工作人員會使用 GenAI 程式碼助手(例如 Microsoft Copilot 或 VSCodium)和 GenAI 翻譯工具來協助日常任務和與其合法工作職能相關的通信。」儘管普通員工也可能以類似方式使用 GenAI,但這些工具——特別是那些能夠實現英語交流的工具——對 Famous Chollima 來說尤其關鍵。這些行動者英語不流利,可能同時從事三到四份工作,需要 GenAI 來完成工作並管理和回應多個溝通流。
為應對 Famous Chollima(以及其他類似的攻擊者),CrowdStrike 建議在招聘過程中實施強化的身份驗證流程,檢查專業線上個人資料;實施即時深度偽造挑戰;強化遠端存取安全控制,「特別關注地理位置遮蔽和端點安全規避嘗試」;並為招聘經理和 IT 人員創建相關培訓計畫。
Meyers 解釋說,這種僱傭詐騙問題是「北韓政權完全規模化的收入運作」。他指出:「僅在過去一年,CrowdStrike OverWatch 就追蹤到超過 320 起 FAMOUS CHOLLIMA 行動者欺詐性地受僱為遠端 IT 工作人員的案件——這比去年同期增長了 220%。」他補充說:「根據這種活動的數量和一致性,我們評估這項活動每年可能為北韓帶來數億美元的收入。我們已將其歸因於第 75 局,該局支持該政權的武器計畫。」Meyers 還說,該計畫普遍存在,跨越多個國家,並針對全球組織。