Google Warnung! Nordkoreanische und mehrere andere Hackerorganisationen nutzen Gemini für Angriffe

Google Bedrohungsinformationen-Team (GTIG) veröffentlicht den neuesten Bericht, der zeigt, dass nordkoreanische und mehrere andere nationale Hackergruppen aktiv Gemini nutzen, um automatisierte Aufklärung, Malware-Entwicklung und andere Aufgaben durchzuführen, was eine ernsthafte Bedrohung für globale Daten und Verteidigungs- und Cybersicherheitsinfrastrukturen darstellt. Der Leiter von GTIG, Steve Miller, betont, dass Unternehmen die Cyberangriffe ernst nehmen, KI-Abwehrmaßnahmen implementieren und ihre Ressourcen sowie Datensicherheit schützen müssen.

Hackergruppen nutzen Gemini zur Analyse spezifischer Ziele durch Open-Source-Intelligence

Der Bericht von Google weist darauf hin, dass die nordkoreanische Hackergruppe mit dem Codenamen UNC 2970 Gemini Open-Source-Intelligence (OSINT) nutzt, um hochpreisige Zielpersonen präzise zu analysieren. Die Gruppe operiert seit langem unter dem Namen Operation Dream Job (Traumjob-Operation) und tarnt sich als Unternehmensrekrutierer, um Fachkräfte aus Luftfahrt, Verteidigung und Energiebranche ins Visier zu nehmen. Mit Unterstützung von KI können die Angreifer effizient technische Stellenangebote und Gehaltsstrukturen bei führenden Sicherheits- und Verteidigungsunternehmen durchsuchen und so ihre Zielpersonen genau identifizieren.

GTIG erklärt, dass UNC 2970 durch die Erstellung hochgradig maßgeschneiderter Social-Engineering-Skripte die anfälligen Schwachstellen für initiale Infiltrationen gezielt angreifen kann. Neben Nordkorea wurden auch chinesische Hackergruppen wie Mustang Panda (Temp. HEX) und APT 31 entdeckt, die KI nutzen, um persönliche Profile zu bearbeiten oder Schwachstellen automatisiert zu analysieren.

Neue Malware nutzt Gemini-API für Outsourcing von Funktionen

Der Bericht enthüllt eine neue Malware namens HONESTCUE, die Funktionen über die Gemini-API auslagert. HONESTCUE ist ein Download-Framework, bei dem die zweite Stufe ohne Dateien arbeitet und den aus der Gemini-API empfangenen C#-Quellcode direkt im Speicher kompiliert und ausführt, wobei legitime .NET CSharpCodeProvider-Frameworks verwendet werden. Dadurch hinterlässt die Malware keine Spuren auf der Festplatte.

Cyberangreifer senden über hunderttausende Hinweise, um KI-Reasoning zu kopieren

Google beobachtete, dass Angreifer große Mengen an Hinweisen an KI-Systeme senden, um die Modell-Reasoning-Fähigkeiten zu kopieren. Google blockierte alternative Modelle, die versuchen, das Verhalten der KI nachzuahmen. Bei einem groß angelegten Angriff wurde Gemini mit über 100.000 Hinweise attackiert, die eine Reihe von Fragen stellten, um die Reasoning-Fähigkeiten der KI bei nicht-englischen Aufgaben zu replizieren.

Steve Miller, Leiter der KI-Bedrohungsabwehr bei Google, erklärt, dass Angreifer zwar weiterhin versuchen, durch Identitätsmaskierung Sicherheitsmaßnahmen zu umgehen, doch Gemini hat bei der Erkennung von Betrugsversuchen und der Verstärkung automatischer Filtermaßnahmen kontinuierliche Fortschritte gemacht. Die Abwehrsysteme entwickeln sich ständig weiter, um neuen Arten von Hinweis-Angriffen entgegenzuwirken.

Angesichts der zunehmenden Bedrohung durch KI hat Google das KI-Netzwerksicherheitsprogramm gestartet, das kontinuierlich auf bösartige Angriffe reagiert, die Erkennungsgenauigkeit verbessert und die Automatisierung der Reaktion beschleunigt. Durch maschinelles Lernen können die Abwehrsysteme ungewöhnliche API-Aktivitäten und bösartige Skripte noch sensibler erkennen. Steve Miller betont, dass Unternehmen ihre Investitionen in KI-Infrastruktur erhöhen und robuste Verteidigungssysteme aufbauen sollten, um die zukünftige Cybersicherheit zu gewährleisten.

Diese Artikelwarnung von Google! Nordkoreanische und internationale Hackergruppen nutzen Gemini für Angriffe erschien zuerst bei Chain News ABMedia.