威脅行動者持續(xù)對人工智能保持高度關(guān)注，不斷探索當(dāng)前技術(shù)的功能和潛在的安全漏洞。我們需將這些風(fēng)險置于具體背景中進(jìn)行分析。與多因素身份驗證和零信任防御等網(wǎng)絡(luò)安全實踐同樣重要，威脅行動者可能會利用基于人工智能的工具來改進(jìn)其網(wǎng)絡(luò)攻擊模式，如通過社會工程學(xué)手段尋找易受攻擊的設(shè)備和賬戶。本文亦列舉了一些威脅行動者的活動實例。網(wǎng)絡(luò)安全行業(yè)迫切需要使用如MITRE的ATT&CK框架或ATLAS知識庫來更新和更好地追蹤他們的戰(zhàn)術(shù)、技術(shù)和程序（TTPs）。

森林暴雪（STRONTIUM）是一個與俄羅斯軍事情報機構(gòu)GRU第26165單位相關(guān)聯(lián)的威脅行動者，其主要目標(biāo)是針對對俄羅斯政府具有戰(zhàn)略利益的受害者。其活動范圍廣泛，涉及國防、交通、政府、能源、非政府組織和信息技術(shù)等多個領(lǐng)域。在俄烏戰(zhàn)爭期間，森林暴雪積極攻擊與沖突相關(guān)的組織，支持俄羅斯的外交和軍事目標(biāo)。森林暴雪主要利用大語言模型研究衛(wèi)星和雷達(dá)技術(shù)，這些技術(shù)可能與烏克蘭的常規(guī)軍事行動或網(wǎng)絡(luò)攻擊的通用研究相關(guān)。根據(jù)觀察，其TTPs包括使用大語言模型進(jìn)行偵察和增強腳本技術(shù)，相關(guān)TTPs分類描述如下：

森林暴雪由于其與俄羅斯軍事情報機構(gòu)GRU有關(guān)聯(lián)，并主要關(guān)注對俄羅斯政府具有戰(zhàn)略利益的受害者，我們可以推斷，其可能的目標(biāo)包括但不限于：

翡翠雨（THALLIUM）是一個歸屬朝鮮的威脅行動者，2023年一直活躍于網(wǎng)絡(luò)空間。他們主要通過釣魚郵件來竊取和收集與朝鮮問題相關(guān)的專業(yè)人士情報。他們冒充知名學(xué)術(shù)機構(gòu)和非政府組織，引誘受害者分享對朝鮮外交政策的看法。翡翠雨也利用大語言模型進(jìn)行漏洞研究、增強腳本技術(shù)，并支持社會工程學(xué)攻擊。相關(guān)TTPs包括大語言模型輔助的漏洞研究、增強的腳本技術(shù)以及支持的社會工程學(xué)，相關(guān)TTPs分類描述如下：

翡翠雨作為歸屬朝鮮的威脅行為者，其攻擊目標(biāo)可能包括：

需要注意的是，具體的攻擊目標(biāo)可能因時間、地點和戰(zhàn)略需要而有所變化，而且威脅行為者通常會采取隱蔽的手段來避免被發(fā)現(xiàn)。因此，要準(zhǔn)確識別并應(yīng)對這些威脅，需要網(wǎng)絡(luò)安全行業(yè)和相關(guān)機構(gòu)保持高度警惕，并采取有效的防御措施。

深紅沙塵暴（CURIUM）是一個與伊朗伊斯蘭革命衛(wèi)隊（IRGC）有關(guān)聯(lián)的威脅行為者，自2017年以來一直活躍在網(wǎng)絡(luò)安全領(lǐng)域。該組織針對多個行業(yè)進(jìn)行了廣泛的攻擊，包括國防、海運、交通運輸、醫(yī)療保健和技術(shù)等。這些攻擊往往采用誘餌攻擊和社會工程手段，通過傳遞定制的.NET惡意軟件來達(dá)成其目的。

深紅沙塵暴的攻擊方式展現(xiàn)出了高度的技術(shù)能力和靈活性。他們使用基于電子郵件的C2通道來控制惡意軟件，這使得他們的攻擊行動更加隱蔽和難以追蹤。此外，他們還與其他已知的威脅行為者如Tortoiseshell、Imperial Kitten和Yellow Liderc存在交集，這表明他們可能與其他黑客組織或國家支持的行動者有著某種形式的合作關(guān)系。

值得注意的是，深紅沙塵暴對大語言模型的使用也顯示出他們在技術(shù)方面的創(chuàng)新。他們利用大語言模型來支持社會工程學(xué)活動，生成各種逼真的釣魚郵件，以誘騙目標(biāo)點擊惡意鏈接或下載惡意附件。此外，他們還利用大語言模型來增強腳本技術(shù)，生成支持應(yīng)用程序和Web開發(fā)的代碼片段，以實現(xiàn)與遠(yuǎn)程服務(wù)器的交互、Web抓取、自動執(zhí)行任務(wù)以及發(fā)送系統(tǒng)信息等功能。根據(jù)這些觀察，相關(guān)TTPs分類描述如下：

基于上述深入剖析，微軟針對大語言模型相關(guān)的TTPs進(jìn)行了詳盡的梳理，并成功將其與MITRE ATT＆CK框架和ATLAS知識庫進(jìn)行了映射與分類。此舉旨在為網(wǎng)絡(luò)安全社區(qū)提供一種統(tǒng)一且高效的分類方法，以便聯(lián)合追蹤大語言模型的惡意應(yīng)用并共同制定防御策略。

具體而言，微軟發(fā)現(xiàn)大語言模型在多個方面被惡意利用。在偵察階段，威脅行為者利用大語言模型搜集技術(shù)情報和潛在的漏洞信息。在攻擊執(zhí)行階段，他們借助大語言模型生成或優(yōu)化網(wǎng)絡(luò)攻擊腳本，用于識別用戶事件、協(xié)助故障排除和理解網(wǎng)絡(luò)技術(shù)。同時，大語言模型也被用于輔助惡意軟件和工具的開發(fā)，以及支持社會工程學(xué)活動，如翻譯和溝通，以建立聯(lián)系或操縱目標(biāo)。

此外，大語言模型還被用于漏洞研究，幫助威脅行為者識別軟件和系統(tǒng)中的潛在弱點。在攻擊載荷制作方面，大語言模型能夠協(xié)助創(chuàng)建并完善用于網(wǎng)絡(luò)攻擊的惡意載荷。同時，為了規(guī)避檢測系統(tǒng)，威脅行為者利用大語言模型開發(fā)方法，使惡意活動與正常行為或流量難以區(qū)分。更令人擔(dān)憂的是，大語言模型還被用于指導(dǎo)安全功能的繞過，如雙因素身份驗證、CAPTCHA或其他訪問控制機制。最后，在資源開發(fā)方面，大語言模型在工具開發(fā)、修改和戰(zhàn)略運營規(guī)劃中也發(fā)揮著重要作用。