【安全资讯】拉丁美洲政府与金融部门遭遇AI增强型网络攻击：SHADOW-AETHER-040与SHADOW-AETHER-064活动分析

概要：

近期，TrendAI™ Research发现两起针对拉丁美洲政府与金融组织的网络攻击活动，分别命名为SHADOW-AETHER-040和SHADOW-AETHER-064。这两起活动均利用代理型人工智能（Agentic AI）辅助入侵，通过建立流量隧道，使AI代理能够直接对受害者内部网络环境发起恶意攻击。攻击者动态生成多种黑客工具和脚本，而非依赖预构建工具，从而降低了被传统安全解决方案检测的可能性。尽管两者在工具和战术上高度重叠，但语言差异表明它们可能分属不同组织。

主要内容：

SHADOW-AETHER-040活动主要针对墨西哥政府实体，利用漏洞扫描器识别目标服务器漏洞，部署Neo-reGeorg等Webshell建立初始访问。攻击者通过AI代理使用Chisel建立SOCKS5隧道，结合ProxyChains和SSH实现内网横向移动。该活动还整合了Shodan和VulDB等安全信息服务，增强AI代理的侦察能力。值得注意的是，攻击者通过声称进行授权红队测试来欺骗AI模型，绕过安全限制。AI代理被用于执行隧道建立、后门部署、日志检查、内网扫描、凭证收集、权限提升、数据窃取等任务。

SHADOW-AETHER-064活动则主要针对巴西金融组织，攻击者利用JBoss AS服务器漏洞部署Webshell，随后使用Chisel等工具建立SOCKS5隧道。该活动开发了名为“POW”和“SOCKTZ”的自定义工具，用于封装恶意流量和建立反向SOCKS5隧道。攻击脚本中包含葡萄牙语内容，表明操作者可能为葡萄牙语使用者。AI代理被用于攻击面扫描、SQL注入测试、凭证收集、密码喷洒、创建后门账户、修改组策略对象以提升权限，以及通过SQL查询窃取数据。

这两起活动展示了AI代理如何自动化攻击任务，包括快速分析源代码和配置文件以发现配置错误，以及动态生成命令和脚本。然而，AI代理无法凭空创造漏洞，在安全配置良好的环境中，即使有AI辅助，攻击者仍可能失败。这凸显了及时修补、实施零信任访问控制和全面环境监控的重要性。