Cảnh báo: Kẻ tấn công sử dụng script PowerShell tạo bởi AI để dò quét Active Directory
Các nhà nghiên cứu bảo mật vừa phát hiện một chiến dịch tấn công sử dụng script PowerShell được tạo bởi AI để dò quét Active Directory, cho thấy xu hướng tận dụng công cụ AI để tăng tốc độ xâm...
Các chuyên gia an ninh mạng vừa phát hiện một vụ xâm nhập đáng chú ý, trong đó kẻ tấn công đã sử dụng một script PowerShell được cho là tạo ra bởi trí tuệ nhân tạo (AI) để thực hiện dò quét (enumeration) môi trường Active Directory (AD).
Theo báo cáo từ Huntress, kẻ tấn công đã thiết lập quyền truy cập thông qua Remote Desktop Protocol (RDP) vào một Windows Server trong mạng nội bộ bằng thông tin đăng nhập bị đánh cắp. Sau đó, chúng triển khai các công cụ độc hại tại thư mục C:\ProgramData\. Sự việc được ghi nhận vào đầu tháng 6 năm 2026.
Dấu hiệu nhận biết script từ AI
Các nhà nghiên cứu chỉ ra nhiều đặc điểm cho thấy đoạn mã này có sự can thiệp của AI, bao gồm: tiêu đề script mang phong cách gợi ý từ LLM (ví dụ: “100% Working AD Information Gathering Script – FULLY FIXED”), các chuỗi ký tự giữ chỗ (placeholder), cấu trúc mã phức tạp quá mức cần thiết, và giao diện console được tô điểm bằng nhiều màu sắc (xanh, đỏ, vàng, lục).
Script này được mô tả là “cực kỳ hung hăng” và “ồn ào”, sử dụng cơ chế dự phòng 5 bước để đảm bảo quá trình thu thập thông tin diễn ra liên tục. Sau khi xác định được Domain Controller, script sẽ tự động thu thập dữ liệu về người dùng, máy tính, nhóm và các đơn vị tổ chức (OU), sau đó xuất kết quả ra một báo cáo HTML tổng hợp.
AI đóng vai trò là bộ khuếch đại sức mạnh
Sau khi hoàn tất việc dò quét, kẻ tấn công tiếp tục triển khai các công cụ như s5cmd để xử lý file hàng loạt và SharpShares để tìm kiếm các kho dữ liệu có thể truy cập được. Dữ liệu cuối cùng được nén và exfiltrate (đánh cắp) ra máy chủ từ xa.
Các chuyên gia nhận định rằng, mặc dù kỹ thuật tấn công vẫn dựa trên các phương pháp truyền thống, nhưng việc sử dụng AI đã hạ thấp đáng kể rào cản kỹ thuật. Điều này cho phép những kẻ tấn công có trình độ thấp hơn vẫn có thể tạo ra các công cụ tấn công tinh vi và hiệu quả với nỗ lực tối thiểu.
Một báo cáo khác từ Sygnia cũng củng cố nhận định này, nhấn mạnh rằng AI không nhất thiết tạo ra các loại malware mới hay các lỗ hổng zero-day phức tạp. Thay vào đó, nó đóng vai trò như một “bộ khuếch đại”, cho phép kẻ tấn công thực hiện các bước dò quét, khai thác và chiếm quyền điều khiển với tốc độ và quy mô vượt xa khả năng phản ứng của đội ngũ bảo mật truyền thống.
Việc kết hợp giữa các kỹ thuật tấn công đã được kiểm chứng với sự hỗ trợ từ AI đang tạo ra một thách thức mới cho các doanh nghiệp, đòi hỏi các đội ngũ an ninh mạng phải thay đổi chiến lược phản ứng sự cố để theo kịp tốc độ của các cuộc tấn công hiện đại.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.