當前的網路威脅環境中,國家級攻擊者與網路犯罪分子的界線正變得越來越模糊。近期資安公司 WithSecure 揭露了一個名為 GREYVIBE 的威脅組織,該組織自 2025 年 8 月起持續針對烏克蘭及其相關實體發動攻擊。這個案例非常值得工程師關注,因為它展示了生成式 AI 如何被用來降低開發門檻,並改變傳統的威脅分析模式。
GREYVIBE 的背景與定位
GREYVIBE 被認為是一個俄語背景的組織,其活動目標高度符合克里姆林宮的國家利益,專注於在俄烏戰爭背景下收集情報。然而,這個組織並非典型的國家級精銳部隊,其成員被認為包含現任或前任的網路犯罪分子。這種混合性質使得他們處於一種灰色地帶:既有國家級的目標導向,又保有犯罪組織的開發習慣,甚至在開發過程中會使用網路俚語。
AI 在惡意軟體開發中的實際應用
GREYVIBE 最顯著的特點在於大量利用生成式 AI(GenAI)與大型語言模型(LLM),如 ChatGPT、Gemini 和 Ideogram AI。對於 Junior 工程師來說,可以將此想像成攻擊者將 AI 當作編碼助手(Copilot)來加速開發流程。
具體而言,他們利用 AI 完成以下工作: 生成誘餌素材:使用 AI 產生逼真的圖片與社交工程文案,增加釣魚網站的欺騙性。 快速開發與重構:利用 AI 撰寫 LegionRelay 等惡意軟體的基礎代碼、混淆器(Obfuscator,用於將代碼變得難以閱讀以規避偵測)以及加載器(Loader,負責將惡意主程式導入記憶體)。 降低技術門檻:AI 幫助他們填補技術能力的缺口,使其能快速迭代出多種不同的攻擊鏈,而不需要深厚的底層開發經驗。
AI 帶來的防禦挑戰與漏洞
從防禦者的角度來看,AI 的介入讓傳統的威脅分析變得困難。過去資安分析師習慣使用集群分析(Clustering),也就是透過比對惡意軟體中穩定的技術特徵(如特定的函數命名、代碼結構)來追蹤同一個組織。但如果攻擊者可以用 AI 隨時重構代碼或替換組件,這些特徵就會失效,導致追蹤困難。
然而,AI 並非萬能。由於 GREYVIBE 過度依賴 AI 生成代碼,導致其開發的 LegionRelay 軟體中出現了明顯的設計缺陷,甚至直接暴露了後端功能。這證明了 AI 生成的代碼若缺乏資深工程師的審核,容易產生邏輯漏洞,這也是判斷該組織技術水平處於中低階的關鍵證據。
多元化的攻擊向量分析
GREYVIBE 部署了多套攻擊路徑,涵蓋了從社交工程到裝置控制的完整鏈條:
PhantomMail 與 PhantomClick:前者透過 Google Drive 分發惡意壓縮檔;後者則利用偽造的 CAPTCHA 驗證頁面(例如偽裝成 Zoom),誘導使用者執行指令以安裝遠端控制木馬 PhantomRelay。
PrincessClub:建立偽裝成烏克蘭成人俱樂部的網站,針對 Android 裝置部署 FallSpy 間諜軟體,針對 Windows 部署 LegionRelay。後續版本甚至加入 WebRTC 技術來擷取受害者的即時音訊與視訊。
DroneLink 與 Nebo:前者偽裝成支援烏克蘭軍方的慈善基金會;後者則偽裝成俄軍的登入介面,試圖欺騙烏軍人員在誤以為進入俄軍終端機的情況下洩漏資訊。
工具鏈的核心:LegionRelay 與 FallSpy
這兩款工具是該組織的核心武器。LegionRelay 是一個基於 PowerShell 的輕量級遠端控制木馬(RAT, Remote Access Trojan),具備檔案列舉、資料外傳、螢幕截圖、盜取瀏覽器與通訊軟體(Telegram, WhatsApp)數據,以及設定遠端桌面(RDP)訪問等功能。而 FallSpy 則專攻 Android 系統,旨在全面蒐集裝置內的敏感資訊。
總結與實務啟示
GREYVIBE 的案例提醒我們,AI 正在將網路攻擊的規模化與速度提升到新高度。即便攻擊者本身技術水平不高,也能透過 AI 快速產出大量變體。對於開發者與維運人員而言,不能再單純依賴已知特徵的黑名單,而應更注重行為分析(Behavioral Analysis)與零信任架構,以應對這種快速變異的威脅。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。