Security Week 2549: вредоносные LLM без ограничений

Использование языковых моделей во вредоносной деятельности является достаточно свежим феноменом, который, впрочем, активно изучается. Так, в этой публикации ^[1] «Лаборатории Касперского» приведены реальные примеры использования широкодоступных чатботов для генерации фишинговых сообщений и другого контента на вредоносных страницах. Достаточно раннее исследование прошлого года выявляет факты использования ИИ по простым маркерам: когда забывают ^[2] удалить характерные для чатботов словесные обороты. Со своей стороны, за вредоносной активностью наблюдают разработчики соответствующих сервисов — есть отчеты от Google ^[3] по ассистенту Gemini, а также от OpenAI ^[4]. Работа вендоров, соответственно, ограничивает возможности киберпреступников по использованию публичных сервисов, и решением этой «проблемы» часто становится разработка собственных LLM, не имеющих никаких ограничений.

Эта сторона использования LLM во вредоносной деятельности раскрывается в свежей публикации ^[5] компании Palo Alto Networks. В ней описаны две кастомные модели WormGPT и KawaiiGPT, разработанные специально для использования в криминальных целях. Доступ к LLM продается на киберкриминальных форумах и рекламируется как помощник для генерации фишинговых сообщений, создания вредоносного ПО и автоматизации типовых операций, таких как сбор информации о зараженной системе. Из двух изученных языковых моделей WormGPT — старшая, о ней впервые стало известно в июле 2023 года ^[6]. Предположительно, она была основана на опенсорсной модели GPT-J 6B ^[7].

По утверждению создателей сервиса, WormGPT была обучена на отчетах об уязвимостях и PoC эксплойтов, исходных кодах вредоносного ПО и шаблонах фишинговых сообщений и веб-сайтов. Но главным и широко рекламируемым преимуществом модели является отсутствие каких-либо внутренних ограничителей и цензуры. Будучи исследованной white-hat-экспертами, модель доказала свои возможности по созданию убедительных фишинговых текстов, укладывающихся в контекст типичных атак, а также отдельных элементов кода вредоносного ПО. Доступ к актуальной версии WormGPT 4 продается за 50 долларов на месяц, 175 долларов за год и 220 долларов за «вечную» подписку.

В статье исследователей Palo Alto отмечается, что данный сервис без проблем справился с генерацией работающего скрипта PowerShell, направленного на шифрование файлов определенного типа. В него же была включена функциональность связи с командным сервером через сеть Tor. LLM также справилась с созданием достаточно убедительного текста с требованием выкупа, который в реальной атаке был бы продемонстрирован пользователю.

В отличие от коммерциализованного WormGPT, модель KawaiiGPT бесплатно доступна на GitHub и может работать локально. Ответы ассистента усыпаны кавайными словечками, что впрочем никак не делает менее опасным результат работы. В отчете Palo Alto приводятся примеры генерации с помощью KawaiiGPT фишинговых сообщений. В ответ на запрос о написании кода для развития атаки на систему под управлением ОС Linux был предложен работающий код с использованием свободно распространяемой библиотеки на Python. В другом примере LLM справилась с анализом базы данных электронных сообщений, ее упаковкой и отправкой на командный сервер. Разработчики языковой модели KawaiiGPT работают с коммерческими заказчиками, регулярно отчитываются о новых функциях и даже обещают интеграцию с публичными сервисами типа Grok.

Авторы отчета отмечают, что подготовленный LLM в серии экспериментов вредоносный код не отличается инновационностью, но, как минимум, работает. Опасность подобных сервисов, несмотря на определенные ограничения, заключается в уменьшении порога входа для желающих попробовать свои силы в киберпреступности: для создания пусть примитивного, но работающего кода и всей необходимой текстовой обвязки практически не требуется никаких навыков. В списке рекомендаций от Palo Alto содержится призыв правоохранительным органам скоординировать усилия для закрытия подобных сервисов — так же, как это происходит с другими вредоносными сайтами и криминальной инфраструктурой. Еще одно спорное пожелание направлено в сторону разработчиков опенсорсных языковых моделей: им предлагается встроить в свои решения более сильные механизмы безопасности, предотвращающие использование в криминальных целях. Можно предположить, что если такие ограничители и будут введены, из проекта с открытым исходным кодом их, скорее всего, можно будет легко удалить.

Что еще произошло

У исследователей «Лаборатории Касперского» — три новых публикации. Здесь описываются ^[8] инструменты, используемые APT-группировкой Tomiris. В частности, это свободно распространяемый бэкдор AdaptixC2. Большая публикация ^[9] посвящена атакам на протокол NTLM — устаревшую (и запланированную для исключения из Windows), но часто используемую в корпоративном окружении технологию. Первая атака типа NTLM Relay была показана еще в 2001 году, но и в 2025-м атаки с использованием уязвимостей в NTLM происходят массово. В статье подробно описаны как типы атак, так и активно эксплуатируемые уязвимости, а также примеры из деятельности киберкриминальных группировок. Еще одна статья ^[10] разбирает недавно обнаруженную и закрытую уязвимость CVE-2025-59287 в службе обновления Windows Server Update Services, которая может быть эксплуатирована для выполнения произвольного кода.

В Австралии к семи годам тюрьмы приговорили ^[11] кибермошенника, который устраивал в аэропортах и даже прямо во время авиаперелетов атаки с использованием поддельной точки доступа с названием популярного местного провайдера. Жертвы, подключившиеся к вредоносному Wi-Fi, перенаправлялись на фишинговую страницу, где похищались данные для доступа к соцсетям и другим сервисам.

Критическая уязвимость обнаружена ^[12] в фиче AiCloud, реализованной в роутерах Asus для поднятия простого сервиса обмена файлами. Списка подверженных роутеров производитель не предоставил, вместо этого указав ^[13] только номера прошивок, в которых проблема закрыта. В роутерах, которые более не поддерживаются и данное обновление не получили, производитель рекомендует отключить все сервисы, так или иначе открывающие доступ к ресурсам маршрутизатора из Интернета. В этот список, причем, включены не только AiCloud и доступ к веб-интерфейсу «снаружи», но также форвардинг портов и VPN-сервер.

В США была взломана инфраструктура компании Crisis24, что привело не только к утечке данных, но и к временной недоступности систем экстренной коммуникации, обеспечивающих быстрое реагирование ^[14] служб спасения — полиции и пожарных.

Исследователи из компании WatchTowr сообщают ^[15] об уязвимости сервисов для форматирования кода: CodeBeautify и JSON Formatter. Если сохранить загруженный на них код, сервис генерирует постоянную ссылку, доступ к которой может получить любой желающий. То, что желающие находятся, подтверждено в отдельном эксперименте, когда исследователи загружали фейковые токены доступа к сервису Amazon Web Services. Попытки воспользоваться этими токенами были зафиксированы через 48 часов после загрузки на оба сервиса.